Sophos XG Firewall GRE Tunnel Configuration

Merhabalar,

Bildiğiniz üzere Cisco tarafından geliştirilmiş GRE protokolü sayesinde lokasyonlarımız arasında Point To Point bağlatılar saglamaktayız. GRE Tunnel sayesinde cihazları arasında “clear-text” formatında şifreleme olmadan iletişim sağlanır bu yüzden güvenli olmayan bir bağlantı çeşididir. TCP/IP Layer 3 katmanını kullanan bu tünelin protokol numarası 47 dir.

GRE çalışma mantığına bakacak olursak, GRE kapsülleme protokolü olarak çalışır yani IP paketi haline gelmiş veriyi kapsüller ve üzerine yeni bir IP başlığı ekler. Yeni eklenen bu IP başlığında ise paketin gideceği hedefin Real IP adresi bulunmaz onun yerine GRE tünelin “Uç IP” adresleri bulunur.

Aşağıdaki şemamıza bakacak olursak Noktadan Noktaya bağlantı sağlayacağımız iki cihaz arasına Virtual IP(Uç IP) tanımlaması yaparak erişim sağlayacağız.

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Not: Bir sonraki makalem olan Sophos XG Firewall GRE Tunnel over IPsec yapılandırmasına aşağıdaki linkten erişebilirsiniz.
https://www.firatmeray.com/sophos-xg-firewall-gre-tunnel-over-ipsec

VPN Türleri ve Referans Modelleri;

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Head Office (Merkez) Sophos Firewall Config;

GRE Tünel yapılandırmasını Sophos XG Firewall Web arayüzünden yapamıyoruz. Bu yüzden komut satırı üzerinden uygulamayı yapacağız.

Öncelike Firewall üzerindeki Portlara bakmamız gerekirse; Merkezdeki ve Şubemizdeki yapımız aynı. 1 Local Port, 1 Wan Port kullanmaktayım. CLI üzerinden GRE Tunnel tanımlarken bağlantı sağlayacağımız portları belirtmemiz gerekiyor.

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Putty kimlik doğrulama aşamasını geçtikten sonra komut satırına düşmek için 4. Rakamına basıp enter diyoruz

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Merkezimiz için yapacağımız GRE Tunnel ayarları aşağıdaki gibidir;

system gre tunnel add name gre_office local-gw Port2 remote-gw 62.29.19.179  local-ip 1.1.1.1 remote-ip 1.1.1.2
system gre route add net 192.168.2.0/255.255.255.0 tunnelname gre_office

Local-gw: Merkez internet devresinin takılı olduğu port.
Remote-gw: Şubedeki cihazın Wan ip adresi
Local-ip: HQ GRE Virtual IP
Remote-ip: BO GRE Virtual IP

system gre tunnel show
system gre route show komutları ile oluşturmuş olduğumuz GRE tüneli görüntüleyebilirsiniz.

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi yarattığımız tünele Lan_To_VPN, VPN_To_Lan erişimlerini açmaya

Lan_To_VPN Rule

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

VPN_To_Lan Rule

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

ICMP paketlerinin VPN üzerinden geçebilmesi için erişim izni veriyoruz.

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Head Office (Merkez) Sophos Firewall Config;

Branch Office(Şube) Sophos Firewall GRE Config;

Yukarıda belirttiğim gibi Merkezdeki ve Şubemizdeki yapımız aynı. 1 Local Port, 1 Wan Port kullanmaktayım.

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Putty kimlik doğrulama aşamasını geçtikten sonra komut satırına düşmek için 4. Rakamına basıp enter diyoruz

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Şubemiz için yapacağımız GRE Tunnel ayarları aşağıdaki gibidir;

system gre tunnel add name gre_hq local-gw Port2 remote-gw 78.188.34.94 local-ip 1.1.1.2 remote-ip 1.1.1.1
system gre route add net 192.168.1.0/255.255.255.0 tunnelname gre_hq

Local-gw: Şube internet devresinin takılı olduğu port.
Remote-gw: Merkezdeki cihazın Wan ip adresi
Local-ip: BO GRE Virtual IP
Remote-ip: HQ GRE Virtual IP

system gre tunnel show
system gre route show komutları ile oluşturmuş olduğumuz GRE tüneli görüntüleyebilirsiniz.

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi yarattığımız tünele Lan_To_VPN, VPN_To_Lan erişimlerini açmaya

Lan_To_VPN Rule

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

VPN_To_Lan Rule

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

ICMP paketlerinin VPN üzerinden geçebilmesi için erişim izni veriyoruz.

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

*** Bütün ayarları tamamlandıktan sonra iki Firewall ünitesini kesinlikle yeniden başlatmayı unutmayın.

İki ünite açıldıktan sonra Şube üzerinen Merkezde bulunan bir sunucuya Tracert attığımda one.one.one.one (1.1.1.1) kapsüllemesi içerisine alındığını görebilirsiniz.

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Detaylı TCP Dump için aşağıdaki komutları kullanabilirsiniz.

CLI\5. Device Management\3. Advanced Shell
tcpdump -nei any host 192.168.1.5

CLI\4. Device Console
tcpdump “dst host 192.168.1.5”

GRE Tüneli Silme

Oluşturmuş olduğunuz GRE tüneli silmek isterseniz öncelikle eklemiş olduğumuz yolu(route) silmek zorundayız daha sonra tüneli silebiliriz.

system gre route del net 192.168.1.0/255.255.255.0 tunnelname gre_hq
system gre tunnel del name gre_hq

Sophos XG Firewall,Sophos XG Firewall GRE Tunnel, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Genel GRE Config Özeti

##### Head Office #####
system gre tunnel add name gre_office local-gw Port2 remote-gw 62.29.19.179  local-ip 1.1.1.1 remote-ip 1.1.1.2
system gre route add net 192.168.2.0/255.255.255.0 tunnelname gre_office

##### Branch Office #####
system gre tunnel add name gre_hq local-gw Port2 remote-gw 78.188.34.94 local-ip 1.1.1.2 remote-ip 1.1.1.1
system gre route add net 192.168.1.0/255.255.255.0 tunnelname gre_hq

*** Bu ayarlardan sonra Firewallı reboot edin.

##### Show Commands #####
system gre tunnel show
system gre route show
CLI / 5.Device Management / 3.Advanced Shell / route -n

##### TCP Dump #####
CLI\5. Device Management\3. Advanced Shell
tcpdump -nei any host 192.168.1.5

CLI\4. Device Console
tcpdump “dst host 192.168.1.5”

##### Delete GRE #####
HQ
system gre route del net 192.168.2.0/255.255.255.0 tunnelname gre_office
system gre tunnel del name gre_office

Branch
system gre route del net 192.168.1.0/255.255.255.0 tunnelname gre_hq
system gre tunnel del name gre_hq

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist