Cấu hình thiết lập IPSec VPN Site-to-Site giữa Firewall Sophos XG và Palo Alto bằng DDNS

I/ Tổng quan:
- Bài hướng dẫn này hướng dẫn cách cấu hình thiết lập kết nối IPsec VPN Site-to-Site giữa 2 Firewall Sophos XG và Palo Alto sử dụng DDNS.

II/ Yêu cầu:
- Bạn cần tạo 1 tài khoản DDNS. Trong bài hướng này chúng tôi tài khoản DDNS của nhà cung cấp No-IP với hostname: vacifcoltd.ddns.net cho Firewall Palo Alto.

III/ Mô hình triển khai:

​

IV/ Hướng dẫn cấu hình:
4.1| Cấu hình trên Sophos:

4.1.1/ Cấu hình Policy:
- Vào trang VPN > IPSec Policies > click Add.
- Nhập tên policy VPN: Name

• Chọn Key exchange là IKEv2 và Authentication Mode là Main Mode.
• Nhập Key Negotiation Tries là "0".
• Tick chọn ô Re-key connection.

​

​

- Bên dưới tab Phase 1 cấu hình thêm:

• Key Life: 28800
• Re-key Margin: 360
• Randomize Re-Keying Margin: 50.
• DH Group (Key Group): 2 (DH1024).
• Encryption: AES256
• Authentication: SHA2 512.

​

​

- Cấu hình tab Phase 2:

• PFS Group (DH Group): None.
• Key Life: 3600.
• Encryption: AES256.
• Authentication: SHA2 512.

​

​

- Cấu hình trong Dead Peer Detection:

• Check Peer After Every: 30 seconds
• Wait for Response Up: 120 seconds.
• When Peer Unreachable: Re-initiate.

​

​

- Click Save để lưu.
4.1.2/ Cấu hình các thành phần IPsec:
- Vào trang Configure > VPN > IPsec Connections > click Add
- Cấu hình các thông tin trong tab General Settings:

• Name: tên line kết nối IPsec.
• IP Version: chọn IPv4.
• Connection Type: chọn Site-to-Site
• Gateway Type: chọn Initiate the Connection.
• Tick chọn Create Firewall rule: để firewall tự tạo rule cho phép traffic VPN đi qua.

​

​

- Trong tab Encryption, cài đặt thông số:

• Policy: chọn Policy đã tạo ở bước 4.1|.
• Authentication Type: chọn Preshared Key.
• Nhập key vào 2 ô: Preshared Key & Repeat preshared key.

​

​

- Trong tab Gateway setting, cấu hình:
- Mục Local gateway:

• Listening interface: chọn port nghe yêu cầu kết nối VPN
• Local Subnet: thêm lớp mạng nội bộ ( vd: LAN_SPXG).

- Mục Remote gateway:

• Gateway Address: nhập hostname ddns đã tạo vacifcoltd.ddns.net.
• Remote Subnet: thêm lớp mạng ở đầu xa (site Palo Alto).
• Click Save.

​

​

4.2| Cấu hình trên Firewall Palo Alto:

- Trên giao diện GUI của Palo Alto vào đường dẫn: Network Profiles > IKE Crypto > nhập tên cho profile (vd: PA_P1). Trong tab IKE Crypto Profile cấu hình các thông số:

• DH Group > click Add > tạo nhóm mới (vd: group 2).
• Encryption: aes-256-cbc.
• Authentication: sha512.
• Timer > Key Lifetime: 28800 second.
• IKEv2 Authentication Multiple: 0

- Click OK ​

​

- Vào lại trang Network > IPsec Crypto > và tạo thêm profile.

• Nhập tên profile: Name.
• IPSec Protocol: ESP.
• DH Group: no-pfs.
• Encryption: aes-256-cbc.
• Authentication: sha512.
• Lifetime: chọn Seconds và nhập 3600.

- Click OK.​

​

- Tạo thêm Chứng chỉ xác thực, vào trang Device tab > Certificate Management > Certificates > Generate.

• Certificate Type: chọn Local.
• Certificate Name: nhập tên của CA.
• Common Name: nhập hostname ddns vacifcoltd.ddns.net.
• Tick chọn Certificate Authority.
• Chọn thêm các thông tin: Algorithm, Number of bits, Digest.
• Certificate Attributes:
  • Click Add, chọn Host Name và nhập vào vacifcoltd.ddns.net
  • Click Generate.

​

​

- Tạo IKE Gateway, để thêm profile PA_P1, vào đường dẫn Network > IKE Gateway > General và tạo 1 Gateway mới.

• Name: nhập tên gateway.
• Version: chọn IKEv2 only mode.
• Address Type: chọn IPv4.
• Interface: ethernet1/1.
• Local IP Address: None.
• Peer IP Type: Static.
• Peer IP Address: 115.100.230.50.
• Authentication: Pre-Shared Key và nhập Pre-Shared Key 2 lần.
• Local Identification: chọn FQDN (hostname) và nhập địa chỉ ddns vacifcoltd.ddns.net.
• Click OK.

​

​

- Vào đường dẫn Network > IKE Gateway > Advanced Options.

• Trong mục Common Options, chọn Enable Passive Mode.
• Trong mục IKEv2, chọn IKE Crypto Profile là PA_P1 đã tạo trước đó.
• Liveness Check > Interval > đặt thông số là "5".
• Click OK.

​

​

- Tạo Tunnel Interface: vào trang Network > Interface > Tunnel > click Add.​

• Nhập tên InterfaIn: Name.
• Chọn Virtual Router dã được tạo.
• Security Zone: chọn Zone Lay 3 nội bộ.
• Click OK.

​

​

- Vào đường dẫn: Interfaces > Ethernet > Ethernet 1/1 > Advanced > DDNS.

• Click vào Settings và Enable.
• Hostname: vacifcoltd.ddns.net
• Vendor: chọn No-IP
• Username và Password: nhập tài khoản và mật khẩu bạn đã đăng ký DDNS của No-ip.
• Certificate Profiles: chọn New Certificate Profiles
• Nhập tên là VPN_Cer > click Add > CA Certificate chọn CA_VPN. Click Ok.

​

​

- Tiếp theo vào IPSec Tunnel > click Add.

• Name: nhập tên Tunnel này.
• Tunel Interface: chọn tunnel.
• IKE Gateway: chọn PA, đã tạo ở bước trên.
• IPSec Crypto Profiles: chọn PA_P2.
• Click Ok.

​

​

- Để kích hoạt kết nối VPN: chọn tunelpa, click Enable > click Yes.​

​

- Cấu hình thêm Firewall Rule để cho phép traffic của VPN đi qua.
- Tạo Local Subnet và Remote Subnet. Vào trang Object > Address. Click Add.

• Tạo Local Subnet:

​

​

• Tạo Remote Subnet:

​

​

- Vào trang Policies > Security > Add. Tạo 2 policy như sau:

• LAN-VPN: Source (chọn Local) – Destination (chọn Remote)
• VPN-LAN: Source (chọn Remote) – Destination (chọn Local)

​

​

!!!Cuối cùng: Bạn phải click Commit lưu và áp dụng tất cả các cấu hình.
​

- Sau đó quay lại Sophos XG:

• Vào đường dẫn Configure > VPN > IPsec Connections.
• Bên dưới Status, click Active and Connection để kích hoạt và tạo kết nối VPN.

​

V/ Kết quả:
- Thiết lập thành công IPSec VPN Site to Site giữa Firewall Sophos XG và Palo Alto sử dụng DDNS.

​