Sophos XG Firewall NAT over Site to Site(IPsec) VPN

Merhabalar,

Bu makalemde sizlerle Lokasyonlarımız arasında NAT over Site to Site(IPsec) VPN bağlantısı kuracağız. 

Site to Site VPN nedir derseniz en basit haliyle birbirine uzak olan lokasyonlar(ofisler) arasında güvenli bir tünel kurarak aynı ortamdaymış gibi veri alış verişi sağlayan bir bağlantı türü olduğunu söylememizde sakınca yok 😊

Site to Site VPN kurabilmek için ISP tarafında aşağıdaki 500 ve 4500 portların açık olması gerekmektedir. Genellikle Arap yarım adasındaki ülkelerde bu portlar kapalı oluyor. Eğer Türkiye ile X bir ülke arasında IPSEC bağlantı kurmak isterseniz yasaklı ülkenin Internet Servis Sağlayıcısına mail atıp açtırabilirsiniz.

UDP Port 500:  Internet Security Association and Key Management Protocol(ISAKMP) and Internet Key Exchange(IKE)
UDP Port 4500: NAT Traversal(NAT-T)
IP Protocol 50: Encapsulating Security Payload(ESP)
IP Protocol 51: Authentication Header(AH)

IP Protocol 50(ESP) ve 51(AH) birer port değildir. ICMP(IP protocol 1),TCP(IP Protocol 6) veya UDP(IP Protocol 17) gibi bağımsız protokollerdir.

Maximum Desteklenen SSL ve IPSEC VPN Sayısı

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Örneğimizi gerçek bir seneryo üzerine kurmamız gerekirse A Firması ile B Firması günü geldi güçlerini birleştirmek için kardeş firma oldular ve iki lokasyonu basit maliyetsiz olarak aynı yerdeymiş gibi konuşturmak için çözüm üretmemizi istediler tabi bizde Local Networkleri kontrol etmeden IPSEC VPN ile bu iletişimi sağlayacağımızı belirttik 😊 gün çattı geldi VPN kurulumu yapmaya bir de ne göresiniz 😊 iki Firmada aynı Local Networklere(192.168.1.0/24) sahip ve iki lokasyondan birinin Local Networkünü değiştiremiyorsunuz çünkü içeride sadece kullanıcı bilgisayarları yok. Lokasyonda Network cihazları(kamera, barkod okuma, post, yazıcı) ve Sunucular var. İşte böyle bir durumla karşılaşırsanız burada Nat over Site to Site VPN devreye giriyor.

Yapımıza bakacak olursak her iki lokasyonda da 192.168.1.5 ipsine sahip FTP Sunucu var.

VPN kurulduktan sonra;

A Lokasyonunda bulunan bir kullanıcı B lokasyonundaki FTP(192.168.1.5) Sunucusuna erişmek için 172.16.24.5 ip adresini kullanıyor olacak.

B Lokasyonunda bulunan bir kullanıcı ise A lokasyonundaki FTP(192.168.1.5) Sunucusuna erişmek için 172.16.23.5 ip adresini kullanıyor olacak.

Böylelikle Local IP Bloklarımızı değiştirmeden iletişim sağlanabilir.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site
Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Head Office (Merkez) Sophos Firewall Config;

Genel Merkezimizde bulunan cihaza bağlanıp VPN Policies yazmak için CONFIGURE\VPN\IPsec policies\Add diyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Oluşturacağımız bağlantıya bir isim veriyoruz. Biz IKEv1 Main mode olarak bağlantı sağlayacağız.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Phase 1 Değerlerimizi aşağıdaki gibi ayarlıyoruz;

Key Life: 86400 (Tünelin verileri şifrelemek için kullandığı anahtarların ömrüdür.)
Re-Key: 360
DH: Group14(2048)
Encryption: AES256
Authentication: SHA2-256

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Phase 2 Key Life değerimizi 28800 olarak ayarlıyoruz diğer ayarlarımız Phase1 ile aynı olacak.

Key Life: 28800 (Tünelin verileri şifrelemek için kullandığı anahtarların ömrüdür.)
PSF: Group14(2048)
Encryption: AES256
Authentication: SHA2-256
DPD: Enable

Dead Peer Detection (DPD): IPsec bağlantısının canlılığını tespit etmeye yarıyan bir yöntemdir. DPD her 30 saniyede bir tüneli ping atarak kontrol edecek, eğer 120 saniye içerisinde bir response alamazsa yeniden bağlanmayı deneyecek.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Aşağıda göründüğü gibi IPSEC Policy oluşturuldu.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Sıra geldi oluşturduğumuz ipsec kuralını bağlantımıza atamaya bunun için Ipsec connections alanından Add diyerek yeni bir bağlantı açıyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Bağlantımıza isim verip aşağıdaki ayarları yapıyoruz.
Connection type: Site-to-site
Gateway type: Initiate the connection (vpn her zaman up olacak)
Policy: Oluşturduğumuz IKEV1 Policy seçiyoruz
Authentication type: Preshared key
Active on save: on
Create firewall rules: on

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Local Gateway tarafına     :  Local IP NAT Bloğumuzu
Remote Gateway tarafına :  Remote IP NAT Bloğumuzu yazıyoruz.

Network Address Translation(NAT) alanını Enable edip Nat to alanına gerçek Local Networkümüzü yazıyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Yaptığımız tünel ayarlarını kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Ayarları kaydettikten sonra oluşturduğumuz tünel görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Kurallar kısmımıza giriş yapıp baktığımızda vpn bağlantımız bizim yerimize otomatik kural attığını görebiliriz.

Kuralı okumamız gerekirse iki lokasyon birbirine any olarak erişebiliyor olacak peki bu kural nasıl oluştu derseniz “Create firewall rules: on” demiştik hatırlarsanız 😊

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site
Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

ICMP paketlerinin VPN üzerinden geçebilmesi için erişim izni veriyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Branch(Şube) Sophos Firewall Config;

Sıra geldi Lokasyonumuzda bulunan Sophos Firewallı yapılandırmaya. Genel Merkezimizde yaptığımız aynı ayarları şubemiz içinde bire bir yapıyoruz.

Şubemizde bulunan cihaza bağlanıp policies yazmak için CONFIGURE\VPN\IPsec policies\Add diyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Oluşturacağımız bağlantıya bir isim veriyoruz. Biz IKEv1 Main mode olarak bağlantı sağlayacağız.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Phase 1 değerimizi Merkez cihazımızla aynı olacak şekilde ayarlıyoruz.

Key Life: 86400
Re-Key: 360
DH: Group14(2048)
Encryption: AES256
Authentication: SHA2-256

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Phase 2 Key Life değerimizi 28800 olarak ayarlıyoruz diğer ayarlarımız Phase1 ile aynı olacak.

Key Life: 28800
PSF: Group14(2048)
Encryption: AES256
Authentication: SHA2-256
DPD: Enable

Dead Peer Detection (DPD): IPsec bağlantısının canlılığını tespit etmeye yarıyan bir yöntemdir. DPD her 30 saniyede bir tüneli ping atarak kontrol edecek, eğer 120 saniye içerisinde bir response alamazsa yeniden bağlanmayı deneyecek.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Aşağıda görebileceğiniz üzere IPSEC profilimiz oluşturuldu.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Sıra geldi oluşturduğumuz IPSEC kuralını bağlantımıza atamaya bunun için IPSEC connections alanından Add diyerek yeni bir bağlantı açıyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Bağlantımıza isim verip aşağıdaki ayarları yapıyoruz.
Connection type: Site-to-site
Gateway type: Initiate the connection (vpn her zaman up olacak)
Policy: Oluşturduğumuz IKEV1 Policy seçiyoruz
Authentication type: Preshared key
Active on save: on
Create firewall rules: on

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Local Gateway tarafına     :  Local IP NAT Bloğumuzu
Remote Gateway tarafına : Remote IP NAT Bloğumuzu yazıyoruz.

Network Address Translation(NAT) alanını Enable edip Nat to alanına gerçek Local Networkümüzü yazıyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Yaptığımız tünel ayarlarını kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Yaptığımız ayarlardan sonra tünelin UP olduğunu görebiliriz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Kurallar kısmımıza giriş yapıp baktığımızda VPN bağlantımız bizim yerimize otomatik kural attığını görebiliriz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site
Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

VPN bağlantısının oturup oturmadığını kontrol edebilmek için VPN üzerinden pinge izin veriyoruz ve paketimizin karşı tarafa gidip gitmediğini kontrol ediyoruz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Şubeden Test;

Şubemiz üzerinden Merkezdeki 192.168.1.5 File Sunucusuna erişmek için artık 172.16.23.5 ip adresini kullanmamız gerekmektedir. Böylelikle aynı Networklere sahip lokasyonları 172‘li Networkler üzerinden Natting yaparak konuşturabiliriz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Merkezden Test;

Merkezimiz üzerinden Şubemizdeki 192.168.1.5 File Sunucusuna erişmek için artık 172.16.24.5 ip adresini kullanmamız gerekmektedir. Böylelikle aynı Networklere sahip lokasyonları 172‘li Networkler üzerinden Natting yaparak konuşturabiliriz.

Sophos XG Firewall, Sophos XG Firewall Site to Site VPN, Sophos XG Firewall IPSEC, Sophos XG Firewall NAT over Site to Site

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist