Herkese merhaba,
Bu yazımızda sizlere, Sophos firewall cihazlarında Route Based VPN yapılandırması hakkında bilgi vereceğim.
Bilindiği üzere, firewall cihazları ile client-to-site ,site-to-site tünel (VPN) yapılandırması gerçekleştirilebiliyor ve bu bağlantı methodlarını farklı sistem erişimi yetkileri için kullanıyoruz. Sophos firewall cihzları ile gerçekleştirebileceğimiz bağlantı örneklerinden bir tanesi de Route-Based VPN yapılandırması olacaktır.
Yukarıdaki örneğimizde görüleceği üzere, 2 farklı lokasyonumuz olsun ve bu lokasyonlar arasında Route-Based VPN yapılandırması kurarak her iki farklı ağı ve bu ağda bulunan cihazların birbirleri ile erişimlerini sağlamaya çalışalım.
İlk lokasyonumuz için yapılandırma kısmına Configure > VPN > IPSec connections bölümünde Add butonuna tıklayarak başlıyoruz.
General settings başlığı altında;
Name : Tünel bağlantımıza isim veriyoruz. Ben burada Merkez ismini kullandım.
Connection Type : Bu kısımda Tunnel Interface seçeneğini seçiyoruz.
Gateway Type : Initiate the connection seçeneğini seçiyoruz.
Encryption başlığı altında;
Policy : Hazır politikalardan birini seçebilir yada kendi VPN politikanızı oluşturabilirsiniz.
Authentication Type : Burada preshared key seçeneğini kullanmayı tercih ettim.
Gateway settings başlığı altında ;
Local Gateway / Listening Interface : Cihazınınız üzerinde bulunan ve tünel bağlantısını yapmak istediğiniz WAN IP adresini seçiyoruz. Birden fazla internet hattınız varsa hangisi ile bağlantı yapılacaksa o IP seçilmelidir. (100.90.80.70)
Remote Gateway / Gateway address : Karşı tarafta bulunan ve tünel bağlantısı yapacağımız cihazın WAN IP adresini yazıyoruz. (100.90.80.80)
NOT : Görüldüğü üzere Local subnet ve Remote subnet kısımları pasif olarak gelecektir ve klasik IPSec VPN yapılandırması yaparken bu alanlara ilgili network adreslerini yazmamız gerekmekteydi, fakat Route-based VPN yapılandırmasında bu alanları kullanmayacağız.
İlgili ayarlamaları yaptıktan sonra Save butonuna tıklayarak ilk bağlantımızı oluşturmuş oluyoruz.
Şimdi ikinci cihaz üzerinde yapılandırma bölümüne geçiyoruz ve yine Configure > VPN > IPSec connections butonuna tıklayarak bağlantımızı oluşturmaya başlıyoruz.
General settings başlığı altında;
Name : Tünel bağlantımıza isim veriyoruz. Ben burada Şube ismini kullandım.
Connection Type : Bu kısımda Tunnel Interface seçeneğini seçiyoruz.
Gateway Type : Initiate the connection seçeneğini seçiyoruz.
Encryption başlığı altında;
Policy : Diğer cihazda hangi politika ayarları kullanılmışsa bu cihazda da aynı politika ayarları olması gerekecektir.
Authentication Type : Yine diğer cihazda belirlediğiniz şifrenin bu cihazda da aynı şekilde kullanılması gerekmektedir.
Gateway settings başlığı altında ;
Local Gateway / Listening Interface : İlk yapılandırdığımız cihazda Remote gateway kısmında hangi IP kullanıldıysa bu kısımda da aynı IP adresini kullanmamız gerekmektedir. (100.90.80.80)
Remote Gateway / Gateway address : lk yapılandırdığımız cihazda Local gateway kısmında hangi IP kullanıldıysa bu kısımda da aynı IP adresini kullanmamız gerekmektedir. (100.90.80.70)
Her iki cihaz üzerinde de tünel yapılandırmalarını tamamladıktan sonra , IPsec connections başlığı altında bulunan tünel bağlantılarını aktif etmek için Status >Active bölümündeki kırmızı butona basıp yeşil yani aktif konuma getiriyoruz ve Connection ışığının da yeşil konuma geçtiğini görene kadar bekliyoruz.
Eğer connection kısmı yeşil olmuyorsa, bağlantınız kurulamamış anlamına gelir ve her iki cihazda da yapılandırma ayarlarınızı kontrol etmeniz gerekecektir.
Görüldüğü üzere tünel bağlantımız her iki cihaz üzerinde de aktif olmuştur.
Bu aşamadan sonra Route-based VPN yapılandırmasına has olan özellik bölümünü göreceğiz. Configure > Network > Interfaces bölümüne geldiğimizde, tünel bağlantısı için kullanacağımız WAN IP adresinin bulunduğu port üzerinde aşağı doğru açılır bir pencere görülecektir ve tıkladığınızda xfrm1 adında bir sanal interface görülecektir.
Her iki cihaz da bu sanal interface’ler aracılığı ile tünel bağlantısı gerçekleştireceklerdir ve bu interface için IP yapılandırması yapmamız gerekecektir. Üzerinde herhangi bir IP yapılandırması ile gelmediği için xfrm1 interface’inin üzerine tıklıyoruz ve karşımıza gelen yapılandırma bölümünde sistemimizde bulunmayan boş bi IP aralığı belirliyoruz ve bu aralıktan bir IP adresi ataması yapıyoruz.
İkinci cihazımıza döndüğümüzde de yine aynı bölümü yani xfrm1 sanal interface’in oluştuğunu göreceğiz. Yine bu interface üzerine tıklayıp IP yapılandırma kısmına gelip bir IP adresi belirlememiz gerekmektedir. Bu aşamada dikkat edilmesi gereken en önemli nokta, bir önceki cihaza verdiğimiz IP bloğu ile aynı bloktan bir IP adresi atamamız gerekmektedir.
Bir önceki cihazımıza 10.11.12.1 IP adresini vermiştik , bu cihazda da 10.11.12.2 IP adresini kullanabiliriz.
Gerekli yapılandırmaları tamamladıktan sonra Merkez ve Şube cihazlarında hangi IP yada IP bloklarının birbirleri ile konuşmasını sağlayacağımız bölümün yapılandırmasını yapacağız.
Merkez lokasyonumuzda 172.16.42.0/24 IP bloğu,
Şube lokasyonumuzda da 192.168.90.0/24 IP bloğumuz mevcut ve biz bütün bloktaki cihazların birbirleri ile iletişim kurabilmesini istediğimizi varsayalım.
Öncelikle Merkez lokasyonumuzdaki cihazdan;
Routing > Static routing bölümüne gelip Add butonuna tıklıyoruz.
Destination IP / Netmask : Şube lokasyonunda ulaşmak istediğimiz IP yada IP bloğunu yazıyoruz.
Gateway : Şube lokasyonunda bulunan cihaz üzerindeki xfrm1 interface IP adresini yazıyoruz.
Interface : Merkez lokasyonunda bulunan cihaz üzerindeki xfrm1 interface IP adresini yazıyoruz.
Aynı işlemi Şube lokasyonundaki cihaz üzerinde de yapıyoruz ve ayar bölümünde;
Destination IP / Netmask: Merkez lokasyonunda ulaşmak istediğimiz IP yada IP bloğunu yazıyoruz.
Gateway : Merkez lokasyonunda bulunan cihaz üzerindeki xfrm1 interface IP adresini yazıyoruz.
Interface : Şube lokasyonunda bulunan cihaz üzerindeki xfrm1 interface IP adresini yazıyoruz.
NOT : Merkez ve/veya şube lokasyonlarınızda bulunan başka IP bloklarınız varsa o blokların da karşı taraftaki cihaza yine tünel üzerinden erişmesini isterseniz, her IP bloğu için yeni bir static route yapılandırması eklemeniz gerekmektedir.
Karşılıklı route ayarlarımızı da yaptıktan sonra, erişim yetkileri vermek için her iki cihaz üzerinde de LAN-VPN ve VPN-LAN firewall kuralları oluşturmayı unutmamamız gerekmektedir.
İlgili firewall kurallarımızı da yazdıktan sonra , Merkez lokasyonda bulunan test makinemiz üzerinden Şube lokasyondaki test makinesine erişimi test edebiliriz.
PING paketlerinin başarılı bir şekilde geçtiğin ilk görselde görebildiğimiz gibi ikinci görselde de tracert komutu ile trafiğin 10.11.12.2 IP adresi üzerinden yani Şube cihazı üzerinde bulunan xfrm1 sanal interface’i üzerinden aktarıldığını görebiliyoruz.
NOT : PING paketlerine yanıt alabilmek için her iki XG/XGS cihaz üzerinde System > Administration > Device access bölümünde VPN zone’una ait Ping/Ping6 kutucuğunun işaretli olması gerekmektedir. Erişimlerinizi test ederken PING metodunu kullanacaksanız bu ayar açık olmalıdır, aksi takdirde PING sorgunuza cevap alamayacaksınız ve erişimde yada yapılandırmada sorun olduğunu düşünebilirsiniz.