Sophos XG Firewall üzerinde SSL VPN yapılandırması;
Öncelikle SSL VPN ile ağımıza uzaktan erişim yapacak kullanıcıları belirlemek için bir Grup oluşturalım ve bu gruba kullanıcı atayalım.
Authentication> Groups sekmesine gidin ve Add butonunu tıklayın.
Ekranda ilgili kısımları doldurun. Group Name kısmından kendi tercih edeceğiniz bir isim verebilirsiniz.
Aynı şekilde Authentication > Users sekmesine gidin ve Add butonunu tılayın.
Gelen ekranda ilgili kısımları doldurun. Group kısmından yukarda oluşturduğunuz grubu seçin.
Şimdi SSL VPN yapılandırırken kullanacağımız Host ları oluşturalım.
Hosts and Services > IP Host sekmesine gidin ve Add butonunu tıklayın.
Hosts and Services > IP Host sekmesine gidin ve Add butonunu tıklayın.
Burda oluşturduğumuz, 10.81.234.5 – 10.81.234.55 ip aralığı, Sophos XG Firewall tarafından SSL Vpn Kullanıcılarına dağıtılan default ip aralığıdır. Daha farklı bir ip aralığı belirlediyseniz onu girmeniz gerekmektedir. İlgili ipleri VPN >Show Vpn Settings > SSL VPN sekmesinden görebilirsiniz.
Aynı zamanda ssl vpn kullanıcıları, internete merkezden çıkacaksa, bu bölümdeki DNS bilgileri girilmelidir.
Ayrıca eğer XG Firewall, WAN arabiriminde herhengi bir NAT aygıtının (Modem, Router vs.) arkasından gelen bir IP’ye sahip ise, yani modeminiz bridge modda değil ve XG Firewallunuzun wan bacağı modem üzerinden herhangi bir iç ip almışsa, SSL vpn istemci wan ipsi olarak sizin modemden aldığınız iç ip yi gördüğünden bağlanamayacaktır. Bunun önüne geçmek için Override Hostname kısmına dış ip nizi yazmanız gerekmektedir. Ayrıca NAT cihazı, SSL VPN bağlantısını XG Firewall’a yönlendirmek için yapılandırılmalıdır.
Şimdi SSL VPN Policy mizi oluşturalım.
VPN > SSL VPN (Remote Access) sekmesine gidin ve Add butonunu tılayın.
Bu kısımda, Policy Members kısmında yukarda oluşturduğunuz grubu seçin. Tunel Access de Permitted Network Resources kısmında yukarda oluşturduğunuz Local_Network hostu seçin. Use as default gateway butonunu on konumuna getirirseniz, uzak lokasyondaki kullanıcı, SSL VPN bağlı olduğu sürece internete de sizin cihazınız üzerinden çıkar. Yani kullanıcının tüm trafiği sizin XG Firewall cihazınız üzerinden akacaktır. Off konumunda kullanıcı, sizin networkünüzde bir yere erişeceği zaman vpn tüneli ve sizin kaynaklarınızı kullanır. İnternete çıkarken kendi kaynaklarını kullanır. En yaygın kullanılan yöntem budur.
Authentication > Services sekmesinden, SSL VPN Authentication Methods ve Firewall authentication methods bölümünden
Selected authentication server kısmında Local in seçili olduğundan emin olu. Ayrıca, eğer Active Directory
vb. Server lardan çektiğiniz kullanıcılar, SSL VPN kullanacaksa, yine Authentication > Services sekmesinden, SSL VPN Authentication Methods ve Firewall authentication methods bölümünden Authentication Server List kısmında, ilgili authantication server a izin vermeniz gerekmektedir.
Ayrıca Administration > Device Access altında WAN ve LAN bölgeleri için SSL VPN in işaretli olduğundan emin olun.
Şimdi de Firewall Kurallarımızı Yazalım
Sophos XG üzerinde Protect/ Firewall a gidin. Add Firewall Kısmından User/Network Rule u tıklayın. Resimde gördüğünüz gibi bilgileri girin ve kaydedin.
SSL VPN i client lara kuralım
Browserdan, Xg Firewall Ip nizin önüne Https Yazarak, yukarda oluşturduğumuz kullanıcı ile User Portala giriş yapın.
Gelen Ekranda, SSL VPN kısmından Download client and configuration for Windows u tıklayıp kurulum ve config dosyasını indirin.
İndirdiğiniz dosyayı Yönetici olarak çalıştırın.
Kurulum adımlarını aşağıdaki şekilde tamamlayın.
Kurulum adımları tamamlandıktan sonra, istemci bilgisayar ekranının sol alt kısmında trafik ışığı şeklinde yeni bir ikon gelecektir.
İkonu çift tıklayıp, gelen ekrandan, kullanıcı adı ve şifremizi girelim. Bu kullanıcı adı ve şifre, user portala girerken kullandığımız kullanıcı adı ve şifre.
Bağlantı sağlandığında, aşağıdaki uyarı mesajını alırsınız ve trafik ışığı şeklindeki ikon yeşile döner.
Artık Uzak istemciniz SSL VPN ile merkez networkunuze bağlı.
Eğer ikonu tıkladığınızda SSL VPN CLient ınızın kullanıcı adı ve şifre sormadan direk bağlanmasını istiyorsanız aşağıdaki adımları takip edebilirsiniz.
SSL VPN clientı kurduğunuz konuma gidin. Default konum C:\Program Files (x86)\Sophos\Sophos SSL VPN Client . Config Klasörünün içindeki ovpn Uzantılı dosyayı Masa üstünüze kopyalayın.
Masaüstüne kopyaladığınız dosyayı sağ tıklayın ve Notepad ile açın. Açtığınız dosyanın en altına doğru, auth-user-pass yazan satırı göreceksiniz. O satırı auth-user-pass pass.txt olarak değiştirin
Masaüstünüze pass.txt isminde bir file oluşturun ve içeriğine, ilk satıra username ikinci satıra şifrenizi yazın ve kaydedin.
Masaüstündeki .ovpn ve pass.txt dosyasını C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config konumuna yapıştırın.
Artık, Sophos SSL VPN ikonunu çift tıklayıp bağlanmak istediğinizde şifre sormadan direk bağlanacaktır.
