Sophos XG Firewall Site to Site Red VPN Tunnel Configuration
Merhabalar,
Bu makalemde Sophos XG Firewall üniteleri arasında Site to Site RED VPN tünel kuracağız. Tekrardan bu makalemde RED ünitelerine ve çalışma modlarına detaylı değinmeyeceğim. RED üniteleri ve çalışma modları hakkında detaylı bilgiye ulaşmak için aşağıdaki makalelerime göz atmanızda fayda var.
https://www.firatmeray.com/sophos-red-remote-ethernet-devices-nedir/
https://www.firatmeray.com/red-calisma-modlari-kurulumlar/
Aşağıdaki şemamıza bakacak olursak; İki lokasyon arasında RED VPN Tunnel kurabilmek için öncelikle sanal bir network oluşturmalıyız. Örneğimizde 192.168.100.0/24 bizim RED Networkümüz.
Lan Network yazan ipler ise şubelerimizin Local Network bloklarını temsil etmektedir. Burada şubelerimizi RED Tunnel içerisinden konuşturabilmek için her iki ünite üzerinde de erişilecek lokasyon için Static Route yazmalıyız. Genel mantıkta RED Tunnel Server Client mimarisinde çalışmaktadır.
Head Office Config
Uygulamamız gereği Head Office Server olarak çalışacak bu yüzden Configure\Network\Add interface\Add RED diyerek sanal interface yaratıyoruz.
Karşımıza çıkan ekranda lokasyon adını tanımladıktan sonra type alanından “Firewall Red Server” olarak seçiyoruz.
Burada Tünnel ID’yi benzersiz tanımlamanız çok önemli çünkü Configi aktaracağınız lokasyonda RED üniteleri çalışıyorsa ve tünel değeri otomatikte bırakıldıysa 1,2,3,4,5 olarak gidiyor olacaktır. Bu yüzden burayı otomatikte bırakırsanız default olarak Firewall 1 değerini atayacaktır. Bundan dolayı şubeye configi aktarırken hata ile karşılaşıyor olacaksınız.
Tunnel ID değerimi şubede bağlı olan RED ünitelerinden farklı bir değere çekiyorum.
Red Network settings alanına RED Tünel için belirlediğimiz sanal Networkü yazıyoruz. HQ Firewall 192.168.100.1 , BO Firewall 192.168.100.2 olacak
Yaptığımız ayarlardan sonra tünelimizi kaydediyoruz.
Aşağıda göreceğiniz üzere reds1 adında tünelimiz oluştu. Tünelin sağ tarafında bulunan üç çizgiye tıkladığımızda otomatik oluşturulan provisyon dosyasını indiriyoruz. Bu dosyayı şubedeki ünitemize aktarıyor olacağız.
RED sanal tünel arkasında bulunan Local Networklere erişmek için Static Route yazmamız gerekmektedir. Configure\Routing\Static Routing\Add diyerek tanımlama yapıyoruz.
Aşağıdaki Static yola bakacak olursak 192.168.99.0/24 networküne giderken 192.168.100.2 Gatewayini kullanmasını tanımlıyoruz.
Static Route tanımlamamızdan sonra Local to Local bir kural ekleyerek lokasyonların erişimini açabiliriz. RED_Zone adında bir alan açarak RED Tuneli izalasyona alabilirsiniz bu size kalmış.
Branch Office Config
Sıra geldi Branch Office için RED tünel ayarlarını yapmaya
Uygulamamız gereği Branch Office Client olarak çalışacak bu yüzden Configure\Network\Add interface\Add RED diyerek sanal interface yaratıyoruz.
Karşımıza çıkan lisans anlaşmasını Accept diyerek kabul ediyoruz.
Karşımıza çıkan ekranda lokasyon adını tanımladıktan sonra type alanından “Firewall Red Client” olarak seçiyoruz.
Firewall IP/Hostname alanına Head Office Public IP adresimizi tanımlıyoruz.
Provisioning File alanına Head Office Firewall üzerinde indirdiğimiz Provizyon dosyasını ekliyoruz.
Red Network settings alanına RED Tünel için belirlediğimiz sanal Networkü yazıyoruz. HQ Firewall 192.168.100.1 , BO Firewall 192.168.100.2 olacak
Yaptığımız ayarlardan sonra tünelimizi kaydediyoruz.
Aşağıda göreceğiniz üzere Lokasyonlar Connected oldu.
Head Office lokasyonunda yaptığımız gibi Merkezde bulunan Local Networke erişmek için Static Route yazmamız gerekmektedir. Configure\Routing\Static Routing\Add diyerek tanımlama yapıyoruz.
Aşağıdaki Static yola bakacak olursak 192.168.1.0/24 networküne giderken 192.168.100.1 Gatewayini kullanmasını tanımlıyoruz.
Static Route tanımlamamızdan sonra Local to Local bir kural ekleyerek lokasyonların erişimini açabiliriz. RED_Zone adında bir alan açarak RED Tuneli izalasyona alabilirsiniz bu size kalmış.
Head Office üzerinde bulunan 192.168.1.0 üzerinde herhangi bir makinadan karşı lokasyona ping testi yaptığımızda erişilebilir olduğunu aşağıdaki resimden görebilirsiniz.
Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist
