Sophos xg firewall настройка
For an IT-guy like me who feels IT-security is an important thing, both at work and at home it is really welcome that Sophos is offering XG Firewall free of charge for home use.
You can sign up for Sophos Home, a free anti-virus solution where you can manage up to three computers from a central management console.
Besides Sophos Home, for a long time Sophos also provides their firewall solution completely free of charge for use in home environments. Both the Sophos UTM and Sophos XG Firewall products are available for free.
Sophos UTM is a firewall that has been around for many years now. It has evolved from the Astaro firewall which Sophos has acquired back in 2011.
Sophos’ latest firewall product is called XG Firewall; a completely rewritten firewall really aiming at the future. This blogpost describes how to get and install Sophos XG Firewall Home Edition.
From the Sophos website:
“Our Free Home Use XG Firewall is a fully equipped software version of the Sophos XG firewall, available at no cost for home users – no strings attached. Features full protection for your home network, including anti-malware, web security and URL filtering, application control, IPS, traffic shaping, VPN, reporting and monitoring, and much more.”
This blogpost contains several steps. Use the following links to jump directly to any step or continue reading for a step-by-step instruction.
Connection List
На этом мы закончим первую часть обзора. Мы рассмотрели только самую малую часть имеющегося функционала и вообще не касались модулей защиты. В следующей статье разберем встроенный функционал отчетности и фаервольные правила, их виды и назначения.
Спасибо за уделенное время.
Всем привет! Данная статья будет посвящена обзору функционала VPN в продукте Sophos XG Firewall. В предыдущей статье мы разбирали, как получить бесплатно данное решение по защите домашней сети с полной лицензией. Сегодня мы поговорим о функционале VPN который встроен в Sophos XG. Я постараюсь рассказать, что умеет данный продукт, а также приведу примеры настройки IPSec Site-to-Site VPN и пользовательского SSL VPN. Итак, приступим к обзору.
Первым делом посмотрим на таблицу лицензирования:
Более подробно о том, как лицензируется Sophos XG Firewall можно прочитать тут:
Ссылка
Но в данной статье нас будут интересовать только те пункты, которые выделены красным.
Основной функционал VPN входит в базовую лицензию и приобретается только один раз. Это пожизненная лицензия и она не требует продления. В модуль Base VPN Options входит:
- SSL VPN
- IPsec Clientless VPN (с бесплатным пользовательским приложением)
- L2TP
- PPTP
Также, в Sophos XG Firewall есть еще два типа VPN соединений, которые не включены в базовую подписку. Это RED VPN и HTML5 VPN. Данные VPN соединения входят в подписку Network Protection, а это значит, чтобы использовать данные типы необходимо иметь активную подписку, в которую, также входит и функционал защиты сети – IPS и ATP модули.
RED VPN — это проприетарный L2 VPN от компании Sophos. Данный тип VPN соединения имеет ряд преимуществ по сравнению с Site-to-site SSL или IPSec при настройке VPN между двумя XG. В отличии от IPSec, RED туннель создает виртуальный интерфейс на обоих концах туннеля, что помогает при траблшуте проблем, и в отличии от SSL, данный виртуальный интерфейс полностью настраиваемый. Администратор имеет полный контроль над подсетью внутри RED туннеля, что позволяет проще решать проблемы маршрутизации и конфликты подсетей.
HTML5 VPN или Clientless VPN – Специфический тип VPN, позволяющий прокидывать сервисы через HTML5 прямо в браузере. Типы сервисов, которые можно настроить:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Разберем на практике, как настроить несколько из данных типов туннелей, а именно: Site-to-Site IPSec и SSL VPN Remote Access.
Packet capture
Из интересного стоит отметить то, что пакеты преобразуются в таблицу, где можно отключать и включать дополнительные столбцы с информацией. Этот функционал очень удобен для поиска сетевых проблем, например — можно быстро понять какие правила фильтрации применились на реальный трафик.
На вкладке Connection List можно посмотреть все существующие коннекты в реальном времени и информацию по ним
Upload ISO image
- Use a FTP Client, such as FileZilla, to upload the Sophos XG ISO to your ProfitBricks account using your DCD login credentials.
- Upload the ISO into the "iso-images" folder.
- Once the internal processing of the image is finished you will receive an email.
Configure Network
-
Connect the first network interface (NIC 0) of the XG with the second NIC (NIC 1) of the jump server.
Connect the second network interface (NIC 1) of the XG with internet access. Note: The interfaces on the XG need to be created in this exact sequence otherwise the further configuration will not work. The network topology should look like pictured below.
Select the jump server and in the Inspector sidebar, select the Network tab, go to NIC 1 and set the Primary IP in this private LAN to 172.16.16.10
Now select the Sophos XG server and in the Inspector sidebar select the Network tab, got to NIC 0, disable the DHCP option and set the Primary IP in this private LAN to 172.16.16.16
System graphs
Затем вкладка, где можно проверить категорию веб ресурса
Live connections
На данной вкладке отображаются активные сессии в реальном времени. Данную таблицу можно фильтровать по приложениям, пользователям и IP адресам клиентских машин.
Reserve IP Addresses
Since the firewall is a permanent device in your network, it is recommended to use a fixed IP address.
- Open IP Manager from the top navigation bar.
- Click on Reserve IPs, provide a name and set Number of IPs to 1. Make sure the correct region of your data center is selected.
- Click the button Reserve IPs.
Create Sophos XG Firewall Instance
- Create the Sophos XG server using a composite instance.
- Use the following settings for the server configuration (based on the recommended requirements by Sophos):
- Cores: 2
- RAM: 4
- HDD size: 64 GB
Do not select any boot image.
Блок User & device insights
В данном блоке показана информация о пользователях. Верхняя строчка показывает нам информацию о зараженных компьютерах пользователей, собирая информацию с антивируса от Sophos и передавая ее в Sophos XG Firewall. По этой информации Firewall может, при заражении, отключать компьютер пользователя от локальной сети или сегмента сети на L2 уровне блокируя все связи с ним. Более подробней о Security Heartbeat было в этой статье. Далее две строчки — это контроль приложений и облачная песочница. Поскольку это отдельный функционал, в этой статье он не будет рассматриваться.
Стоит обратить внимание на два нижних виджета. Это ATP (Advanced Threat Protection) и UTQ (User Threat Quotient).
Модуль ATP блокирует соединения с C&C, управляющими серверами ботнет сетей. Если устройство в вашей локальной сети попало в ботнет сеть, то данный модуль сообщит об этом и не даст подключится к управляющему серверу. Выглядит это таким образом
Модуль UTQ присваивает каждому пользователю индекс безопасности. Чем больше пользователь старается перейти на запрещенные сайты или запустить запрещенные приложения, тем выше становится его рейтинг. Опираясь на эти данные, можно заранее провести обучение для таких пользователей не дожидаясь того, что, в конечном итоге, его компьютер будет заражен вредоносным ПО. Выглядит это так
Далее идет раздел общей информации об активных фаервольных правилах и горячие отчеты, которые можно быстро скачать в pdf формате
Перейдем к следующему разделу меню — Current activities
Начнем обзор с вкладки Live users. На данной странице мы можем посмотреть, кто из пользователей подключен на данный момент к Sophos XG Firewall, метод аутентификации, ip адрес машины, время подключения и объем трафика.
3b. finishing basic configuration
After continuing the next step is to configure the LAN settings. Your IP-address is most likely already configured correctly, but you can also enable a DHCP server on the LAN if you need it or just disable it if you don’t.
Then the setup will ask you if and which network protection features you would like to need.
The first three options are valid for Home Use, the last one about Sandstorm will not work for the Home use version.
The explanation under each of the features should be enough explanation.
Next step is to configure whether or not you would like to receive weekly backups by email automatically.
If you do want to receive the weekly backups, you also need to enter a password that is used to protect the configuration backup files. Do not loose this password, otherwise you will not be able to restore the backup at a later moment.
Next the system will show you a summary of all the selected options during the install, and after clicking on Finish the system will apply all the settings and restart automatically after it finishes.
You can now just wait, the page will refresh once the firewall has restarted and it will show you the login screen.
Provisioning
Now provision all changes by clicking on the Provision button on the top of the designer or Provision xx changes in the Inspector sidebar. The background validation should contain no error or warnings. Click on Provision Now to finally provision all instances and their configurations. This process will take several minutes. The current status can be followed in the Inspector sidebar.
When all jobs have been provisioned a box will pop up letting you know provisioning has been completed successfully. Click the OK button.
Prerequisites
This will provide you with
Step 4: Installation finished
The basic installation is now ready. If you enabled a DHCP server then you can connect new computers to the LAN-side of the firewall and they will automatically receive a local IP-address and have their default gateway set correctly. In fact these machines should immediately have access to the internet protected by your newly setup XG firewall.
Now your basic setup is complete, you may also want to read my article: Configure XG-firewall for Home use.
This article lists a few additional steps I recommend in a home-network.
Furthermore I highly recommend you to register an account in the Sophos Community. That’s the place where you can find a lot of information and highly skilled people that can quickly help you in case you run into problems or if you have some questions on how to configure certain settings in your situation.
If you like this post about Sophos XG, you may also like my other posts about Sophos.
Всем привет! В продолжение данной статьи хочу рассказать вам подробнее о функционале, который предлагает решение Sophos XG Firewall и познакомить с веб интерфейсом. Коммерческие статьи и документы это хорошо, но ведь всегда интересно, а как же решение выглядит в живую? Как все там устроено? Итак, приступим к обзору.
В данной статье будет показана первая часть функционала Sophos XG Firewall — это «Мониторинг и аналитика». Полный обзор выйдет как цикл статей. Идти мы будем, отталкиваясь от веб интерфейса Sophos XG Firewall и таблицы лицензирования
И вот, мы запустили браузер и открыли веб интерфейс нашего NGFW, мы видим приглашение ввести логин и пароль для входа в админку
Вводим логин и пароль, который мы задавали при первоначальной активации и попадаем в наш центр управления. Выглядит он так
Почти каждый из данных виджетов кликабелен. Можно провалиться в инцидент и посмотреть подробности.
Давайте разберем каждый из блоков, и начнем мы с блока System
3c. First login
After logging in for the first time the system will ask you to create a secure storage master key. You can skip this step, but it will come back each time you login, so it’s best to create one and make sure to safe it somewhere secure. You will need this key once you need to restore a backup or when you need to import a configuration.
The system will ask you to confirm that you stored the key in a safe place so you can recover should you need it again (possibly not until after a few years).
Блок Traffic insight
Данный раздел дает нам представление о том, что происходит у нас в сети на данный момент и что происходило за последние 24 часа. Топ 5 веб категорий и приложений по трафику, сетевые атаки (срабатывание IPS модуля) и топ 5 заблокированных приложений.
Также, отдельно стоит выделить раздел Cloud Applications. В нем можно посмотреть наличие в локальной сети приложений, которые используют облачные сервисы. Общее их число, входящий и исходящий трафик. Если нажать на данный виджет, то мы провалимся на страницу информации по облачным приложениям, где сможем более подробнее посмотреть, какие облачные приложения есть в сети, кто ими пользуется и информацию о трафике
Step 1: Get the software
Go to the Sophos website and click on Get Started.
Here you need to register for your free serial number that you need later during installation. You will receive the serial number by email. After filling in the details and submitting them, you’ll see the following page that confirms successful registration.
From here you can immediately download the ISO file that you need to install the software. When installing on a real physical computer, you need to either burn the ISO to a rewriteable CD/DVD or to a USB memory stick using the Rufus tool. When using Rufus remember to write in DD image mode, not ISO image mode.
Web-based Activation of Sophos XG
Open a Remote Desktop Connection to the public IP address of the Windows jump server. You will find the public IP address in the NIC 0 Primary IP field in the Inspector sidebar after selecting the jump server in your VDC. Note: This IP address has been dynamically assigned and may change after a power off of the server.
When you now log in for the first time, you will need to activate your device. Enter a valid serial number you have received from Sophos. Then click on Activate Device.
Note: in some cases, the public IP address configured via DHCP is not persisted on the firewall. In this case, the activation will fail with the error message No internet connection. Check your internet connection as described in the product documentation. Go to Basic Setup, select Static as IP Assignment and provide the following information:
and click on Save Changes.
- Now try to activate the device once more.
- After the successful activation, you will need to register your device. Click Register Device to initiate the registration process.
After clicking Register Device, you are redirected to the MySophos portal website. If you already have a MySophos account, click on Login. If you are a new user, sign up for a MySophos account after clicking on Create Sophos ID.
After successful login, click Continue on the next window.
After successful registration of the device, you need to synchronize license details with Sophos servers. Click Initiate License Synchronization to initiate the process.
If the license has been successfully synchronized, you will see the Welcome page. Start the Network Configuration Wizard by clicking on Click Here.
The wizards walks you through the steps to setup initial configuration of your Sophos XG Firewall so that you can begin creating your security policies.
Step 3a: registering and activating the firewall
It is safe to skip this specific warning, so by clicking on Advanced, you can continue loading the website (different web browsers may show the warning somewhat different).
After clicking on ‘Click to begin’ you first need to change the default admin password. Also if the WAN-port is already connected correctly (DHCP-address from modem or router) then you can leave the checkbox to install the latest firmware automatically during setup enabled. Also you need to once more accept the EULA and acknowledge Sophos’ Privacy Policy to continue.
After continuing, you’ll need to setup the firewall’s name and time zone.
Next step is to register the firewall (you can skip this step for the first thirty days, but after this time you must register to keep the firewall up-and-running. You will have received the serial number by email after step 1 of this instruction.
After entering the serial number your firewall should be registered. For this you need to create a Sophos ID or log in to it if you already have one. From your Sophos ID you will always have access to your serial number and downloads at a later time.
After registering the license can immediately be synchronized with your firewall
URL category lookup
Следующая вкладка Packet capture — это, по сути, встроенный в веб интерфейс tcpdump. Можно также писать фильтры
Sophos Network Configuration Wizard
The Network Configuration Wizard will appear. Click Start to initialize the network configuration process.
On the next screen, select Gateway Mode as the mode of deployment and click the > button.
On the Port Configuration screen, configure the IP addresses of the interfaces. Usually, you will not need to change the settings. Click > when ready.
On the DNS Configuration screen, enter the IP address of your organization’s DNS servers or add IP address of public DNS servers. The example below uses Google’s DNS servers. Click > when ready.
On the Default Network Policy screen, select the desired Network Policy. You can leave this unconfigured for now. (Note: all configuration settings performed during the Network Configuration Wizard can also be changed afterwards.)
On the Mail Server Configuration screen, configure the following parameters:
Click > when ready.
On the Date & Time Configuration screen, select the Time Zone according to your current location and enter the Date and Time accordingly. Preferably, select Automatically Synchronize with NTP Server and Use pre-defined NTP Server. Click > when ready.
The Configuration Overview screen will appear, displaying a summary of the Gateway Mode configuration. If you don’t want to send App & Thread data to Sophos, disable the option. Click Finish to complete the basic configuration.
Confirm the configuration by clicking on OK.
The reconfiguration will take a couple of minutes. Afterwards the wizard will finish and you will be redirected to the login page.
Your Sophos XG Firewall is now installed and preconfigured in Gateway Mode. For further configuration, please see the official Sophos XG Reference Guide.
Программный маршрутизатор Sophos XG Firewall для x86 платформы – обсуждение
Программный маршрутатор и одновременно Next-Generation Firewall (NGFW) для установки на x86 платформы.
Межсетевые экраны нового поколения (Next-Generation Firewall, NGFW) — это интегрированные платформы, в которых классический межсетевой экран и маршрутизатор сочетаются с новейшими идеями для фильтрации трафика, такими как системы глубокого анализа трафика Deep Packet Inspection (DPI), аутентификация пользователя любым способом, система предотвращения вторжений Intrusion Prevention System (IPS), и др.
Версия Home Edition решения Sophos XG Firewall предоставляет полную защиту вашей домашней сети, включая все функции коммерческой версии: защита от вирусов, веб фильтрация по категориям и URL, контроль приложений, IPS, шейпинг трафика, VPN (IPSec, SSL, OpenVPN, HTML5 и др.), отчетность, мониторинг и многое другое. Например, с помощью XG Firewall можно провести аудит сети, выявить рисковых пользователей и блокировать трафик по приложениям. Автоматические обновления антивирусных баз.
Поставляется в виде законченного ISO образа с собственной ОС на базе ядра Linux.
Текущая версия SFOS v18
Работа на Intel-совместимом оборудовании и в виртуализации (wmvare).
Не лицензируется по IP адресам.
Ограничение по сравнению с коммерческой версией — используются до 4 ядер CPU, и до 6ГБ RAM.
Функциональных ограничений бесплатной версии нет.
Пропускная способность маршрутизатора, число портов зависит исключительно от процессора, количества сетевых интерфейсов, количества памяти.
Можно на простом "домашнем" железе собрать систему, которая обеспечит пропускную способность до 1Гбит/с .
-x86 платформа на базе процессора AMD, Intel (от Atom, Celeron и выше)
-от 2 до 6 GB RAM
-HDD от 16 GB
-не менее двух сетевых интерфейсов (сетевых карт)
Как скачать бесплатную домашнюю версию.
Для установки ПО на вашу платформу необходимо:
1. Записать установочный образ iso (примерно 412МБайт) на флешку,например, программой Rufus.
2. Подключить монитор, клавиатуру. Загрузиться с флешки, согласиться с тем, что данные на жестком диске будут уничтожены.
3. Следовать инструкциям.
4. После успешной установки вы можете попасть в консоль xg firewall с логином admin и паролем admin
В консоли вы можете поменять ip-адреса на интерфейсах LAN/WAN. Можно ничего не делать и оставить все умолчанию как есть (рекомендуется).
5. Подключиться ноутбуком/компьютером напрямую к LAN интерфейсу xg firewall. Удостоверится, что ноутбук получил по DHCP адрес (172.16.16.x)
6. Подключить WAN порт xg firewall в домашнюю сеть с выходом в интернет, для первоначальной настройки. (По умолчанию на WAN интерфейсе настроен DHCP клиент)
Видероинструкции по первоначальной настройке xg firewall и настройке VPN доступа извне.
После успешной настройки вы можете выключить свой старый маршрутизатор и поставить вместо него xg firewall.
Как создать OpenVPN сервер и OpenVPN пользователей.
Пользователь может зайти удаленно на портал пользователей XG удаленно и скачать готовый кастомизированный под него профайл или сертификат OpenVPN. Там же, прямо с портала можно скачать клиент для Win.
Весьма актуально для удаленки
Не забудьте создать разрешающее правило - из зоны VPN в зону WAN ( если нужен выход в Интернет) и в зону LAN (если нужен доступ к локалке)
По умолчанию включен SSL режим TCP (для работы через сети мобильных операторов)
Sophos XG различает два типа пользователей:
1. Конечных пользователей, которые подключаются к Интернету из-за брандмауэра (или удаленно из Интернет к брандмауэру)
2. Пользователей-администраторов, которые имеют доступ к объектам и настройкам брандмауэра.
Traffic shaping
Используя политики Traffic shaping, вы можете управлять пропускной способностью и назначать приоритеты различным типам трафика,
чтобы уменьшить влияние ограниченной пропускной способности вашего Интернет -канала.
Политики определяют тип ассоциации трафика.
Например, вы можете создать политики, которые будут использоваться для ограничения пропускной способности для пользователей или приложений.
Вы можете ограничить политики по времени, указав расписание.
Документ по выбору требуемого железа в зависимости от предполагаемой нагрузки
Примерная грубая табличка по числу обслуживаемых пользователей исходя из использования процессора с ядрами "Intel Core I 2,4 ГГЦ"
Ограничение бесплатной версии - 4С6 (4 ядра процессора + 6ГБ памяти). Зона "бесплатности" обведена карандашом
Видно, что бесплатная версия на железе 4 ядра 6 ГБ памяти в "полной защите" (Full Guard) вытянет примерно 150 пользователей.
Если ограничится только Firewall - до 500 пользователей.
Надо понимать, что режим "Full Guard" - это глубокий анализ трафика "на лету", и бытовым роутерам типа Асуса такое даже не снилось в кошмарном сне.
Конечно, много зависит от тактовой частоты процессора. При возрастании частоты производительность растет "значительно" (цитата)
На практике для домашнего варианта вполне подойдет двух или четырех ядерный Целерон.
Реальный пример - миниатюрный х86 ZBOX-CI321NANO с двумя ядрами 1,2 ГГц Целерон терминирует два туннеля IPSEC (примерно 10-20 мбит/с) и одновременно шлюзует домашнюю сеть в Интернет (60 Мбит/с) (full guard).
Загрузка проца не превышает 25-30 процентов.
Все на самом деле просто, это еще одна версия для продажи под хомячков. Аналитика трафика? В век шифрованного трафика звучит заманчиво и загадочно, анализа нет - а белые списки можно где хочешь ввести. Сигнатуры? Актуальные каждую секунду да и слив информации обеспечен. А сигнатуры то на какой рынок обеспечены? А у нас пользователи ходят на аналогичные ресурсы без сигнатур от этого производителя.
И в итоге кроме построения графиков за 4 ядра и 6гб вы ничего не получите.
Зачем делают сервера и сетевые экраны в энтерпрайз сегменте? Для интеграции своих продуктов! А с чем работает эта система? Да хз. А анализом трафика все занимаются через снифер и датацентры.
С одним интерфейсом - "firewall / router on a stick", есть такое. Однако лично я пользую 2 LAN интерфейса, ибо.
Тем паче, что fanless miniPC с 2-мя интерфейсами можно купить легко, давно есть и с 4,5,6.. LAN.
Не говоря уже про втыкание ещё одной сетевухи в micro-ATX или даже в ноут платой расширения.
На коробочке 4-core, 4GB RAM, как лучше использовать ресурсы x86, не парить мозг и продолжать сидеть на чистом XG поверх железа?
А какой гипервизор меньше ресурсов жрёт, из бесплатных версий vSphere or Hyper-V ? Или всё равно, нет смысла 2 из 4 ядер и 2 из 4GB RAM отдавать?
Не вижу смысла ставить на stick, ибо нужен свитч с вланами, который сам по себе стоит примерно полтиннник у.е. Смысл?
К тому же, понятно, один физический порт эзернет на стике будет бутылочным горлышком на скоростях подключения в сотни мегабит.
У нас такие скорости становятся нормой.
1. Ставил напрямую на х86 с флешки, подготовленной ruckus. Без проблем.
2. XG без проблем подключился к прову по pppoe
3. пока не апгрейдил
4. чем?
6. беру на ибее серверные Intel SSD, никаких проблем не было никогда.
Виртуалка актуальна для тех, у кого 24/7/365 работает машина для виртуалок. У меня такая есть, для работы, жрет энергии много, поэтому мне жалко электричества.
Я предпочел fanless PC с двумя сетевыми картами. На ибее навалом. Или на али, или еще дешевле - таобао.
В похожем случае надо сделать так:
1. Подставить MAC-address от ранее подключённого WiFi роутера (мой каб.модем почему-то miniPC ничего не выдаёт по DHCP и вручную тоже не обойти):
Configure-Network-Port2(WAN)-Edit interface-Advanced settings-Override default MAC address и туда вставить заранее скопированный MAC-address от ранее подключённого роутера.
3. Выключить и включить все сет.устройства (свичи, точки доступа..), которые идут далее в сетке после вашего свежеустановленного firewall, чтобы адреса обновились.
Не забыть где и как настроены ip, а то ваш новый Sophos XG раздаёт по DHCP, а точка доступа имеет статически прописанный и т.п.
4. Открыть пиво и читая маны, регистрировать Sophos XG полученным серийником, обновлять сигнатуры и детально настраивать firewall
(прямо в панели управления сверху ссылки на видео-гайды How-to и текстовый help)
P.S. В моём случае после выключения-перезагрузки при нач.настройке п.п. 1 и 2 - нужно было подключить USB клаву к mini PC и нажать Enter, иначе он не грузился полноценно.
В моем случае (версия 17.5) дефолтная конфигурация нормально работает из коробки, надо было только настроить линк на провайдера (РРоЕ)
Вообще, как и у Микротика, не нужно сносить дефолтный файрвол
Он нормально работает.
Есть хитрость с DHCP сервером.
Для статических адресов надо зарезервировать диапаазон, который не должен пересекаться с дипазоном дин. адресов. (например 172.16.16.50-172.16.16.100 для статики 172.16.16.100-172.16.16.254 для динамики)
Забить в таблицу статических записей пару МАК-адрес (172.16.16.50-172.16.16.100) .
Клиент с данным МАКом получит по дхцп статический адрес.
Клиент вне таблицы получить по дхцп динамический адрес из диапазона 172.16.16.100-172.16.16.254 .
Sophos XG Firewall русифицирован.
На страничке входа в ниспадающем меню выберите русский язык и залогиньтесь.
1. Сначала создаем пользователя по пути Configure- Authentification - Users
Указываем логин/пароль/e-mail
Указываем - Sophos Connect Client - Enable
Сохраняем пользователя.
2.Идем по пути Configure - VPN - Sophos VPN Client
Создаем нового пользователя.
Указываем пассфразу.
после конфигурирования пользователя экспортируем его конфиг и высылаем пользователю (почтой или вайбер/телеграм).
Пользователь после установки Sophos VPN Client на своем РС импортирует конфиг и запускает соединение.
Указывает логин/пароль по п.1.
Все работает.
Таким образом заметно упрощается создание IPSEC соединения для удаленщиков.
Для того чтобы удаленщики могли выходить в Интернет, надо создать разрешающее правило, из зоны VPN в зону WAN (на видео подробно)
Можно разрешать избирательно, отдельным пользователям (Match Users)
При создании пользователя по п.1 можно назначить ему персональные политики ограничения скорости, трафика, и т.д.
Как смотреть логи.
1 способ.
Есть кнопка вэб-просмотра справа сверху дашборд.
2 способ.
Некоторые логи, в частности дебаги, требуют консольного доступа
Зайти по ssh, каталог /log
(как попасть в шелл: ssh > option 5 > option 3)
Кому нужнол поднять site-to-site IPSEC туннель с Mikrotik - см. нюансы:
проверенный конфиг микротика версии 6.46.5
Select ISO Boot Device
Select the Sophos XG instance, go to the Inspector sidebar and select the Storage tab. Now click on Add CD-ROM.
In the Create New CD-ROM pop-up, click on No Image Selected, navigate to Own Images and select the previously uploaded Sophos XG ISO.
Leave Boot from Device unchecked
Заключение
В данной статье мы вкратце пробежались по функционалу VPN в продукте Sophos XG Firewall. Посмотрели, как можно настроить IPSec VPN и SSL VPN. Это далеко не полный список того, что умеет данное решение. В следующих статьях постараюсь сделать обзор на RED VPN и показать, как это выглядит в самом решении.
Спасибо за уделенное время.
This guide provides detailed step-by-step instructions to upload, provision, install and configure the new Sophos XG Firewall in a ProfitBricks virtual Data Center (VDC).
Remote Access SSL VPN
Перейдем к Remote Access SSL VPN для пользователей. Под капотом крутится стандартный OpenVPN. Это позволяет пользователям подключаться через любой клиент, который поддерживает .ovpn конфигурационные файлы (например, стандартный клиент подключения).
Для начала, надо настроить политики OpenVPN сервера:
Указать транспорт для подключения, настроить порт, диапазон ip адресов для подключения удаленных пользователей
Также, можно указать настройки шифрования.
После настройки сервера, приступаем к настройке клиентских подключений.
Каждое правило подключения к SSL VPN создается для группы или для отдельного пользователя. У каждого пользователя может быть только одна политика подключения. По настройкам, из интересного, для каждого такого правила можно указать, как отдельных пользователей, кто будет использовать данную настройку или группу из AD, можно включить галочку, чтобы весь трафик заворачивался в VPN туннель или указать доступные для пользователей ip адреса, подсети или FQDN имена. На основе данных политик будет автоматически создан .ovpn профайл с настройками для клиента.
Используя пользовательский портал, пользователь может скачать как .ovpn файл с настройками для VPN клиента, так и установочный файл VPN клиента со встроенным файлом настроек подключения.
Step 2b Basic configuration
Enter the default password: admin en press enter, next the End User License Agreement will show.
If you agree with the EULA, then press A, and the main menu will show:
The firewall is now ready to be setup from a web browser. It may however be convenient to first configure the IP-address of the LAN interface. The default IP-address is 172.16.16.16 which may not be reachable from the computer you use to configure the firewall. To change the IP-address press 1 in the Main Menu for Network Configuration, then 1 for Interface Configuration. The system will show the currently configured and/or assigned IP-addresses for the LAN and WAN interface. First it will show the LAN interface (172.16.16.16/255.255.255.0), then after continuing it will show details of the WAN interface.
After showing both interfaces the system asks if you want to set the IPv4 Address. Choose ‘y’ and Enter to do so and fill in the correct values for your own network:
After entering the correct values for use in your own network it will show the configuration is Done. The WAN-port cannot be set from here at this time. After confirming the system will ask if you want to also set the IPv6 Address. If necessary then do so, otherwise just hit Enter for no.
The Network configuration menu will show again. Press 0 to exit to the main menu and 0 again to exit from the menu and log out.
IPsec connections
На данной вкладке отображается информация о активных соединениях IPsec VPN
Блок System
Данный блок отображает состояние машины в реальном времени. Если нажать на любую из иконок, то мы перейдем на страницу с более подробной информацией о состоянии системы
Если в системе есть проблемы, то данный виджет об этом просигнализирует, а на странице информации можно посмотреть причину
Переходя по вкладкам, можно получить больше информации о разных аспектах работы межсетевого экрана
Вкладка Remote users
На вкладке Remote users находится информация о удаленных пользователях, которые подключились через SSL VPN
Также, на этой вкладке можно посмотреть трафик по пользователям в реальном времени и принудительно отключить любого пользователя.
Пропустим вкладку Reports, так как система отчетов в данном продукте очень объемна и требует отдельной статьи.
Сразу открывается страница с разными утилитами поиска проблемы. В них входит Ping, Traceroute, Name lookup, Route lookup.
Далее идет вкладка с системными графиками загрузки железа и портов в реальном времени
Step 2a: Install the software
Before installing the firewall beware that the installation will completely erase disk in the machine.
After starting the installer you get one warning that the disk will be erased and the opportunity to stop the installation.
Press ‘y’ to continue. The installation will start and after a short wait it will tell you that the installation has finished. Remove the installer disk and press ‘y’ again to reboot the machine. After restarting the system greets you with a password prompt.
Create or use virtual data center
Login in to the DCD and create a new data center or select an existing one.
Install Sophos XG Firewall
The installer will now format the empty storage volume, create a new file system, and install all necessary files. A progress indicator allows you to monitor the progress.
-
After all files have been installed, press y to reboot the firewall.
At this point, the system is running Sophos XG Firewall Software Appliance. After the first boot, the system will present details about the hardware configuration and prompt for a password. The default password is admin.
Accept the EULA by pressing a.
Per default, the Sophos XG assigns the IP address 172.16.16.16 to its first NIC. At this IP address the web based Admin Console is also accessible. In order to activate the firewall, an internet connection is required. Verify the network configuration before starting the actual web based configuration. Using the console, in the Main Menu select 1 for network configuration.
Select 1 for interface configuration.
Make sure that interface Port1 contains the IPv4 address 172.16.16.16. A gateway does not need to be configured. Press enter to continue.
Make sure that interface Port2 contains the reserved public IPv4 address assigned by the ProfitBricks DHCP server. This IP address should match the one displayed in DCD under the network setting of your Sophos instance. For external communication a gateway IP address must also be set. Again, this should be automatically assigned via the DHCP server.
If any of the IP addresses are not correct, press y on the following screen and enter the correct IP address.
Site-to-Site IPSec VPN
Начнем с того, как настроить Site-to-Site IPSec VPN туннель между двумя Sophos XG Firewall. Под капотом используется strongSwan, что позволяет подключиться к любому маршрутизатору с поддержкой IPSec.
Можно использовать удобный и быстрый wizard настройки, но мы пойдем общим путем, чтобы на основе данной инструкции можно было совместить Sophos XG с любым оборудованием по IPSec.
Откроем окно настроек политик:
Как мы видим, существуют уже предустановленные настройки, но мы будем создавать свою.
Настроим параметры шифрования для первой и второй фазы и сохраним политику. По аналогии, делаем такие же действия на втором Sophos XG и переходим к настройке самого IPSec туннеля
Вводим название, режим работы и настраиваем параметры шифрования. Для примера будем использовать Preshared Key
и укажем локальные и удаленные подсети.
Наше соединение создано
По аналогии, делаем такие же настройки на втором Sophos XG, за исключением режима работы, там поставим Initiate the connection
Теперь у нас есть два настроенных туннеля. Далее, нам надо их активировать и запустить. Делается это очень просто, надо нажать на красный кружок под словом Active чтобы активировать и на красный кружок под Connection, чтобы запустить коннект.
Если мы видим такую картинку:
Значит наш туннель работает корректно. Если второй индикатор горит красным или желтым, значит что-то неправильно настроили в политиках шифрования или локальных и удаленных подсетях. Напомню, что настройки должны быть зеркальными.
Отдельно хочу выделить, что можно из IPSec туннелей создавать Failover группы для отказоустойчивости:
Create Jump Server Instance
Initial configuration of the Sophos XG needs to be done from a web page running on the XG. This web page is only accessible from the internal LAN interface of the XG and not from the public (internet) interface of the XG. In order to access the web page, a jump server, located in the same internal LAN as the XG, is therefore needed.
- In your VDC, use a Composite Instance to create a Windows 2012 server which will be used as a jump server.
- Use the default settings for the server configuration.
- Select the ProfitBricks image windows-2012-r2-server as boot volume.
- Increase storage size (Size in GB) to 15 in order to accommodate minimum requirement of Windows Server 2012 R2.
- Provide a Password for the administrator account.
- Attach the server to the Internet Access box.
Читайте также: