Sophos XG Firewall Connect Client Yapılandırması

Merhabalar,

Bu makalemde Sophos XG Connect Client yapılandırmasının nasıl yapıldığını anlatacağım.

Bildiğiniz üzere Sophos XG Firewall üzerinde çok basit bir şekilde SSL VPN ve Clientless VPN oluşturup kullanıcılara uzaktan erişimler sağlayabiliyoruz. Aynı şekilde Sophos Connect Client kullanarakta bu işlemi yapabiliyoruz fakat Connect Client kullanmamızdaki amacımız ortak bir sertifika ile tüm kullanıcıların bağlanmasını sağlamak. SSL VPN de malesef böyle bir imkanımız yok her bağlanan kullanıcıya doğrulama sertifikası indiriyoruz.

Yapı itibariyle baktığımızda diğer üreticilerdende hatırlayacağınız üzere Connect Client, Client to Site IPSEC VPN olarak adlandırılmakla birlikte 500 UDP IPSEC Portunu kullanmaktadır.

Öncelikle bağlantı sağlayacak kullanıcıları tanımlamamız gerekiyor. Dilerseniz AD entegrasyonu yapabilir yada Local User oluşturabilirsiniz.

Biz örneğimize Active Directory User kullanarak devam edeceğiz. Eğer ortamınızda Active Directory yapınız yoksa aşağıdaki linki incelemenizde fayda var.

https://www.firatmeray.com/sophos-xg-firewall-active-directory-stas-entegrasyonu

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

Connect Client yapılandırmak için Configure\VPN\Sophos Connect Client menüsüne giriş yapıyoruz.

Interface: alanından VPN bağlantısının dinleneceği interface arayüzünü seçiyoruz:
Authentication type: alanından şifreleme metodu olarak Preshared Key olacağını belirtiyoruz.
Preshared key: alanından VPN sertfikamıza şifre tanımlıyoruz.
Allowed user: alanına hangi kullanıcılar Connect Client ile bağlantı sağlayacaklarsa onları seçiyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

Assign IP From: alanından Connect Client ile bağlanacak kullanıcıların alacağı ip aralığını belirtiyoruz.

Bağlantımıza isim tanımladıktan ve DNS tanımlamalarımızı yaptıktan sonra ayarlarımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray
Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

Sophos Connect Client alanında bulunan Download ile yükleme paketlerimizi indiriyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray
Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

Sophos Connect Client alanında bulunan Download ile yükleme paketlerimizi indirdikten sonra Client information alanından Export connection diyerek bağlantımız sağlayacak tgp paketimizi indirip aynı klasöre atıyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray
Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

İndirdiğimiz paketin içeriğini açıp değişiklik yapmadığımız için bağlantı sağladığımızda bütün internet trafiğini merkeze doğru route ediyor olacak.

Bu yüzden VPN to Lan ve VPN To WAN kurallarımızı yazıyoruz.

VPN to Lan Rule

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

VPN_To_Wan

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

Yazdığımız kuralı internete natlamak için “Rewrite source adress(masquerading)” alanını işareledikten sonra “Use outbound address” alanından default MASQ’yu seçiyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

Erişim kurallarımızı yazdığımıza göre artık Sophos Connect.msi paketini yükleyebiliriz.

Sophos Connect.msi paketini bilgisayarımıza kurup çalıştırdıktan sonra sağ üst tarafta bulunan import connection diyerek sertifikamızın yolunu göstereceğiz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

Sophos_Client.tgb adındaki dosyamızı seçip import ediyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

Import olan bağlantımız Connections listte görünecektir üzerine çift tıklıyoruz.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray


Karşımıza gelen ekrana kullanıcı adı ve parolamızı yazıyoruz. Burada dikkat edilmesi gereken kullanıcı adımızla birlikte @domainadi.com şeklinde yazmamız gerekmiyor fakat aynı isimde bir kullanıcı Local User olarak tanımlı ise bağlantı problem yaşayacaksınızdır.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

VPN Bağlantımızın kurulduğunu aşağıdaki resimden görebiliriz.

Local IKE ID: alanında görünen ip adresi cep telefonumun hotspot ip adresi.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

Wan IP adresimizi kontrol ettiğimizde VPN bağlantısı sağladığımız yerin ip adresini görüyor olacaksınız.

Bir sonraki makalemde merkezden internete çıkışı kapatıyor olacağız.

Sophos XG Firewall, Sophos XG Firewall Connect Client, Sophos Connect Client, fırat meray

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist