Sophos XG Firewall PPTP VPN Yapılandırması
PPTP(Point to Point Tunnel Protocol) noktadan noktaya bağlantılar üzerinde veri aktarımı için geliştirilmiştir. Günümüzde hemen hemen bütün cihazlar PPTP bağlantıyı desteklemektedir. Kullanıcıların Laptop, Tablet ve Telefonlarına herhangi bir 3rd party yazılım kurmadan basitce bağlantı sağlamaları için kullanmaktayız.
Güvensiz bir bağlantı çeşidi olan PPTP bağlantısından geçen veriler MPPE-128 bit ile şifrelenmektedir. OSI Layer 2 katmanında çalışan PPTP bağlantısı TCP 1723 (PPTP denetim yolu) Portunu ve GRE 47 (PPTP veri yolu) Protokolünü kullanmaktadır.
PPTP Ethernet Frame;
PPTP ve L2TP VPN bağlantılarının desteklediği kimlik doğrulama çeşitleri;
Sophos XG Firewall üzerinde Active Directory Entegrasyonu yaparak kullanıcıların AD üzerinden PAP kimlik doğrulama yapmasını isterseniz aşağıdaki makaleme göz atmanızda fayda var.
https://www.firatmeray.com/sophos-xg-firewall-active-directory-stas-entegrasyonu/
PPTP Şemamız;
Uygulamamızda firat.meray kullanıcısının Windows 10 makina üzerinden PPTP bağlantı sağlayarak Merkezimizde kullanmış olduğumuz Sophos XG Firewall arasında VPN Tunnel kurulmasını sağlayacağız.
PPTP kullanıcılarınız için ayrıca bir Local Group oluşturabiliriz.
firat.meray kullanıcısı PPTP ile bağlantı sağladığında static ip almasını istiyoruz bu yüzden 192.168.1.200 ip adresini atadık.
PPTP Server oluşturmak için Configure\VPN\PPTP(Remote Access)\Enable PPTP diyoruz.
Assign IP From alanından PPTP ile bağlantı sağlayacak kullanıcıların bağlantı sırasında alacağı ip aralığını belirtiyoruz.
DNS alanından bağlantı sağlayacak kullanıcıların DNS çözümleme isteğini ilk olarak Merkez Firewall arkasında bulunan DNS Server üzerinden yapmasını istiyoruz.
Yaptığımız ayarları kaydediyoruz.
Show members diyerek PPTP ile bağlantı sağlayacak kullanıcıları görebiliriz. Kullanıcıyı oluşturma aşamasında PPTP Grubunu seçtiğim için kullanıcı otomatik tanımladı.
Apply diyerek bütün ayarları onaylıyoruz.
Kimlik doğrulama türünü CHAP olarak ayarlamak için CLI üzerinden set vpn pptp authentication CHAP komutunu uyguluyoruz.
Eğer MS-CHAPv2 kullanmak isterseniz set vpn pptp authentication MS-CHAPv2 encryption STRONG komutunu çalıştırmalısınız.
Sıra geldi PPTP kullanıcıları için Firewall erişim kuralları yazmaya.
PPTP kullanıcılarının Local Networke erişmesi için VPN To LAN kuralımızı yazıyoruz.
Local kullanıcılarının PPTP Range erişmesi için LAN To VPN kuralımızı yazıyoruz.
PPTP VPN kullanıcılarının internete çıkış yapabilmesi için Local_To_Wan kuralımıza VPN Zonumuzu ekliyoruz.
Yazdığımız kuralı internete natlamak için “Rewrite source adress(masquerading)” alanını işareledikten sonra “Use outbound address” alanından default MASQ’yu ve Primary ISP devremizi seçiyoruz.
Firewall tarafındaki ayarlarımızı tamamladıktan sonra sıra geldi PPTP bağlantısının firat.meray kullanıcısının makinasında yapılmasına.
Network and Sharing Center\Set up a new connection or network diyerek yeni bir VPN bağlantısı oluşturacağız.
Karşımıza çıkan ekranda Connect to a workplace diyoruz.
Use my internet connection (VPN) alanını seçip ilerliyoruz.
Bu alanda PPTP sunucusu olarak çalışan Merkez ofisimizin Firewall IP adresini verip isim bağlantımıza isim tanımlaması yaptıktan sonra Create diyoruz.
Yarattığımız HQ Office Virtual Ethernet Objesinin özeliklerine giriş yapıp ilk iş olarak Use default gateway on remote network alanının seçili olup olmadığı kontrol ediyoruz.
Daha sonra Security alanından kırmızı ile işaretlediğim alanları birebir uyarlayıp kaydettikten sonra bağlantımıza Connect diyoruz.
Karşımıza çıkan ekrana kullanıcı adımızı ve parolamızı yazıp tamam diyoruz.
Aşağıda görebileceğiniz üzere bağlantı sağlandı.
Kontrol ettiğimizde Merkezdeki Firewall ünitemizin Local Gateway ip adresine ve google dns sunucularına ping atabiliyoruz.
Kullanıcının makinasında “what is my ip” sorgulaması yaptığımızda Merkezimiz üzerinden internete çıktığımızı görebiliriz.
Monitor & Analyze\Live users alanından bağlantı yapan kullanıcıları görebilirsiniz.
Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist
