Sophos Firewall: IPsec basado en políticas con Oracle Cloud Infrastructure (OCI)
Descripción general
Esta lectura recomendada describe cómo configurar Sophos Firewall con Oracle Cloud Infrastructure VCN.
KB:https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/146139/sophos-firewall-policy-based-ipsec-with-oracle-cloud-infrastructure-oci
Diagrama de Red
Infraestructura en la nube de Oracle (OCI)
Es una plataforma de servicios en la nube que le permite crear y ejecutar una amplia gama de aplicaciones con alta disponibilidad. Para obtener más información, consulte el enlace www.oracle.com/.../
En OCI, el túnel IPsec se compone de tres objetos
- Puerta de enlace de enrutamiento dinámico (DRG)
- Equipos en las instalaciones del cliente (CPE)
- Conexión IPsec
Configuración
VCN
En la consola, vaya a Menú principal>Red>Red de nube virtual>Crear VCN
Seleccione Compartimento e inserte Bloques CIDR IPv4 . Para el siguiente ejemplo, usamos 10.1.0.0/16
Para crear una red de nube virtual, vaya a Redes > Redes de nube virtual > Detalles de la red de nube virtual
Crear subred
En Redes > Redes de nube virtual > Red de nube virtual > Haga clic en Crear subred
Instancias de VM
Instancias de VM
Vaya a Redes > Red de nube virtual > Red de nube virtual > Crear puertas de enlace de Internet
Tablas de enrutamiento
Configurar lo siguiente
- Tipo de destino: Puerta de enlace a Internet
- Bloque CIDR de destino: 0.0.0.0/0
- Objetivo;internetGW
Lista de seguridad
Para modificar la seguridad y habilitar ICMP para pruebas.
En Redes > Red de nube virtual > LAB > Detalles de la lista de seguridad
Puertas de enlace de enrutamiento dinámico
Vaya a Redes > Conectividad del cliente > Puertas de enlace de enrutamiento dinámico
Equipos en las instalaciones del cliente (CPE)
Crear CPE con dirección de ISP
Conexión IPsec
Para crear una VPN, vaya a Redes > Conectividad del cliente > VPN de sitio a sitio e ingrese toda la información necesaria
- CPE
- Versión IKE
- Iniciación de Oracle IKE
- DPD
- Configuración de la fase uno y la fase dos
Siga la captura de pantalla para obtener más detalles.
Configuración del firewall de Sophos
Para el ejemplo se utiliza la versión 20 del firmware. Para VPN de sitio a sitio, acceda a
Configurar>VPN de sitio a sitio
Políticas de Ipsec
Haga clic en el botón Agregar y defina la Fase uno y la Fase dos como se indica a continuación.
Fase 1
- modo: principal
- Permitir reingreso de claves
- grupo DH: 14
- vida útil: 28800
- cifrado aes-256
- autenticación:sha2 256
Fase 2
- grupo pfs: 14
- cifrado: aes 256
- autenticación: sha1
- Tiempo de vida de la clave: 3600
Nota: Sophos dará una advertencia sobre el uso de sha1.
La documentación de Oracle indica que se debe utilizar Sha1-96
Cifrado adicional
Notas/Opcional : Algunas veces los proveedores agregan soporte para tipos de cifrado adicionales antes de actualizar su documentación.
He agregado un segundo conjunto de cifrado/autenticación a la configuración de la fase dos, esperando que este sea el caso con Oracle.
En Sophos Firewall, vaya a VPN > Conexiones IPsec
- Agregar nueva conexión
- Tipo: de sitio a sitio
- tipo de modo: iniciar
- Política: la creada anteriormente
- Secreto compartido: definido para el túnel principal
- Interfaz de escucha: debe coincidir con la IP de la WAN, el CPE de Oracle y el IKE de IPsec, el identificador de CPE configurado para recibir el túnel desde
- Dirección de puerta de enlace: IP WAN de la VPN principal de Oracle
Nota: Si su WAN de Sophos está detrás de NAT, puede usar la " ID local " para anular la dirección IP presentada al identificador IKE.
Redes locales
- Incluir cualquier red local
Nota: Lo siguiente debe coincidir con los valores de " CIDR de ruta estática " ingresados al crear la conexión IPsec en la CLI.
Redes remotas
- Cualquier subred dentro de OCI a la que desee que se pueda acceder a través del túnel
Haga clic en " Guardar " y luego haga clic en el botón de opción para habilitar/activar el túnel.
Para el túnel de respaldo, se necesitará la misma configuración y configuración. Cree la conexión IPsec de respaldo en el firewall de Sophos y luego continúe con los siguientes pasos:
- Con el túnel principal y el de respaldo desactivados, siga los siguientes pasos en la base de conocimientos de Sophos para combinar los túneles en un grupo de conmutación por error.
- Ir a la sección: Crear una conexión VPN Ipsec, Pasos n.° 3 al n.° 7.