Sophos XG Firewall & Draytek Vigor Arasında Site to Site(IPsec) VPN

Merhabalar,

Bu makalemde sizlerle Sophos XG Firewall ile Wachguard Firewall arasında Site to Site IPSEC VPN bağlantısı kuracağız. 

Site to Site VPN nedir derseniz en basit haliyle birbirine uzak olan lokasyonlar(ofisler) arasında güvenli bir tünel kurarak aynı ortamdaymış gibi veri alış verişi sağlayan bir bağlantı türü olduğunu söylememizde sakınca yok 😊

Site to Site VPN kurabilmek için ISP tarafında aşağıdaki 500 ve 4500 portların açık olması gerekmektedir. Genellikle Arap yarım adasındaki ülkelerde bu portlar kapalı oluyor. Eğer Türkiye ile X bir ülke arasında IPSEC bağlantı kurmak isterseniz yasaklı ülkenin Internet Servis Sağlayıcısına mail atıp açtırabilirsiniz.

UDP Port 500:  Internet Security Association and Key Management Protocol(ISAKMP) and Internet Key Exchange(IKE)
UDP Port 4500: NAT Traversal(NAT-T)
IP Protocol 50: Encapsulating Security Payload(ESP)
IP Protocol 51: Authentication Header(AH)

IP Protocol 50(ESP) ve 51(AH) birer port değildir. ICMP(IP protocol 1),TCP(IP Protocol 6) veya UDP(IP Protocol 17) gibi bağımsız protokollerdir.

Maximum Desteklenen SSL ve IPSEC VPN Sayısı

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Aşağıdaki şemamıza bakacak olursak Merkez ile Şubemiz arasında bir bağlantı kuracağız.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray
Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Head Office (Merkez) Sophos Firewall Config;

Site to Site tünel bağlantısı kurmak için öncelikle IPsec policies oluşturacağız. Genel Merkezimizde bulunan Sophos XG Firewalla bağlanıp VPN Policies yazmak için CONFIGURE\VPN\IPsec policies\Add diyoruz.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Oluşturacağımız bağlantıya bir isim veriyoruz. Biz IKEv1 Main mode olarak bağlantı sağlayacağız.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Phase 1 Değerlerimizi aşağıdaki gibi ayarlıyoruz;

Key Life: 86400 (Tünelin verileri şifrelemek için kullandığı anahtarların ömrüdür.)
Re-Key: 360
DH: Group14(2048)
Encryption: AES256
Authentication: SHA2-256

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Phase 2 Key Life değerimizi 28800 olarak ayarlıyoruz diğer ayarlarımız Phase1 ile aynı olacak.

Key Life: 28800 (Tünelin verileri şifrelemek için kullandığı anahtarların ömrüdür.)
PSF: Group14(2048)
Encryption: AES256
Authentication: SHA2-256
DPD: Enable

Dead Peer Detection (DPD): IPsec bağlantısının canlılığını tespit etmeye yarıyan bir yöntemdir. DPD her 30 saniyede bir tüneli ping atarak kontrol edecek, eğer 120 saniye içerisinde bir response alamazsa yeniden bağlanmayı deneyecek.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Aşağıda göründüğü gibi IPSEC Policy oluşturuldu.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Sıra geldi oluşturduğumuz ipsec kuralını bağlantımıza atamaya bunun için Ipsec connections alanından Add diyerek yeni bir bağlantı açıyoruz.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Bağlantımıza isim verip aşağıdaki ayarları yapıyoruz.

Connection type: Site-to-site
Gateway type: Initiate the connection (vpn her zaman up olacak)
Policy: Oluşturduğumuz IKEV1 Policy seçiyoruz
Authentication type: Preshared key
Active on save: on
Create firewall rules: on

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Local Gateway tarafına     : Merkez Public ve Local ip bloğumuzu tanımlıyoruz.
Remote Gateway tarafına: Şube Public ve Local ip bloğumuzu tanımlıyoruz.

ve bağlantımızı kaydediyoruz.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray
Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray
Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Kurallar kısmımıza giriş yapıp baktığımızda vpn bağlantımız bizim yerimize otomatik kural attığını görebiliriz.

Kuralı okumamız gerekirse iki lokasyon birbirine any olarak erişebiliyor olacak peki bu kural nasıl oluştu derseniz “Create firewall rules: on” demiştik hatırlarsanız 😊

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray
Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

ICMP paketlerinin VPN üzerinden geçebilmesi için erişim izni veriyoruz.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Branch (Şube) Draytek Vigor Config;

Şubemizde bulunan Vigor Router üzerinde öncelikle VPN and Remote Access diyerek IPSEC servisimizi enable ediyoruz.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

VPN and Remote Access\Lan to Lan diyerek ilk sıradan bir bağlantı oluşturuyoruz.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Profile Name: Alanından bağlantımıza bir isim veriyoruz.
VPN Dial-Out Through: Alanından devremizin bağlı olduğu Wan Portu ve VPN kuracağımız ip adresini seçiyoruz.
Call Direction: Dial-Out ve Always on diyoruz.
Type of Server: Alanından IPSEC Tunnel IKEv1 olarak seçiyoruz.
Server IP\Host Name for VPN:  Alanından Merkez Firewallın(Sophos XG) ip adresini yazıyoruz.
IKE Pre-Shared Key: Alanından Sophos XG Firewall tarafına tanımlamış olduğumuz keyi yazıyoruz.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

IPsec Security Metod: Alanına Sophos XG Firewall tarafında ayarlamış olduğumuz Phase1 ve Phase2 değerlerinin aynısını yapıyoruz.

Group: Group14(2048)
Encryption: AES256
Authentication: SHA2-256
DPD: Enable
Key Life Phase1: 86400 Saniye = 24 saat
Key Life Phase2: 28800 Saniye = 8 saat

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

TCP/IP Network Settings: Alanına Public ve Local IP Networklerimizi tanımlayıp ayarlarımızı kaydediyoruz.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Kaydettiğimiz ayarlardan sonra VPN Bağlantımızın Online olduğunu görebiliriz.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Sophos XG Firewall CLI üzerinden Draytek Vigor tarafına ping attığımızda bağlantımızın geçtiğinizi görebiliriz.

Sophos XG Firewall, Draytek Vigor, Sophos XG Firewall IPSEC VPN, Draytek VPN IPSEC VPN, fırat meray

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist