Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》RED設定 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392

shunze 離線
《分享》RED設定引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

RED是Sophos在UTM 9後,也跟著導入XG的一個Site-to-Site VPN硬體架構;
藉由一個RED實體裝置,將外點與總公司網路做個VPN Tunnel的連結。



目前RED共有三款,型號分別是RED 15、RED 15W與RED 50,
RED 15官方說法建議人數為10人,而RED 50則為20人;
RED 15的效能比較不好,可以的話儘量選RED 50來進行架設吧!


↑台灣目前沒有賣RED 15W喔!

架設時,若RED位在防火牆下,那麼該防火牆請務必開放34003410TCPUDP port,
在這RED建立layer 2 tunnel時會用到,若沒有開放,RED跟XG是不會通的喔!

若不確定環境中TCP 3400對外是否有開啟,可用以下telnet指令做個簡單測試。

telnet red.astaro.com 3400


RED於Sophos XG中的設定流程說明如下
  • 啟用RED

    在一台全新的XG防火牆中,預設是未啟用RED功能的,
    要啟用RED功,請到 System > System Services > RED 中啟用RED。



    啟用RED功能,需建立一些相關資料,其中最重要的就是這個email欄位。



    因為它會直接關係到RED註冊後的unlock code寄發,所以email請不要隨便亂填!


    ↑由Sophos provisioning service所寄的RED ublock code通知信sample。

    資料填妥後,RED的功能啟用就完成了!



  • 設定RED介面

    RED功能啟用後,接下來就要對個別的RED進行組態配置;
    在網路管理介面中,新增一個RED。



    在RED Settings中,要選擇RED的型號,並填入正確的RED ID與unlock code。
    Firewall IP請輸入要提供連入的遠端XG的WAN IP,讓RED可以透過此IP來進行連結與tunnel的建立。


    ↑若為RED 50則有兩組WAN可供連結,其它型號就只有一組WAN可以連結。

    至於部署的方式,有透過網路自動部署及透過USB裝置兩種部署方式。
    若RED所在環境沒有DHCP,只能手動設定IP,則需要透過USB裝置來進行部署,順子會在下一篇來做個測試。

    然後在Uplink Settings中,我們要設定RED的WAN IP取得方式。
    若環境中有DHCP是比較方便的,若為手動IP設定,需配合USB來進行部署。


    ↑同樣的若為RED 50則有兩組WAN可供連結,其它型號就只有一組WAN可以連結。

    接下來在RED Network Settings中,我們要設定RED後面LAN端的環境設定方式。
    由於RED提供了三種模式,所以我來看看這三種模式在設定上有何不同?



    1. Standard/Unified mode
      在標準模式下,RED後端的LAN全部流量都往遠端XG送,
      RED LAN端的user上網policy,統一在XG上進行管理。



    2. Standard/Split
      在此模式下,RED後端的LAN對外的流量,預設還是往自己local的WAN送;
      只有通到遠端XG的內部網段才會透過VPN tunnel往XG送。



    3. Transparent/Split
      在透通模式下,RED不介入原有的網路環境,不當DHCP server、不當Gateway,
      它只提供一個管道讓user可透過RED連到遠端XG的內部網段。
      所以在原有的防火牆上/router上,需要設定static route,將遠端網段導到RED去。



    而不論哪一種模式,都有一定會Zone這個選項。
    因為XG是Zone base防火牆,在設定network policy時,會定義了Zone與Zone間的存取原則,
    而RED在連上XG後,形同XG上的一個interface,
    與其它Zone的存取關係,自然也是透過Zone to Zone的network policy來制定。


    最後在Switch Settings中,可以設定RED的LAN將以何種方式提供使用(帶tag或不帶tag的VLAN port)。
    此功能只有在RED 50才有提供。


  • 觀察與測試

    在上述設定完成儲存後,我們可以在interface中看到RED的這一筆設定。



    把RED實際接在客戶端防火牆下與XG做連結,成功後,會在Misc雜項看到RED的WAN端口配置。



    然後在Log Viewer中,也可以看到RED已成功連上來,並在模準模式中,配發DHCP給使用者。



    當然在RED下的使用者,透過tracert來觀察路由,
    也可以發現到連外是先連到RED的192.168.77.1,然後再透過遠端XG上的Default Gateway 211.75.130.254連外,
    在標準模式下,確實所有的封包都是往遠端XG送出。


RED的基本設定配置到此完成~


*****2025/1/3補充*****
SFOS自20版開始,RED在裝置存取中有一個獨立的區塊,
而且預設是停用的!
在架設RED時,若發現RED device無法連線成功,請檢查一下這個選項是否有勾選喔!



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!


2016-09-10, 16:04 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392

shunze 離線
《分享》RED透過USB進行部署引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在上一篇提到,若部署的環境中沒有DHCP server,
RED的WAN端無法透過DHCP來取得IP時,那麼只能透過USB來進行固定IP的設置,其做法如下。

  1. 在RED Settings中勾選Manually via USB Stick,
    然後在下方Uplink Settings輸入您要的IP配置。



  2. 完成後,在Interface的RED中,下載Provisioning檔案,



    然後把這個red檔複製到USB隨身碟中備用。



  3. 把這個USB隨身碟插到RED上,
    重開機後,RED就會在USB隨身碟中找到此red檔來套用組態。

    完成後,在XG上就會看到RED以我們配置的IP成功連上XG了~



透過USB來部署,其實也是很簡單的。



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!


2016-09-10, 17:47 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392

shunze 離線
《分享》關於Unlock Code的補充說明引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在拿到全新還未使用過的RED時,這unlock code可以隨便亂打一個長度8碼的code,
待RED資料建立完成後,它會跟provisioning service提交,並產生一個新的unlock code透過mail寄給您。



若之後該RED要重新部署到另一台XG時,就要使用此新的unlock code來解除鎖定,
然後provisioning service中心會產生下一個unlock code於XG的RED介面中,
供下一次移轉使用。


↑可於RED介面中查看新的unlock code。


但若部署失敗,RED未能成功透過連線XG,
unlock code並未透過RED成功提交到provisioning service進行轉換,
在此情況下,unlock code還是原來那個舊的code,這點在操作時很容易混淆喔!

若unlock code遺失或真的搞不清楚了,該怎麼辦?
那只剩一條路,跟support@sophos.com call help吧...



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!


2016-09-10, 18:06 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392

shunze 離線
《分享》RED介面自動被停用?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在測試RED的過程中,順子遇到過3次RED突然不能連上XG的狀況。

最後發現原因都是在XG中,RED interface被disabled,
只要把它啟用,即可恢復正常連線。



那這個disabled狀況跟RED設定中的 Automatic Device Deauthorization 有沒有直接關係呢?
就讓順子來做個測試吧~

啟用 Automatic Device Deauthorization 並設定時間為10分鐘。



  • RED斷線兩天後,雖然在XG上看到RED介面狀態是on的。

    但只要一接上RED後,該RED介面就會被off掉,必需手動啟用後,RED才能恢復正常連線。

  • RED斷線15分鐘後,在XG上看到RED介面狀態是on的。

    但只要一接上RED後,該RED介面就會被off掉,必需手動啟用後,RED才能恢復正常連線,與斷兩天結果相同。

  • RED斷線8分鐘後,在XG上看到RED介面狀態是on的。

    不過接上RED後,該RED介面還是處於on的狀態,RED可以直接使用,
    沒有上述斷線兩天或15分鐘後,RED介面被disabled的狀況發生!

測到這,順子發現XG的 Automatic Device Deauthorization 功能基本上是有作用的。

若要啟用 Automatic Device Deauthorization 功能,
請在時間週期過後檢視RED介面狀態,以免發生像順子一樣的糗境,
明明設定沒變,但就是搞不懂為何RED就是連不上...哈! 



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!


2016-09-21, 11:01 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392

shunze 離線
RED能否連結躲在既有防火牆後的XG建立VPN Tunnel?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方



答案是可以的。

不過由於RED跟XG在連結時,是透過public IP與XG進行連結,
所以既有防火牆上,需要mapping一個外部IP給XG用。
同時再把建立VPN Tunnel所需的3400,3410 TCP/UDP port導轉給XG,
這樣VPN Tunnel就可以成功建立起來~


*****2017/02/10更新*****
這個架構在客戶端通過PoC後,進行實機部署時卻出了問題!?

實機部署時,前端RED50只要切換WAN1/WAN2後,該RED50將永遠無法再成功連線上來!
RED50面板上始終出現"Stabilizing Peers"無法成功連線,然後不斷的重開機...



最後在交叉測試後發現,這是XG韌體bug的問題。
V16版的韌體目前均有bug而無法適用這種架構上(包含16.01.1,16.01.2,16.05GA,16.05.1 MR1均有問題);
V15則無此bug而可順利切換WAN port。

RED套用在特殊架構上,請小心XG韌體版本的問題!


*****2017/08/25更新*****
原廠表示此bug已在16.05.6 MR4修復,
經順子在MR6上進行測試,MR6上的WAN1/WAN2 failover真的沒問題了!

由 shunze 在 2017-08-25, 14:02 最後修改.



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!


2016-11-25, 10:27 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392

shunze 離線
《分享》Bridge Mode下能否架設RED?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

若XG是以Bridge Mode的方式來建置,這樣的架構下還能否架設RED?



答案是可以的,
而這樣架構其實就是XG的Mix Mode部署模式。

在設定上跟上一篇“RED能否連結躲在既有防火牆後的XG建立VPN Tunnel?”一樣,
需在外部防火牆上mapping一個外部IP給XG用,
同時再把建立VPN Tunnel所需的3400,3410 TCP/UDP port導轉給此Bridge Mode的XG,
讓RED與此Bridge Mode XG能成功建立VPN Tunnel。


以順子的LAB範例來說,
由於Bridge Pair是由DMZ與WAN所組成,
所以在Bridge Mode的XG上,要開DMZ <-> WAN的雙向防火牆規則。

而RED所屬的ZONE是LAN,
所以要開LAN <-> WAN與LAN <-> DMZ的雙向防火牆規則。



然後在外層防火牆上開static route,將RED網段的routing指向Bridge Mode XG,
這樣就完成了~


實測試,順子發現一個狀況,
雖然兩個端點192.168.21.101與192.168.55.101在防火牆進階設定裏,已開放ICMP,
同網段的電腦都可以ping到這兩個端點的IP,
但這兩台就是互ping不到,一度以為這樣的架構有問題!?

後來以RDP去試,發現雙向都可以通!
無法ping?應該是電腦裏進階防火牆的問題。
但試了好久,都無法正確修改進階防火牆的ICMP開放設定,讓兩通可以互ping...

當然,但若是直接停用電腦裏的防火牆,則兩個端點是可以成功互ping的!
Ping不通?果然是電腦防火牆的問題,不是架構上的問題~



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!


2017-05-12, 17:04 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR