Cấu hình VPN Site-to-Site với CheckPoint R81.20

Bài viết này hướng dẫn build thiết bị Router để đấu nối VPN Site-to-Site với dịch vụ VPN Site-to-Site của FPT Smart Cloud.

Mục lục

1. Bước 1: Build CheckPoint for Cloud
2. Bước 2: Cấu hình cho VPN Site-to-Site
3. Bước 3: Cấu hình cho CheckPoint
4. Bước 4: Debug- Tracert

Cần đảm bảo các điều kiện sau:

• VPN Site-to-Site trên trang portal
• CheckPoint R81.20 đã được download và boot image trên cloud với tên: Check_Point_R82.10_T462_Gaia
• Smartconsole phiên bản R81.20 đã được tích hợp với CheckPoint R81.20
• Public IP, giảm độ phức tạp thì gắn trực tiếp vào VM, không dùng Floating IP
• 1 VM Pfsense để phục vụ debug (Optional)

Bước 1: Build CheckPoint for Cloud

Build Image trên Horizon với cấu hình 2C4G- 1 IP public gắn trực tiếp, 1IP mạng Local cần VPN

• Chạy các command sau để boot VM từ image:

Openstack command

openstack volume create --type Premium-SSD --image Check_Point_R82.10_T462_Gaia --size 20 --bootable DISK-CD  -- Output ID  {`DISK-CD`}

Openstack command

openstack volume create --type Premium-SSD --size 100 --bootable DISK-OS-- Output ID  {`DISK-OS`}

Openstack command

openstack network list
--output ID {'IP PUBLIC'}

Openstack command

nova boot --availability-zone nova --flavor 2C4G --nic net-id={`IP PUBLIC`} --block-device id=`DISK-OS`},source=volume,dest=volume,bus=virtio,device=/dev/vda,shutdown=preserve,bootindex=0 --block-device id= {`DISK-CD`},source=volume,dest=volume,bus=ide,device=/dev/hda,type=cdrom,bootindex=1 CheckpointServer

Để boot VM trên NoVNC, thao tác theo hướng dẫn sau:

• Chọn Install Gaia on this system

• Chọn OK

• Tại màn Keyboard Selection, chọn US→ OK

• Chọn OK. (Có thể nhập cấu hình phù hợp hoặc chọn cấu hình default sẵn có)

• Nhập password đăng nhập cho giao diện console VM

• Nhập password cho Smartconsole

• Nhập IP public gắn trực tiếp đã request ở đầu phần này + Netmask là "255.255.255.255" và sau đó chọn OK.

• Hoàn thành quá trình cài đặt.

Bước 2: Cấu hình cho VPN Site-to-Site

Truy cập và tạo VPN Site-to-Site trên trang https://console.fptcloud.com/

• Tạo Customer Gateway:
  • Remote private network: dãy Lan Subnet cần peering của Checkpoint
  • Remote IP public: IP public của CheckPoint

• Tạo VPN Connection:

Thông số của VPN Connection sẽ bao gồm 3 mục chính:

• General information (chứa các thông tin chung của kết nối VPN)
• Remote VPN Information (chứa các thông tin mã hóa và thông tin của quý khách hàng)
• Dead Peer Detection (số lần hệ thống tự động retry kết nối khi bị vấn đề)

Phần 1: General information

Với thông số "Pre-shared key" cần lưu lại để điền vào CheckPoint.

Phần 2: Remote VPN information

Quý khách hàng lựa chọn Providers = "others" sau đó làm theo các bước sau:

• Bước 1: Điền providers name = "checkpoint"
• Bước 2: Điền thông tin cho IKE và IPSec cụ thể như sau:

Đối với IKE:

• Authorization algorithm: sha256
• Encryption algorithm: aes 256
• IKE version: ikev2
• DH group: group14
• Lifetime: 3600 seconds
• Phase1 negotiation mode: main

Đối với IPsec:

• Authorization algorithm: sha256
• Encryption algorithm: aes 256
• Encapsulation mode: tunnel
• Transform protocol: esp
• Perfect Forward Secrecy (PFS): group14
• Lifetime: 3600 seconds

Phần 3: Dead Peer Detection

Điền thông số Delay và max failure và chọn Create VPN Connection

Bước 3: Cấu hình cho CheckPoint

• Đăng nhập vào console VNC của VM CheckPoint theo account đã tạo trên và chạy lệnh: "Cpstart"
• Đăng nhập vào website theo địa chỉ IP: https://{IP} và tải về SmartConsole theo link với phiên bản mà trang web đề xuất
• Cài đặt và đăng nhập app SmartConsole theo thông tin đã được cung cấp

Lưu ý: có license đã kích hoạt mới có thể vào được trong SmartConsole

Thao tác thành công hiển thị như ảnh dưới đây:

• Tạo network LAN

• Tạo Interoperable Devices với IP Public của VPN Site-to-Site thao tác như sau:

Tại New→ More → Network Object → More → Interoperable Device

Thực hiện điền các thông tin: Name, IPv4 Address và chọn OK

• Tạo VPN Communication Star thao tác như sau:

Tại New → More → VPN Community → Star Community

• Với các thông như bên dưới:
  • Chọn Center Gateway có tên: CheckPoint (ta vừa tạo ở trên)
  • Chọn Satellite Gateway là Interoperable Devices
  • Chọn VPN Domain là các dãy mạng tương ứng Lan/local và Remote/peer

• Chọn cấu hình Encryption tương xứng như mục đã chọn ở portal của FPT Smart Cloud, mẫu như sau:

• Sau khi tạo VPN Community, ta quay ngược trở lại Interoperable Devices để cập nhật:

• Quay trở lại VPN Communication Meshed, dùng Pre-Share Key đã tạo ở portal của VPN Site-to-Site

• Sau đó ấn chọn "Publish" tiến hành tạo ra VPN Community trên Checkpoint

• Thiết lập firewall cho thông 2 chiều giữa 2 subnet và thông 2 chiều giữa 2 IP Gateway như hình sau, sau đó ấn chọn "Publish"

• Cuối cùng là set route cho mạng bên trong Checkpoint (phía VPN Site-to-Site đã được set sẵn)

Trên CheckPoint Gaia OS, bạn có thể sử dụng lệnh set static-route để thêm route. Dưới đây là cú pháp và ví dụ:

Openstack command

set static-route <destination-network> nexthop gateway address <gateway-ip> on

Ví dụ: Để định tuyến lưu lượng đến mạng 192.168.1.0/24 qua gateway 10.0.0.1, sử dụng:

Openstack command

set static-route 192.168.1.0/24 nexthop gateway address 10.0.0.1 on

Sau khi thêm route, hãy chạy lệnh sau để lưu lại cấu hình:

Openstack command

save config

Bước 4: Debug- Tracert

• Thử từ một máy trong mạng và thực hiện ping lẫn nhau, nếu đã thông thì thực hiện thao tác thành công.