Sophos XG Firewall L2TP VPN Yapılandırması
L2TP(Layer 2 Tunneling Protocol) noktadan noktaya bağlantılar üzerinde güvenli veri aktarımı için geliştirilmiştir. Günümüzde hemen hemen bütün cihazlar L2TP bağlantıyı desteklemektedir. Kullanıcıların Laptop, Tablet ve Telefonlarına herhangi bir 3 party yazılım kurmadan basitce bağlantı sağlamaları için kullanmaktayız.
OSI Layer 2 katmanında çalışan L2TP bağlantısı TCP/UDP
1701, IP Protocol 50 ve UDP 500 Portunu kullanmaktadır.
L2TP Ethernet Frame;
PPTP ve L2TP VPN bağlantılarının desteklediği kimlik doğrulama çeşitleri;
Sophos XG Firewall üzerinde Active Directory Entegrasyonu yaparak kullanıcıların AD üzerinden PAP kimlik doğrulama yapmasını isterseniz aşağıdaki makaleme göz atmanızda fayda var.
https://www.firatmeray.com/sophos-xg-firewall-active-directory-stas-entegrasyonu/
L2TP Şemamız;
Uygulamamızda firat.meray kullanıcısının Windows 10 makina üzerinden L2TP bağlantı sağlayarak Merkezimizde kullanmış olduğumuz Sophos XG Firewall arasında VPN Tunnel kurulmasını sağlayacağız.
L2TP kullanıcılarınız için ayrıca bir Local Group oluşturabiliriz.
firat.meray kullanıcısı L2TP ile bağlantı sağladığında static ip almasını istiyoruz bu yüzden 192.168.1.200 ip adresini atadık.
PPTP Server oluşturmak için Configure\VPN\Show VPN Settings diyoruz.
Assign IP From alanından L2TP ile bağlantı sağlayacak kullanıcıların bağlantı sırasında alacağı ip aralığını belirtiyoruz.
DNS alanından bağlantı sağlayacak kullanıcıların DNS çözümleme isteğini ilk olarak Merkez Firewall arkasında bulunan DNS Server üzerinden yapmasını istiyoruz.
Yaptığımız ayarları kaydediyoruz.
Show members diyerek L2TP ile bağlantı sağlayacak kullanıcıları görebiliriz. Kullanıcıyı oluşturma aşamasında L2TP Grubunu seçtiğim için kullanıcı otomatik tanımladı.
Apply diyerek bütün ayarları onaylıyoruz.
Configure\VPN\L2TP(remote access)\Add diyerek L2TP bağlantımızı yaratıyoruz.
L2TP bağlantımız için Default Phase1/Phase2 değerlerini kullanacağım.
Client ile Firewall arasında ortak bir şifre kullanacağımız için Authentication type alanından Preshared key seçip güvenli bir şifre belirliyoruz.
Local WAN Port alanından hangi hattımız üzerinde L2TP bağlantı sağlanacağını seçip Nat Traversalı işaretliyoruz.
Remote Subnet alanı önemli Merkez üzerinden internete çıkacağım için burayı Any seçmemiz gerekiyor.
Diğer ayarları değiştirmeden yaptığımız değişiklikleri kaydediyoruz.
Sıra geldi L2TP kullanıcıları için Firewall erişim kuralları yazmaya.
L2TP kullanıcılarının Local Networke erişmesi için VPN To LAN kuralımızı yazıyoruz.
Local kullanıcılarının L2TP Range erişmesi için LAN To VPN kuralımızı yazıyoruz.
L2TP VPN kullanıcılarının internete çıkış yapabilmesi için Local_To_Wan kuralımıza VPN Zonumuzu ekliyoruz.
Yazdığımız kuralı internete natlamak için “Rewrite source adress(masquerading)” alanını işareledikten sonra “Use outbound address” alanından default MASQ’yu ve Primary ISP devremizi seçiyoruz.
Firewall tarafındaki ayarlarımızı tamamladıktan sonra sıra geldi L2TP bağlantısının firat.meray kullanıcısının makinasında yapılmasına.
Network and Sharing Center\Set up a new connection or network diyerek yeni bir VPN bağlantısı oluşturacağız.
Karşımıza çıkan ekranda Connect to a workplace diyoruz.
Use my internet connection (VPN) alanını seçip ilerliyoruz.
Bu alanda L2TP sunucusu olarak çalışan Merkez ofisimizin Firewall IP adresini verip isim bağlantımıza isim tanımlaması yaptıktan sonra Create diyoruz.
Yarattığımız HQ Office Virtual Ethernet Objesinin özeliklerine giriş yapıp ilk iş olarak Use default gateway on remote network alanının seçili olup olmadığı kontrol ediyoruz.
Security alanından L2TP/IPSEC tünel tipini seçip Advanced settings alanına L2TP(remote access) menüsünde yazdığımız genel L2TP şifreyi giriyoruz.
Karşımıza çıkan ekrana kullanıcı adımızı ve parolamızı yazıp tamam diyoruz.
Aşağıda görebileceğiniz üzere bağlantı sağlandı.
Kontrol ettiğimizde Merkezdeki Firewall ünitemizin Local Gateway ip adresine ve google dns sunucularına ping atabiliyoruz.
Kullanıcının makinasında “what is my ip” sorgulaması yaptığımızda Merkezimiz üzerinden internete çıktığımızı görebiliriz.
Monitor & Analyze\Live users alanından bağlantı yapan kullanıcıları görebilirsiniz.
Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist
