Mô hình VPN site to site từ Sohpos UTM 9 tới VPC #
Branch office Sophos UTM 9:
- Public IP: 45.122.223.61
- Local subnet: 192.168.200.0/24
- Gateway: 192.168.200.1
Main office VPC (Cloud Gen 4):
- Public IP: 103.143.143.30
- Local subnet: 192.168.150.0/24
- Gateway: 192.168.150.1
Hướng dẫn cấu hình IPSec trên VPC của Cloud Gen 4 để kết nối đến Sophos UTM #
Chi tiết bài viết về VPC và cách tạo tại đây, Tương tự như bài viết vHost sẽ tạo:
- VPN customer gateway
- VPC
- Guest Networks
- Instances
- Bước 1: Quý Khách vào VPN customer gateway add VPN(Sophos UTM 9) để kết nối với VPC
Tiếp đến Quý khách nhập thông tin cần thiết để tạo 1 VPN Customer Gateway
Quý khách cần cấu hình như sau:
- Name: Tên quý khách đặt cho VPN Customer Gateway
- Gateway: 45.122.223.61 (Đây là IP WAN của Sophos UTM)
- CIDR List: 192.168.200.0/24 (IP LAN bên dưới Sophos UTM)
- IPsec preshared-Key: Quý khách nhập preshared-key của riêng mình và nhớ để cấu hình cho Sophos UTM preshared-key
Bước 2: Sau đó Quý khách truy cập vào VPC để thêm VPN Gateway và VPN Connection.
Sau khi bấm vào Create site-to-site VPN connection, sẽ hiển thị bảng pop-up từ đó Quý khách chọn tên VPN Customer Gateway mà Quý khách đã tạo trước đó.
Lưu ý: Quý khách cần phải add VPN Gateway trên VPC của mình.
Bước 3: Quý khách tạo network tier cho VPC và tạo VM instace bên trong Network Tier Quý khách vừa tạo.
Lưu ý: Hình dưới vHost đã tạo Network Tier và đã tạo VM instance bên trong Network Tier.
Sau khi bấm vào Add Network Tier thì sẽ hiển thị 1 bảng pop-up như sau:
Quý khách cần nhập thông tin như sau:
- Name: Tên của Guest Network Quý khách muốn đặt
- Gateway: Gateway LAN để các VM Instance trong Network Tier có thể giao tiếp với nhau
- Netmask: 255.255.255.0 prefix là /24
- ACL: Default_Allow để cho VM giữa các site ping được nhau hoặc Quý khách có thể cấu hình tùy vào mục đích của Quý khách
Quý khách có thể truy cập tại Guest Network sau khi đã tạo Network Tier để xem thông tin Network Tier Quý khách tạo trong bảng pop-up.
Hướng dẫn cấu hình IPSec trên Sophos UTM để kết nối đến VPC của Cloud Gen 4 #
Quý khách truy cập vào WebAdmin của Sophos UTM 9 và tạo branch office để kết nối Sophos UTM đến VPC của Cloud Gen 4.
Quý khách cần tạo 3 profile cho 2 lớp mạng LAN ở hai site head và branch office và IP WAN của Cloud Gen 4.
- Name: Local-Cloud-Gen-4
- Type: Network
- IPv4 address: 10.145.41.0
- Netmask: /24(255.255.255.0)
- Comment: IP Local trên Cloud Gen 4
- Nhấn Save để lưu
Tương tự chúng ta tạo profile cho lớp mạng 192.168.200.0/24 đây là lớp mạng LAN bên dưới Sophos UTM với các thông tin sau:
- Name: Local-Sophos
- Type: Network
- IPv4 address: 192.168.200.0
- Netmask: /24(255.255.255.0)
- Comment: Sophos UTM Firewall Subnet
- Nhấn Save để lưu
Tương tự chúng ta tạo profile cho IP Virtual Router của VPC Cloud Gen 4 với các thông tin sau:
Quý khách có thể truy cập tại đây để biết thông tin Virtual Router
- Name: Cloud-Gen-4-WAN
- Type: Host
- IPv4 address: 103.143.143.30
- Comment: IP VPN gateway Cloud Gen 4
- Nhấn Save để lưu
Cấu hình IPSec Policy #
Để tạo IPSec connection vào Site-to-Site VPN | IPsec |Policies | +New IPsec Policy… .
Quý khách cần cấu hình các thông số như sau:
Lưu ý: Cấu hình tại đây phải tương tự như cấu hình IPSec mà Quý khách đã cấu hình trên VPN Customer Gateway.
- Name: CloudGen4-to-UTM
- IKE encryption: AES 128
- IKE Authentication: SHA1
- IKE SA lifetime: 7800
- IKE DH group: Group14
- IPSEC Encryption: AES 128
- IPSEC auth: SHA1
- IPSEC SA lifetime: 3600
- IPSEC PFS: Group14
Cấu hình Remote Gateway #
Vào Site-to-Site VPN > IPsec > Remote Gateways > +New Remote Gateway và cấu hình Remote Gateway với các thông số sau:
- Name: UTM-to-CloudGen4
- Type: Initiate Connection
- Gateway: Chọn profile Cloud-Gen-4-WAN
- Authentication: nhập pre-shared key giống như đã nhập trên VPN Customer Gateway trên VPC của Cloud Gen 4
- Key and repeat: nhập lại pre-shared key
- VPN ID Type: IP address
- VPN ID (Optional): <Blank>
- Remote Networks: chọn profile Local-Cloud-Gen-4
- Nhấn Save để lưu.
Cấu hình IPsec connection #
Vào Site-to-Site VPN > IPsec > + New IPsec Connection và tạo IPsec connection với các thông số sau:
- Name: UTM-to-Cloud-Gen-4
- Remote Gateway: chọn remote gateway UTM-to-CloudGen4 vừa tạo.
- Local Interface: chọn External (WAN)
- Policy: chọn IPsec policy CloudGen4-to-UTM
- Local Networks: chọn profile Local-Sophos
- Nhấn Save.
Như Quý khách thấy kết nối IPsec connection đã được tạo và có trạng thái ON.
Tạo firewall policy #
Cuối cùng quý khách cần tạo policy cho phép traffic qua lại giữa hai site.
Để cho phép lưu lượng đến từ VPC Cloud Gen 4, vào Network Protection > Firewall > + New Rule và thêm quy tắc mới với các cài đặt sau:
- Group: No group
- Position: Top
- Source: chọn profile Local-Cloud-Gen-4
- Services: chọn Any.
- Destination: chọn profile Local-Sophos
- Action: Allow
- Nhấn Save
Kiểm tra kết quả #
Kết nối giữa 2 bên VPC Cloud Gen 4 và Sophos UTM đã thành công
Cuối cùng chúng ta sẽ kiểm tra xem các lớp mạng đã có thể ping thấy lẫn nhau chưa.
Ở site head office đã chuẩn bị một server với IP 192.168.150.6/24.
Ở site branch office đã chuẫn bị một PC với IP 192.168.200.3/24.
Chúng ta sẽ thực hiện lệnh ping giữa hai thiết bị.
Đứng trên server với IP 192.168.200.3/24 ping sang 192.168.150.6/24. Kết quả ping thành công.
Ngược lại, đứng trên server ip 192.168.150.6/24 ping sang 192.168.200.3/24. Kết quả ping thành công.
Tổng Kết # #
Tại bài viết này Quý khách sẽ biết được cách cấu hình VPN site to site từ Sophos UTM tới VPC trên Cloud Gen 4. Hy vọng hướng dẫn này sẽ giúp Quý Khách có thể sử dụng dịch vụ với trải nghiệm tốt hơn.
Nếu Quý khách hàng có thắc mắc gì trong quá trình thực hiện, Quý khách có thể liên hệ qua các kênh sau:
- Tổng đài hỗ trợ khách hàng: 19006806 – phím 2
- Email: support@vHost.vn
- Ticket: https://members.vhost.vn/tickets/new/
Nếu Quý Khách có bất kỳ câu hỏi hoặc phản hồi nào, hãy để lại bình luận bên dưới
