Tunel IPsec VPN pomiędzy Kerio Control i Sophos UTM

IPsec_bannerW tym artykule przedstawiamy niezbędne informacje do skonfigurowania tunelu VPN w oparciu o protokół IPSec pomiędzy Kerio Control i Sophos UTM (dawniej Astaro Security Gateway), przy wykorzystaniu klucza współdzielonego. Dodanie do Kerio Control 8.0 obsługi IPsec dało wielu jego użytkownikom możliwość łączenia kilku lokalizacji, obsługiwanych przez różne routery czy UTMy, w jedną sieć. Operacja taka wymaga odpowiedniego skonfigurowania zarówno Kerio Control, jak i drugiego końca tunelu. Poniżej przedstawiamy opis połączenia Kerio Control i Sophos UTM.

Przede wszystkim przed rozpoczęciem konfiguracji nowego tunelu VPN, konieczne jest ustawienie nazwy hosta w Sophos UTM. Można to zrobić w Management -> System Settings -> Hostname.astaro-hostname

Konfiguracja Kerio Control:

W administracji Kerio Control, przejdź do sekcji Konfiguracja, wybierz Interfejsy, a następnie na dole kliknij Dodaj -> Tunel VPN.

  1. Upewnij się, że wybrany został prawidłowy typ tunelu – IPsec.
  2. Ustaw kwalifikowaną nazwę hosta Sophos UTM jako aktywny punkt końcowy.
  3. W sekcji autentykacja zdefiniuj klucz współdzielony oraz wprowadź nazwę hosta Sophos UTM w Identyfikatorze zdalnym. Nazwa ta powinna być dokładnie taka sama, jak ustawiona w konfiguracji Sophos UTM.
  4. Zapamiętaj lub zapisz Identyfikator lokalny. Wartość ta będzie wykorzystywana podczas konfiguracji parametrów tunelu w Sophos UTM.
  5. W ustawieniach sieci zdalnych, zdefiniuj wszystkie podsieci zlokalizowane za Sophos UTM.control_IPsec

Konfiguracja Sophos UTM:

  1. W administracji Sophos UTM przejdź do Site-to-site VPN -> IPsec.
  2. W sekcji Remote Gateway, dodaj nową bramę zdalną (New Remote Gateway).
  3. Typ bramy ustaw jako „Initiate connection” oraz dodaj zdalnego hosta Kerio Control.
  4. Jako typ autentykacji ustaw „Klucz współdzielony” (Preshared Key) oraz wprowadź wartość wcześniej wpisaną we właściwościach tunelu w Kerio Control.
  5. Typ VPN ID ustaw na „Hostname” oraz wpisz wartość, która w Kerio Control oznaczona była „Identyfikator lokalny”.
  6. W sekcji Remote Networks dodaj adresy IP podsieci znajdujących się za Kerio Control.

UWAGA: Sieci zdalne zdefiniowane w każdym tunelu powinny być unikalne i nie powinny się pokrywać, ponieważ ich pokrywanie się może powodować zakłócenia routingu w tunelach VPN.astaro-tunnel-props-gw

  1. W sekcji „IPsec” w zakładce „Połączenia” stwórz „Nowe połączenie IPsec” (New IPsec connection).
  2. Nadaj nazwę tunelowi.
  3. Wybierz „Remote Gateway”, który skonfigurowałeś wcześniej.
  4. Ustaw lokalny interfejs, który ma być dostępny ze zdalnej sieci poprzez tunel.
  5. Ustaw szyfrowanie AES-128.

astaro-tunnel-props-conns

Konfiguracja zakończona. Połączenie site-to-site VPN pomiędzy Kerio Control i Sophos UTM powinno zostać ustanowione. Może istnieć konieczność dodatkowego skonfigurowania reguł ruchu zarówno na Kerio Control, jak i Sophos UTM, zgodnie z własnymi wymaganiami.