Hướng dẫn cấu hình ipsec vpn cho pfsense năm 2024
Trong bài viết này thegioifirewall sẽ hướng dẫn cách cấu hình IPSec client to site để người dùng có thể truy cập vào hệ thống từ xa với tài khoản được đồng bộ từ AD. 2.Sơ đồ mạngChi tiết:
Chúng ta sẽ thực hiện cấu hình tính năng IPSec VPN Client to site trên thiết bị Sophos Firewall, sau khi cấu hình, chúng ta sẽ sử dụng user từ AD để kết nối và khi kết nối nó sẽ nhận IP trong dãy 10.81.234.5-10.81.234.55 và được quyền truy cập vào các tài nguyên của lớp mạng LAN. 4.Các bước cấu hình
5.Hướng dẫn cấu hình5.1.Đồng bộ ADBước đầu tiên chúng ta cần phải đồng bộ AD với Sophos Firewall. Để đồng bộ chúng ta vào CONFIGURE > Authentication > Server > nhấn Add. Cấu hình với các thông số sau:
5.2.Import OU và GroupSau khi đồng bộ AD thành công chúng ta cần thực hiện import OU và Group từ AD. Nhấn vào biểu tượng như trong hình để thực hiện import. Lúc này cửa sổ Import group wizard help hiện ra nhấn Start. Tại mục Step 1: Provide base DN for group, chọn dc=learningit,dc=xyz từ menu thả xuống. Ở Step 2: Select AD groups to import sẽ show ra các OU và group mà AD hiện có, ở đây thegioifirewall sẽ tích chọn group Support nằm trong OU IT như hình. Nhấn nút “>” để tiếp tục. Nhấn nút “>” để tiếp tục. Nhấn nút “>” và OK để tiếp tục. Nhấn Close để đóng cửa sổ. Sau khi import, chúng ta có thể vào CONFIGURE > Authentication > Group để kiểm tra xem group đã được import hay chưa. Kết quả là group Support đã được import. Tiếp theo để thiết bị tường lửa có thể xác thực được user từ AD chúng ta cần vào CONFIGURE > Authentication > Service. Ở phần Firewall authentication methods chúng ta thấy rằng hiện tại chỉ thực hiện xác thực cho các tài khoản local trên firewall. Chúng ta tích chọn LearningIT đây là server chúng ta vừa đồng bộ và phía bên phải chúng nhấn giữ chuột vào LearningIT và kéo nó lên trên so với Local. Nhấn Apply để lưu. 5.3.Tạo profile cho lớp mạng LAN và VPNĐể tạo vào SYSTEM > Hosts and Servers > nhấn Add. Tạo profile cho lớp mạng LAN với các thông số sau:
Tương tự chúng ta tạo profile cho lớp mạng IPSec VPN Client to site với các thông số sau:
5.5.Cấu hình IPSec Client to site ProfileĐể cấu hình vào CONFIGURE > IPsec [remote access] (trên version 17 là Sophos Connect client) > Nhấn Add. Cấu hình với các thông số sau:
Sau khi hoàn thành cấu hình chúng ta sẽ thực hiện Export connection về máy tính bằng cách nhấn vào nút Export connection. Sau khi export chúng ta sẽ có được file IPSec_VPN.tar.gz, chúng ta sẽ thực hiện giải nén file này ra và được file IPSec_VPN.scx dung lượng 1 KB đây là file chúng ta sẽ sử dụng để kết nối VPN. Gửi file đuôi scx này đến máy tính ngoài internet để kết nối VPN. 5.6.Mở dịch vụ User Portal trên cổng WANĐể người dùng có thể truy cập vào User Portal từ ngoài internet để tải phần mềm VPN chúng ta cần phải mở dịch vụ này trên cổng WAN của thiết bị Sophos. Để mở vào SYSTEM > Administration > Device Access. Ở hàng WAN chúng ta tích chọn dịch vụ User Portal. Sau đó nhấn Apply để áp dụng. 5.7.Tạo PolicyKhi người dùng kết nối IPSec VPN client to site vào hệ thống người dùng chưa thể kết nối được với mạng LAN. Cần phải policy cho phép traffic qua lại giữa hai vùng LAN và VPN. Để tạo policy vào PROTECT > Rules and Policies > nhấn Add firewall rule > New firewall. Tạo theo các thông số sau:
5.8.Kiểm tra kết quảSau khi chúng ta hoàn thành cấu hình sử dụng máy tính ngoài internet để thực hiện kết nối IPSec VPN Client to site. Bước đầu tiên chúng ta cần truy cập user portal để tải phần mềm. Để truy cập user portal chúng ta truy cập đường dẫn https://192.168.2.103. Sau khi truy cập chúng ta nhập tài khoản và mật khẩu để đăng nhập. Thegioifirewall sẽ sử dụng user1 được đồng bộ từ AD để đăng nhập. Sau khi đăng nhập chúng ta nhấn vào VPN và Download client for Windows để tải xuống phần mềm Sophos Connect. Sau đó thực hiện cài đặt phần mềm Sophso Connect client theo như hình sau. Tích chọn I accept the Sophos End User License Agreement and acknowledge the Sophos Privacy Policy và nhấn Install. |