Sophos XG Firewall & TP-Link Router Arasında Site to Site(IPsec) VPN

Merhabalar,

Bu makalemde sizlerle Sophos XG Firewall ile TP-Link Router arasında Site to Site IPSEC VPN bağlantısı kuracağız. 

Site to Site VPN nedir derseniz en basit haliyle birbirine uzak olan lokasyonlar(ofisler) arasında güvenli bir tünel kurarak aynı ortamdaymış gibi veri alış verişi sağlayan bir bağlantı türü olduğunu söylememizde sakınca yok 😊

Site to Site VPN kurabilmek için ISP tarafında aşağıdaki 500 ve 4500 portların açık olması gerekmektedir. Genellikle Arap yarım adasındaki ülkelerde bu portlar kapalı oluyor. Eğer Türkiye ile X bir ülke arasında IPSEC bağlantı kurmak isterseniz yasaklı ülkenin Internet Servis Sağlayıcısına mail atıp açtırabilirsiniz.

UDP Port 500:  Internet Security Association and Key Management Protocol(ISAKMP) and Internet Key Exchange(IKE)
UDP Port 4500: NAT Traversal(NAT-T)
IP Protocol 50: Encapsulating Security Payload(ESP)
IP Protocol 51: Authentication Header(AH)

IP Protocol 50(ESP) ve 51(AH) birer port değildir. ICMP(IP protocol 1),TCP(IP Protocol 6) veya UDP(IP Protocol 17) gibi bağımsız protokollerdir.

Maximum Desteklenen SSL ve IPSEC VPN Sayısı

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Aşağıdaki şemamıza bakacak olursak Merkez ile Şubemiz arasında bir bağlantı kuracağız.

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN
Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Head Office (Merkez) Sophos Firewall Config;

Site to Site tünel bağlantısı kurmak için öncelikle IPsec policies oluşturacağız. Genel Merkezimizde bulunan Sophos XG Firewalla bağlanıp VPN Policies yazmak için CONFIGURE\VPN\IPsec policies\Add diyoruz.

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Oluşturacağımız bağlantıya bir isim veriyoruz. Biz IKEv1 Main mode olarak bağlantı sağlayacağız.

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Phase 1 Değerlerimizi aşağıdaki gibi ayarlıyoruz;

Key Life: 86400 (Tünelin verileri şifrelemek için kullandığı anahtarların ömrüdür.)
Re-Key: 360
DH: Group14(2048)
Encryption: AES256
Authentication: SHA1-160

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Phase 2 Key Life değerimizi 28800 olarak ayarlıyoruz diğer ayarlarımız Phase1 ile aynı olacak.

Key Life: 28800 (Tünelin verileri şifrelemek için kullandığı anahtarların ömrüdür.)
PSF: Group14(2048)
Encryption: AES256
Authentication: SHA1-160
DPD: Enable

Dead Peer Detection (DPD): IPsec bağlantısının canlılığını tespit etmeye yarıyan bir yöntemdir. DPD her 30 saniyede bir tüneli ping atarak kontrol edecek, eğer 120 saniye içerisinde bir response alamazsa yeniden bağlanmayı deneyecek.

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Aşağıda göründüğü gibi IPSEC Policy oluşturuldu.

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Sıra geldi oluşturduğumuz ipsec kuralını bağlantımıza atamaya bunun için IPsec Connections alanından Add diyerek yeni bir bağlantı açıyoruz.

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Bağlantımıza isim verip aşağıdaki ayarları yapıyoruz.

Connection type: Site-to-site
Gateway type: Initiate the connection (vpn her zaman up olacak)
Policy: Oluşturduğumuz IKEV1 Policy seçiyoruz
Authentication type: Preshared key
Active on save: on
Create firewall rules: on

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Local Gateway tarafına     : Merkez Public ve Local ip bloğumuzu tanımlıyoruz.
Remote Gateway tarafına: Şube Public ve Local ip bloğumuzu tanımlıyoruz.

ve bağlantımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN
Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN
Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Kurallar alanına giriş yapıp baktığımızda vpn bağlantımız bizim yerimize otomatik kural attığını görebiliriz.

Kuralı okumamız gerekirse iki lokasyon birbirine any olarak erişebiliyor olacak peki bu kural nasıl oluştu derseniz “Create firewall rules: on” demiştik hatırlarsanız 😊

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN
Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

ICMP paketlerinin VPN üzerinden geçebilmesi için erişim izni veriyoruz.

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Branch(Şube) TP-Link Router Config;

Sıra geldi şubemizde bulunan TP-Link Routeri yapılandırmaya

Şubemizde bulunan TP-Link Routera bağlanıp Advanced Setup\IPS alanından;

DPD – Dead Peer Detection alanını aktif edip Add New Connection diyerek yeni bir IPSEC bağlantı açıyoruz.

Dead Peer Detection (DPD): IPsec bağlantısının canlılığını tespit etmeye yarıyan bir yöntemdir. DPD her 30 saniyede bir tüneli ping atarak kontrol edecek, eğer 120 saniye içerisinde bir response alamazsa yeniden bağlanmayı deneyecek.

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Local ve Remote için ip bilgilerimizi yazdıktan sonra Sophos XG tarafında tanımlamış olduğumuz Pre-Shared Key bilgimizi yazıyoruz.

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Phase 1 ve Phase 2 değerlerimizi Sophos XG Firewall tarafına göre uyarlayıp ayarlarımızı kaydediyoruz.

Phase1;
Key Life: 86400 (Tünelin verileri şifrelemek için kullandığı anahtarların ömrüdür.)
DH: Group14(2048)
Encryption: AES256
Authentication: SHA1-160

Phase2;

Key Life: 28800 (Tünelin verileri şifrelemek için kullandığı anahtarların ömrüdür.)
DH: Group14(2048)
Encryption: AES256
Authentication: SHA1-160

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Kaydettiğimiz ayarlardan sonra Sophos XG Firewall Local interface ip adresine doğru ping atarak bağlantımızı kontrol edebiliriz.

Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN
Sophos XG Firewall, Sophos XG Firewall IPSEC VPN, TP-LINK Site to Site VPN, TP-Link IPSE VPN

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist