Sophos XG Firewall IKEv2 Site to Site VPN(IPSEC) Yapılandırması

Merhabalar,

Bu makalemde sizlerle Lokasyonlarımız arasında IKEv2 Site to Site IPSEC VPN bağlantısı kuracağız. 

Site to Site VPN nedir derseniz en basit haliyle birbirine uzak olan lokasyonlar(ofisler) arasında güvenli bir tünel kurarak aynı ortamdaymış gibi veri alış verişi sağlayan bir bağlantı türü olduğunu söylememizde sakınca yok.

Site to Site VPN kurabilmek için ISP tarafında aşağıdaki 500 ve 4500 portların açık olması gerekmektedir. Genellikle Arap yarım adasındaki ülkelerde bu portlar kapalı oluyor. Eğer Türkiye ile X bir ülke arasında IPSEC bağlantı kurmak isterseniz yasaklı ülkenin Internet Servis Sağlayıcısına mail atıp açtırabilirsiniz.

UDP Port 500:  Internet Security Association and Key Management Protocol(ISAKMP) and Internet Key Exchange(IKE)
UDP Port 4500: NAT Traversal(NAT-T)
IP Protocol 50: Encapsulating Security Payload(ESP)
IP Protocol 51: Authentication Header(AH)

IP Protocol 50(ESP) ve 51(AH) birer port değildir. ICMP(IP protocol 1),TCP(IP Protocol 6) veya UDP(IP Protocol 17) gibi bağımsız protokollerdir.

Maximum Desteklenen SSL ve IPSEC VPN Sayısı

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Aşağıdaki şemamıza bakacak olursak Merkez ile Şubemiz arasında bir bağlantı kurucağız.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray
Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Head Office (Merkez) Sophos Firewall Config;

Site to Site tünel bağlantısı kurmak için öncelikle IPsec policies oluşturacağız. Genel Merkezimizde bulunan Sophos XG Firewalla bağlanıp VPN Policies yazmak için CONFIGURE\VPN\IPsec policies\Add diyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Oluşturacağımız bağlantıya bir isim veriyoruz. Biz IKEv2 Main mode olarak bağlantı sağlayacağız.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Phase 1 Değerlerimizi aşağıdaki gibi ayarlıyoruz;

Key Life: 86400
Re-Key: 360
DH: Group14(2048)
Encryption: AES256
Authentication: SHA2-256

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Phase 2 Key Life değerimizi 28800 olarak ayarlıyoruz diğer ayarlarımız Phase1 ile aynı olacak.

Key Life: 28800
PSF: Group14(2048)
Encryption: AES256
Authentication: SHA2-256
DPD: Enable

Dead Peer Detection (DPD): IPsec bağlantısının canlılığını tespit etmeye yarıyan bir yöntemdir. DPD her 30 saniyede bir tüneli ping atarak kontrol edecek, eğer 120 saniye içerisinde bir response alamazsa yeniden bağlanmayı deneyecek.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Aşağıda göründüğü gibi IPSEC Policy oluşturuldu.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Sıra geldi oluşturduğumuz IPsec kuralını bağlantımıza atamaya bunun için IPsec connections alanından Add diyerek yeni bir bağlantı açıyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Şuan Genel Merkezimizde bulunan Sophos XG Firewalla kural oluşturduğumuz bağlantı sağlayacağımız yerin ismini(Office_VPN) bağlantıya veriyorip aşağıdaki ayarları yapıyoruz.

Connection type: Site-to-site
Gateway type: Initiate the connection (vpn her zaman up olacak)
Policy: Oluşturduğumuz IKEV2 Policy seçiyoruz
Authentication type: Preshared key
Active on save: on
Create firewall rules: on

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Preshared key: alanından tünelimize 32 karakterden oluşan güçlü ortak şifre tanımlaması yapıyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Local Gateway tarafına     : Merkez Public ve Local ip bloğumuzu tanımlıyoruz.
Remote Gateway tarafına: Şube Public ve Local ip bloğumuzu tanımlıyoruz.

ve bağlantımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray
Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray
Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray
Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Kurallar kısmımıza giriş yapıp baktığımızda vpn bağlantımız bizim yerimize otomatik kural attığını görebiliriz.

Kuralı okumamız gerekirse iki lokasyon birbirine any olarak erişebiliyor olacak peki bu kural nasıl oluştu derseniz “Create firewall rules: on” demiştik hatırlarsanız 😊

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

VPN bağlantısının oturup oturmadığını kontrol edebilmek için VPN üzerinden pinge izin veriyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Branch(Şube) Sophos Firewall Config;

Sıra geldi Lokasyonumuzda bulunan Sophos Firewallı yapılandırmaya. Genel Merkezimizde yaptığımız aynı ayarları şubemiz içinde bire bir yapıyoruz.

Şubemizde bulunan cihaza bağlanıp policies yazmak için CONFIGURE\VPN\IPsec policies\Add diyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Oluşturacağımız bağlantıya bir isim veriyoruz. Biz IKEv2 Main mode olarak bağlantı sağlayacağız.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Phase 1 Değerlerimizi aşağıdaki gibi ayarlıyoruz;

Key Life: 86400
Re-Key: 360
DH: Group14(2048)
Encryption: AES256
Authentication: SHA2-256

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Phase 2 Key Life değerimizi 28800 olarak ayarlıyoruz diğer ayarlarımız Phase1 ile aynı olacak.

Key Life: 28800
PSF: Group14(2048)
Encryption: AES256
Authentication: SHA2-256
DPD: Enable

Dead Peer Detection (DPD): IPsec bağlantısının canlılığını tespit etmeye yarıyan bir yöntemdir. DPD her 30 saniyede bir tüneli ping atarak kontrol edecek, eğer 120 saniye içerisinde bir response alamazsa yeniden bağlanmayı deneyecek.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Gördüğünüz gibi kuralımız oluşturuldu.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Sıra geldi oluşturduğumuz ipsec kuralını bağlantımıza atamaya bunun için Ipsec connections alanından Add diyerek yeni bir bağlantı açıyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Bağlantımıza isim verip aşağıdaki ayarları yapıyoruz.
Connection type: Site-to-site
Gateway type: Initiate the connection (vpn her zaman up olacak)
Policy: Oluşturduğumuz IKEV1 Policy seçiyoruz
Authentication type: Preshared key
Active on save: on
Create firewall rules: on

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Preshared key: alanından tünelimize 32 karakterden oluşan güçlü ortak şifre tanımlaması yapıyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Local Gateway tarafına     : Şube Public ve Local ip bloğumuzu tanımlıyoruz.
Remote Gateway tarafına: Merkez Public ve Local ip bloğumuzu tanımlıyoruz.

ve bağlantımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Yaptığımız tünel ayarlarını kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray
Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

İki tarafın Phase1 ve Phase2 değerleri aynı olduğu için kuralı kaydettiğimizde Connection Up oldu.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Kurallar kısmımıza giriş yapıp baktığımızda vpn bağlantımız bizim yerimize otomatik kural attığını görebiliriz.

Kuralı okumamız gerekirse iki lokasyon birbirine any olarak erişebiliyor olacak peki bu kural nasıl oluştu derseniz “Create firewall rules: on” demiştik hatırlarsanız 😊

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

VPN bağlantısının oturup oturmadığını kontrol edebilmek için VPN üzerinden pinge izin veriyoruz ve paketimizin karşı tarafa gidip gitmediğini kontrol ediyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Karşılıklı Lokasyonlar arasında PING attığımızda trafiğin geçtiğini görebiliriz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray
Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, fırat meray

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist