Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》Site-to-Site RED Tunnel VPN 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2276

shunze 離線
《分享》Site-to-Site RED Tunnel VPN引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Site-to-Site RED Tunnel VPN是Sophos防火牆所擁有的一個特殊功能。
兩個站台可透過RED協定,將兩端串接起來∼

在架設Site-to-Site RED Tunnel VPN時,有幾件事是您必需知道的。

  • 首先,採用RED Tunnel的兩端XG都必需要有Network Protection授權。
  • 第二,RED採Client/Server架構,所以一端為Server,另一端為Client。
  • 第三,RED VPN兩端的通導必需透過路由來指定。
  • 第四,跟其它VPN不同,對端RED連上來的ZONE不見得是VPN,
    對端ZONE可以自行指定,也需要建立對應的防火牆規則。


在瞭解了以上環境需求後,我們就來實際架設Site-to-Site RED Tunnel VPN吧∼
以下為順子的測試環境配置。



Server端 (版本V17)
LAN 172.16.16.0/24
RED 10.4.1.1/30
WAN IP 123.123.123.123 (供Client端連上來的外部IP)

Client端 (版本V16)
LAN 172.16.12.0/24
RED 10.4.1.2/30
WAN DHCP


  • Server端建置
    在Server端XG建置RED組態,跟一般RED設定一樣在網路中新增一個RED組態;
    不過Type要選Firewall RED Server
    然後在下方RED Network Settings中,輸入RED interface的IP與ZONE。


    ↑為了跟其它ZONE區隔,順子新增了一個複製自LAN的RED ZONE給RED使用。

    設定完成後,Server Side的RED會產生Provisioning File
    請下載此組態檔,於Client端建置會用上此檔。



  • Client端建置
    Client端XG建置RED組態,請選擇Firewall RED Client這個類別,
    然後Provisioning File欄位,上傳剛才自Server端下載的組態檔,
    並在Firewall IP/Hostname中,輸入Server端允許連接的外部IP,
    RED Network Settings中,請輸入RED interface的IP與所屬ZONE。



    完成後,如果網路都沒問題的話,Server端可以看到Client端連線IP,RED Tunnel已建起來了。



    而Client端也可以看到RED Tunnel成功透過Server端的外部IP來進行連結。



  • 設定靜態路由
    在Server端上,設定一筆靜態路由,將Client端網段透過RED的對端IP來傳導。



    同樣的,在Client端也要設定一筆靜態路由,將Server端網段透過RED的對端IP來傳導。



  • 設定防火牆規則放行
    在Server端上,分別建立LAN to RED與RED to LAN雙向規則。



    同樣的在Client端上,也建立LAN to RED與RED to LAN雙向規則。



    完成以上後,Client與Server兩端就可以互通了∼

  • 設定Client端Full Tunnel
    上述設定完成了Client與Server兩端的雙向通導,
    如果想把Client端所有流量都往Server端送,進行所謂的Full Tunnel全導向設定,又該如何進行呢?

    理論上只要將Client端的靜態路由由原本的對端網段擴大為0.0.0.0/0,



    然後在於Server端建立RED to WAN的放行規則即可。



    不過在實測上發現,Full Tunnel只會通幾秒,幾秒之後RED Tunnel就會斷掉,
    Client端網路無法對外!

    造成這樣的結果是因為設定0.0.0.0/0的default route,會將所有對外流量往RED介面送,
    連原本Client端透過WAN與Server端外部IP的RED Tunnel連線也一併導轉至該Tunnel,導致連線失敗!

    要解決此問題,必需捨棄static route改用policy route。



    在Client端建立一筆policy route,設定LAN to ANY要透過RED Tunnel對端的IP來做為Gateway。



    完成後,透過traceroute來觀察,Client端確實可以透過RED Tunnel將所有流量往Server端送了∼


Site-to-Site RED Tunnel VPN的建置到此告一段落∼


參考資料
https://community.sophos.com/kb/en-us/125101
RED site to site (XG 135 to XG 330) with FULL tunnel



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-12-14, 16:09 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR