Sophos XG Firewall Connect Client & Connect Admin Yapılandırması

Merhabalar,

Bu makalemde Sophos XG Connect Client yapılandırmasının nasıl yapıldığını anlatacağım.

Bildiğiniz üzere Sophos XG Firewall üzerinde çok basit bir şekilde SSL VPN ve Clientless VPN oluşturup kullanıcılara uzaktan erişimler sağlayabiliyoruz. Aynı şekilde Sophos Connect Client kullanarakta bu işlemi yapabiliyoruz fakat Connect Client kullanmamızdaki amacımız ortak bir sertifika ile tüm kullanıcıların bağlanmasını sağlamak. SSL VPN de malesef böyle bir imkanımız yok her bağlanan kullanıcıya doğrulama sertifikası indiriyoruz.

Yapı itibariyle baktığımızda diğer üreticilerdende hatırlayacağınız üzere Connect Client, Client to Site IPSEC VPN olarak adlandırılmakla birlikte 500 UDP IPSEC Portunu kullanmaktadır.

Öncelikle bağlantı sağlayacak kullanıcıları tanımlamamız gerekiyor. Dilerseniz AD entegrasyonu yapabilir yada Local User oluşturabilirsiniz.

Biz örneğimize Active Directory User kullanarak devam edeceğiz. Eğer ortamınızda Active Directory yapınız yoksa aşağıdaki linki incelemenizde fayda var.

https://www.firatmeray.com/sophos-xg-firewall-active-directory-stas-entegrasyonu

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Connect Client yapılandırmak için Configure\VPN\Sophos Connect Client menüsüne giriş yapıyoruz.

Interface: alanından VPN bağlantısının dinleneceği interface arayüzünü seçiyoruz:
Authentication type: alanından şifreleme metodu olarak Preshared Key olacağını belirtiyoruz.
Preshared key: alanından VPN sertfikamıza şifre tanımlıyoruz.
Allowed user: alanına hangi kullanıcılar Connect Client ile bağlantı sağlayacaklarsa onları seçiyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Assign IP From: alanından Connect Client ile bağlanacak kullanıcıların alacağı ip aralığını belirtiyoruz.

Bağlantımıza isim tanımladıktan ve DNS tanımlamalarımızı yaptıktan sonra ayarlarımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray
Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Sophos Connect Client alanında bulunan Download ile yükleme paketlerimizi indiriyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray
Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Sophos Connect Client alanında bulunan Download ile yükleme paketlerimizi indirdikten sonra Client information alanından Export connection diyerek bağlantımız sağlayacak tgp paketimizi indirip aynı klasöre atıyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray
Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Trafiğimizi Merkeze Route etmeyeceğimiz için sadece VPN To Lan ve Lan To VPN kurallarımızı yazıyoruz.

VPN To Lan Rule

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Lan To VPN Rule

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Erişim kurallarımızı yazdığımıza göre artık Sophos Connect.msi ve scadmin.msi paketlerini yükleyebiliriz.

Sophos Connect.msi ve scadmin.msi paketlerini paketini bilgisayarımıza yükledikten sonra  Sophos Connect Admin ile tgb dosyamızı açıyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Amacımız tüm internet trafiğinin merkeze yönlendirilmesini engellemek olduğu için açtığımız pakette Tunnel All durumunu OFF pozisyonuna çekip erişmek istediğimiz Networkleri seçip ayarları kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Içeriği değişen paket .scx uzantısı ile kaydedilecektir. VPN bağlantısı kurmak için bu sertifika paketini kullanacağız.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Sophos Connect ile .scx dosyamızı kullanıcının makinasına import ediyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray
Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Karşımıza gelen ekrana kullanıcı adı ve parolamızı yazıyoruz. Burada dikkat edilmesi gereken kullanıcı adımızla birlikte @domainadi.com şeklinde yazmamız gerekmiyor fakat aynı isimde bir kullanıcı Local User olarak tanımlı ise bağlantı problem yaşayacaksınızdır.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Wan ip adresimizi kontrol ettiğimizde bulunduğumuz lokasyonu görebiliriz yani Web trafiğimiz bağlandığımız lokasyona Route olmuyor.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray
Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, Sophos Connect Admin, fırat meray

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist