Sophos XG/XGS Cihazlarda SD-WAN Policy Route yapılandırması ile ilgili dikkat edilmesi gereken noktalar

Herkese merhaba,

Bu yazımızda sizlere Sophos XG/XGS cihazlarda SD-WAN Policy Route yapılandırmasında dikkat etmeniz gereken adımlardan bahsedeceğim.

Bilindiği üzere SD-WAN policy route yapıladırması, Sophos XG/XGS cihazlarında kullanılmaya başlanan bir özellik oldu. Genellikle bu bölümü, birden fazla WAN hattı kullanan yapılarda primary/backup gateway tanımlaması yapma amacıyla kullanıyoruz. Örnek olarak, lokal ağımızda bulunan cihazların Metro, misafir ağımızda bulunan cihazların da ADSL üzerinden internete çıkmasını istediğimiz bir yapı kuracaksak yada lokal ağımız için Metro interneti öncelikli hat belirleyip bu hatta yaşanacak olan olası bir problemde otomatik olarak ADSL üzerinden internete çıkmasınını sağlamak istediğimiz bir senaryoda SD-WAN policy route kısmını kullanmamız gerekmektedir.

Bu yapılandırma kısmında bilmemiz ve dikkat etmemiz birkaç noktadan bahsedeceğim.

Yukarıdaki yapılandırma bölümünde göreceğimiz üzere, örneğimizde, 172.16.42.10 IP adresine sahip cihazımınızın internet erişimini WAN001 isimli gateway üzerinden gerçekleştirmesini eğer bu hatta sorun olursa, WAN002 isimli gateway üzerinden devam etmesini sağlayacak bir yapılandırma yapıyoruz.

Bu yapılandırma ile istediğimiz şekilde çalışmasını sağlayacağız. Fakat burada dikkat etmemiz gereken kritik bir nokta bulunmaktadır. Öreneğimize dönersek;

Source networks : Hangi lokal kaynaklar için geçerli olacağı alanı seçiyoruz. (172.16.42.10 olarak sadece 1 cihaz seçtik)
Destination networks : Hangi kaynaklara erişmek istediğimizi seçtiğimiz bölümdür. Bizim örneğimizde internet erişimi olacaktır.

Bu şekilde yaptığımız yapılandırma sonucunda 172.16.42.10 IP adresli makine, internet erişimini WAN001 hattı üzerinden gerçekleştirecektir. Fakat, destination networks kısmı ANY olarak seçildiği için, ilgili makinenin yalnızca internet erişimi değil, diğer ağlara olan erişimleri de yine WAN001 hattı üzerinden gerçekleşecektir. Yani, örneğin ortamda başka bir ağımız daha mevcut ve o ağa da erişim için kural yazmış olalım. LAN -LAN kuralı yerel ağlar arasındaki geçiş için yeterli olacaktır fakat yukarıdaki SD-WAN yapılandırması sonucunda yerel ağlar arası erişim internet üzerinden sağlanmaya çalışacak ve bu da erişim sorununa neden olacaktır.

Bir diğer örnekte ise, ağımızda VPN bağlantısı olduğunu düşünelim. Tünel üzerindeki kaynaklara erişim sağlamak için de LAN-VPN kuralı yazmamız yeterli olacaktır. Fakat yine SD-WAN policy route içerisinde bulunan destination networks kısmındaki ANY kuralından ötürü VPN erişimi için yerel trafik WAN001 hattına yani internete yönlenecektir ve yine erişim sorunu yaşanacaktır.

Yukarıda belirtilen problemlerin önüne geçebilmek, yalnızca internet erişimi için WAN001 yada WAN002 hatlarını kullanmayı sağlamak adına yapılabilecek 2 yöntem bulunmaktadır.

Yöntem-1

Birinci yöntemde, cihaz üzerinde tanımlı olan route sıralamasını değiştirmek gerekecektir. SD-WAN policy route, static ve VPN route’larına nazaran daha öncelikli olduğu için, SD-WAN ile oluşturulan herhangi bir kural , bütün route’lar üzerinde baskın olacaktır. Dolayısıyla route sıralamasını değiştirmek, problemin çözümüne yardımcı olacaktır.

Firewall cihazımızda route sırasını öğrenmek için, cihaza SSH bağlantısı yapmamız gerekmektedir. Daha sonra sırasıyla,
4.Device Console
console > system route-precedence show komutunu çalıştırıyoruz.

Yukarıdaki ekran görüntüsünde de göreceğimiz üzere, cihazımızda SD-WAN policy route öncelikli olarak belirlenmiştir. Bu sıralamayı değiştirerek SD-WAN policy route kuralı sonrası oluşabilecek sorunların önüne geçmiş olacağız.

Route sırasının değiştirilmesi için yine console ekranında,
console > system route-precedence set static vpn sdwan_policyroute komutunu girmemiz yeterli olacaktır. Bu işlemden sonra Static route öncelikli, VPN route ikinci öncelik seviyesinde ve SD-WAN policy route ise üçüncü öncelik seviyesinde olacaktır ve mevcutta karşılaşacağımız sorunların önüne geçecektir.

Yöntem -2

İkinci yöntemde, cihaz üzerinde route sıralamasını değiştirmeden ve oluşturduğumuz SD-WAN policy route kuralında belirlediğimiz source IP yada networklerin yalnızca internete doğru olacak olan trafiklerinin istediğimiz hat üzerinden yönlendirilmesi istersek , izlenmesi gereken adımlar şu şekilde olacaktır:

Öncelikle, işlem yapacağımız firewall ciazına SSH ile bağlantı sağlıyoruz ve karşımıza gelen menüden
5. Device Management > Advanced Shell seçeneğini seçiyoruz.

Karşımıza gelen ekrana
wget https://raw.githubusercontent.com/iaasteamtemplates/XgOnAzurePOC/master/createInternetIPv4Group.sh komutunu yazıp enter tuşuna basıyoruz.

Yukarıdaki resimde görüleceği üzere, komutu çalıştırdıktan sonra createInternetIPv4Group.sh isimli dosyanın indirme işlemini yaptık.

Bir sonraki adımda, indirmiş olduğumuz dosyanın yükleme işlemini yapmak için yine aynı ekranda
sh createInternetIPv4Group.sh komutunu çalıştırıyoruz ve işlemin bitmesini bekliyoruz.

Yukarıdaki ekran görüntüsünde görüleceği üzere, yükleme işlemi başarıyla tamamlandı ve bu aşamadan sonra konsol/SSH bağlantısını sonlandırabiliriz.

Firewall arayüzüne dönüyoruz ve System > Hosts and services > IP Host bölümüne geldiğimizde bu bölümde Internet IP adreslerinin, IP aralıklarına göre teker teker eklendiğini göreceğiz.
Ayrıca System > Hosts and services > IP host group bölümüne geldiğimizde de host olarak eklenen IP adreslerinin Internet IPv4 ismiyle bir grup altında toplandığını da göreceğiz.

Internet IP adrelerini host olarak sisteme ekledikten sonra tekrar SD-WAN policy route bölümüne dönüp IP/ Network bazlı SD-WAN route kuralı yazabiliriz.

Yukarıda görüleceği üzere, 172.16.42.10 IP adresine ait cihazın internete doğru yapacağı trafik için bir SD-WAN policy route kuralı oluşturduk ve bu kez Destination host bölümünü Any olarak değil IP HOST GROUP içerisinde bulunan internet adresleri olarak seçtik ve bu yapılandırmadan sonra, VPN yada diğer ağlara doğru yapılan trafik SD-WAN policy route kuralından etkilenmeden sorunsuz bir şekilde çalışmaya devam edecektir.