Sophos XG Firewall GRE Tunnel over IPsec

Merhabalar,

Bilginiz üzere Cisconun geliştirmiş olduğu GRE Tunnel teknolojisinde kendine ait bir şifreleme metodu bulunmamaktadır bu yüzden GRE Tunnel bağlantısı kurulan cihazlar arasında veri “Clear Text” olarak iletilmekte yani şifreleme olmamaktadır. Detaylı bilgi için aşağıdaki makalemi okumanızda fayda var.

https://www.firatmeray.com/sophos-xg-firewall-gre-tunnel-yapilandirmasi/

GRE Tunnel over IPSec bağlantısında ise Route önceliğini değiştirerek GRE üzerinden açılan trafiği IPsec paketi içerisine alıp karşı tarafa şifreli bir şekilde gönderilmesini sağlayabiliriz. Tabi bu işlemi yapabilmek için IPsec modları hakkında bilgimizin olmasında fayda var.

IPsec VPN’i iki farklı modda çalıştırabiliriz. Bunlar Tünnel ve Transport moddur.

Tünel modda tüm IP paketi şifrelenir ve IP paketinin başına yeni bir IP başlığı eklenir. Bu IP başlığında kaynak ve hedef IP’ler Firewallarda Peer address olarak tanımladığımız tünelin sonlandığı IP’lerdir.

Transport modda ise paketin sadece payload’u şifrelenir. IP başlığı ise aynen kalır. GRE traffic over IPSec bağlantısında en mantıklı seçim Transport mod kullanmaktır.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

*** Aşağıdaki şemamıza bakacak olursak;
1. Adım: GRE Tunnel yapılandırmalıyız.
2. Adım: IPSEC VPN yapılandırıp Route önceliğini değiştirmeliyiz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Head Office (Merkez) Sophos Firewall Config;

Branch Office(Şube) Sophos Firewall GRE Config;

GRE Tünel yapılandırmasını Sophos XG Firewall Web arayüzünden yapamıyoruz. Bu yüzden komut satırı üzerinden uygulama yapmaktayız.

system gre tunnel add name gre_hq local-gw Port2 remote-gw 78.188.34.94 local-ip 1.1.1.2 remote-ip 1.1.1.1
system gre route add net 192.168.1.0/255.255.255.0 tunnelname gre_hq

Local-gw: Şube internet devresinin takılı olduğu port.
Remote-gw: Merkezdeki cihazın Wan ip adresi
Local-ip: BO GRE Virtual IP
Remote-ip: HQ GRE Virtual IP

system gre tunnel show
system gre route show   komutları ile tünelin yaratıldığını görebiliriz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Branch Office(Şube) Sophos Firewall IPsec Config;

Site to Site IPsec VPN kurabilmek için ISP tarafında 500 portunun açık olması gerekmektedir

UDP Port 500:  Internet Security Association and Key Management Protocol(ISAKMP) and Internet Key Exchange(IKE)
UDP Port 4500: NAT Traversal(NAT-T)
IP Protocol 50: Encapsulating Security Payload(ESP)
IP Protocol 51: Authentication Header(AH)

Site to Site tünel bağlantısı kurmak için öncelikle IPsec policies oluşturacağız. VPN Policies yazmak için CONFIGURE\VPN\IPsec policies\Add diyoruz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Oluşturacağımız bağlantıya bir isim veriyoruz. Biz IKEv2 Main mode olarak bağlantı sağlayacağız.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Phase 1 Değerlerimizi aşağıdaki gibi ayarlıyoruz;
Key Life: 86400
Re-Key: 360
DH: Group14(2048)
Encryption: AES256
Authentication: SHA2-256

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Phase 2 Key Life değerimizi 28800 olarak ayarlıyoruz diğer ayarlarımız Phase1 ile aynı olacak.

Key Life: 28800
PSF: Group14(2048)
Encryption: AES256
Authentication: SHA2-256
DPD: Enable

Dead Peer Detection (DPD): IPsec bağlantısının canlılığını tespit etmeye yarıyan bir yöntemdir. DPD her 30 saniyede bir tüneli ping atarak kontrol edecek, eğer 120 saniye içerisinde bir response alamazsa yeniden bağlanmayı deneyecek.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Aşağıda göründüğü gibi IPsec Policy oluşturuldu.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi oluşturduğumuz IPsec kuralını bağlantımıza atamaya bunun için IPsec connections alanından Add diyerek yeni bir bağlantı açıyoruz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Bağlantı sağlayacağımız yerin ismini(HQ_VPN) bağlantıya tanımlayıp aşağıdaki ayarları yapıyoruz.

Connection type: Site-to-site
Gateway type: Initiate the connection (vpn her zaman up olacak)
Policy: Oluşturduğumuz IKEV2 Policy seçiyoruz
Authentication type: Preshared key
Preshared key: Alanından tünelimize 32 karakterden oluşan güçlü ortak şifre tanımlaması yapıyoruz.
Active on save: on
Create firewall rules: no

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Local Gateway & Subnet Alanına      : Şubemizin Public IP adresini tanımlıyoruz.
Remote Gateway & Subnet Alanına : ise Merkez Ofisimizin Public IP adresini tanımlıyoruz.

ve yaptığımız tünel ayarlarını kaydediyoruz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

IPSEC bağlantımız yarattıktan sonra Lan_To_VPN Access ve VPN_To_Lan Access  kurallarımızı yazıyor olacağız.

Lan_To_VPN Access Rule

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

VPN_To_Lan Access Rule

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Brach Office(Şube) Route Precedence

system route_precedence show komutunu uyguladığınızda VPN routes, Static routes üzerinde olması gerekmektedir. Amacımız trafiğin IPsec üzerinden şifreli geçmesi olduğu için system route_precedence set policyroute vpn static komutu ile VPN yollarımızı Static yollarımızın üzerine çekiyoruz.

Eğer Static routes, VPN routes üzerindeyse, karşı lokasyona gidecek trafik GRE Tunnel üzerinden gidecektir böylelikle encryption olmayacaktır. Bu yüzden daima VPN routes, Static routes üzerinde olması gerekmektedir

Her iki Firewallda da yollarımızın görüntüsü aşağıdaki gibi olmalıdır.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

VPN bağlantısının oturup oturmadığını kontrol edebilmek için VPN üzerinden pinge izin veriyoruz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Branch Office (Şube) Sophos Firewall Config

Headquarter(Merkez) Sophos Firewall Config;

system gre tunnel add name gre_office local-gw Port2 remote-gw 62.29.19.179  local-ip 1.1.1.1 remote-ip 1.1.1.2
system gre route add net 192.168.2.0/255.255.255.0 tunnelname gre_office

Local-gw: Merkez internet devresinin takılı olduğu port.
Remote-gw: Şubedeki cihazın Wan ip adresi
Local-ip: HQ GRE Virtual IP
Remote-ip: BO GRE Virtual IP

system gre tunnel show
system gre route show  komutları ile tünelin yaratıldığını görebiliriz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Head Office(Merkez) Sophos Firewall IPsec VPN Config;

Site to Site tünel bağlantısı kurmak için öncelikle IPsec policies oluşturacağız. VPN Policies yazmak için CONFIGURE\VPN\IPsec policies\Add diyoruz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Oluşturacağımız bağlantıya bir isim veriyoruz. Biz IKEv2 Main mode olarak bağlantı sağlayacağız.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Phase 1 Değerlerimizi aşağıdaki gibi ayarlıyoruz;
Key Life: 86400
Re-Key: 360
DH: Group14(2048)
Encryption: AES256
Authentication: SHA2-256

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Phase 2 Key Life değerimizi 28800 olarak ayarlıyoruz diğer ayarlarımız Phase1 ile aynı olacak.
Key Life: 28800
PSF: Group14(2048)
Encryption: AES256
Authentication: SHA2-256
DPD: Enable

Dead Peer Detection (DPD): IPsec bağlantısının canlılığını tespit etmeye yarıyan bir yöntemdir. DPD her 30 saniyede bir tüneli ping atarak kontrol edecek, eğer 120 saniye içerisinde bir response alamazsa yeniden bağlanmayı deneyecek.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Aşağıda göründüğü gibi IPsec Policy oluşturuldu.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi oluşturduğumuz IPsec kuralını bağlantımıza atamaya bunun için IPsec connections alanından Add diyerek yeni bir bağlantı açıyoruz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Bağlantı sağlayacağımız yerin ismini(Office_VPN) bağlantıya tanımlayıp aşağıdaki ayarları yapıyoruz.

Connection type: Site-to-site
Gateway type: Initiate the connection
Policy: Oluşturduğumuz IKEV2 Policy seçiyoruz
Authentication type: Preshared key
Preshared key: Alanından tünelimize 32 karakterden oluşan güçlü ortak şifre tanımlaması yapıyoruz.
Active on save: on
Create firewall rules: no

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Local Gateway & Subnet Alanına      : Merkez Ofisin Public ip adresini tanımlıyoruz.
Remote Gateway & Subnet Alanına : ise Şubemizim Public ip adresini tanımlıyoruz.

ve yaptığımız tünel ayarlarını kaydediyoruz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Kaydettiğimiz ayarlardan sonra IPsec VPN bağlantımızın kurulduğunu aşağıdaki ekrandan görebiliriz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

IPsec bağlantımız yarattıktan sonra Lan_To_VPN Access ve VPN_To_Lan Access  kurallarımızı yazıyor olacağız.

Lan_To_VPN Access Rule

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

VPN_To_Lan Access Rule

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

HQ Office(Merkez) Route Precedence

system route_precedence show komutunu uyguladığınızda VPN routes, Static routes üzerinde olması gerekmektedir. Amacımız trafiğin IPsec üzerinden şifreli geçmesi olduğu için system route_precedence set policyroute vpn static komutu ile VPN yollarımızı Static yollarımızın üzerine çekiyoruz.

Eğer Static routes, VPN routes üzerindeyse, karşı lokasyona gidecek trafik GRE Tunnel üzerinden gidecektir böylelikle encryption olmayacaktır. Bu yüzden daima VPN routes, Static routes üzerinde olması gerekmektedir

Her iki Firewalldada yollarımızın görüntüsü aşağıdaki gibi olmalıdır.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

VPN bağlantısının oturup oturmadığını kontrol edebilmek için VPN üzerinden pinge izin veriyoruz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

GRE Trafiğin IPsec üzerinden kapsullenip kapsullenmediğini ping atarak test edebiliriz.

Yazmış olduğumuz system route_precedence set policyroute vpn static komutu ile GRE paketinin IPsec içerisinde kapsullenmesi gerekiyor. IPsec bağlantımızı disable\enable ederek trafiğin IPsec üzerinden gidip gitmediğini kontrol edebiliriz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Tüneli disable ettiğimizde paketlerin iletilmediğini aşağıdaki resimde görebiliriz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Tekrardan tüneli enable ettiğimizde GRE ile iletilen paketlerin IPsec üzerinden kapsüllemeye uğradını aşağıdaki resimden görebiliriz.

Sophos XG Firewall,Sophos XG Firewall GRE traffic over IPSec, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Genel Özet

##### Head Office #####

system gre tunnel add name gre_office local-gw Port2 remote-gw 62.29.19.179  local-ip 1.1.1.1 remote-ip 1.1.1.2
system gre route add net 192.168.2.0/255.255.255.0 tunnelname gre_office
system route_precedence set policyroute vpn static

##### Branch Office #####

system gre tunnel add name gre_hq local-gw Port2 remote-gw 78.188.34.94 local-ip 1.1.1.2 remote-ip 1.1.1.1
system gre route add net 192.168.1.0/255.255.255.0 tunnelname gre_hq
system route_precedence set policyroute vpn static

*** Bu ayarlardan sonra Firewallı reboot edin.

##### Show Commands #####
system gre tunnel show
system gre route show
system route_precedence show
CLI / 5.Device Management / 3.Advanced Shell / route -n

##### TCP Dump #####

Detaylı TCP Dump için aşağıdaki komutları kullanabilirsiniz.

CLI\5. Device Management\3. Advanced Shell
tcpdump -nei any host 192.168.1.5

CLI\4. Device Console
tcpdump “dst host 192.168.1.5”

##### Delete GRE #####

Oluşturmuş olduğunuz GRE tüneli silmek isterseniz öncelikle eklemiş olduğumuz yolu(route) silmek zorundayız daha sonra tüneli silebiliriz.

HQ
system gre route del net 192.168.2.0/255.255.255.0 tunnelname gre_office
system gre tunnel del name gre_office

Branch
system gre route del net 192.168.1.0/255.255.255.0 tunnelname gre_hq
system gre tunnel del name gre_hq

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist