Sophos SSL VPN Konfigürasyonu V17.5.10

Merhabalar sizlerle Sophos V17.5.10 da SSL VPN profili oluşturup trafiğin istediğimiz kuraldan nasıl geçeceğini ayarlayacağız.

İlk olarak Authentication / Users sekmesinden kendinize local bir kullanıcı oluşturabilirsiniz yada Active Directory senkronizasyonunuz varsa ilgili kullanıcıları SSL VPN profili içinden de seçebilirsiniz.

VPN / SSL VPN bölümüne girip Add butonuna tıklıyoruz.

Açılan pencerede

General Settings / Name kısmına vpn profilimizin ismini giriyoruz.

Identity / Policy Members kısmından bu vpn profilinde aktif olacak kullanıcılarımızı seçiyoruz. İster local , istersek Active Directory kullanıcılarını seçebiliriz burada.

Tunnel Access / Use as default gateway kutucuğu varsayılanda kapalı gelir. VPN ile bağlanacakların internet trafiğinin de bu firewall üzerinden çıkmasını istiyorsanız bu kutucuğu açmanız gerekiyor. Bu işlemi varsayılan konfigürasyon üzerinden değiştirerek yapacaksanız lütfen sonrasında kullanıcı ssl vpn konfigürasyonunu tekrardan indiriniz.

Tunnel Access / Permitted network resources (IPv4) kısmına VPN kullanıcılarımızın erişeceği IP, IP aralığı , Network veya IP listelerini giriyoruz. Buraya birden fazla Network veya IP girebilirsiniz.

VPN / Show VPN Settings den SSL VPN için kullanılacak IP aralığını değiştirebiliriz. Burada internet trafiğinizi de merkeze yönlendirecekseniz lütfen IPv4 DNS kısımlarını doldurunuz. UDP olarak kullanırsanız vpn de daha hızlı bağlantılar elde edebilirsiniz. Varsayılanda TCP gelmektedir, eğer ki mevcut VPN hızı sizin için yeterliyse bu ayarı değiştirmenize gerek yoktur.

Bundan sonraki adımda artık kurallarımızı oluşturacağız.

Firewall / Add Firewall Rule / User-Network Rule

Rule name : VPNtoLAN

Rule Position : Top

Rule Group : Mevcut bir grubunuz varsa seçebilir yada none da bırakabilirsiniz

Source Zone : VPN

Source networks and devices : Burada önerim SSL VPN networkunuzu girmeniz mesela 10.81.234.0/24 gibi. Önermesem de any de bırakabilirsiniz.

During scheduled time : Buradan sadece mesai saatleri içinde vpn trafiğine izin ver diyerek kendinize erişim takvimi oluşturabilirsiniz

Destination zones : LAN (Burada farklı zonelarınız varsa erişmesini istediğiniz onları da seçebilirsiniz)

Destination networks : Burada ilgili vpn profilinde izin verdiğiniz Networkleri veya IP leri seçiniz

Services : Burada belli servisleri seçebilir yada Any bırakarak tüm servislere geçiş izni verebilirsiniz

Identity / Match known users kutucuğunu seçip User or groups altından bu kuralı hangi VPN networku kullanıcıları için oluşturduysanız onları seçebilirsiniz.

Advanced / NAT & routing / Rewrite source address (masquerading) / Use outbound address / MASQ : Bu kısım varsayılanda kapalı gelir. Açmanız şart değil. Niye açmamız gerekir derseniz, bazı programlar veya bazı cihazlar kendi network ü dışında gelen paket isteklerine cevap vermez. Aslın kurallarınız çalışır fakat karşı cihaz veya program gelen istek paketini direkt düşürür. Bu gibi durumlarda ip mizi Firewall un iç bacak ip siymiş gibi gösterip istek yaparız. İçerdeki yazlım veya cihazda gelen istek kendi networkünden olduğu için pakete cevap verir fakat loğlarda bol bol firewall iç bacak ipsini görürsünüz.

Log traffic / Log firewall traffic : Bu kutucuğu da seçip Save butonu ile kuralımızı kaydediyoruz.

SSL VPN de sık yapılan hatalar

Network Interface de WAN bacaklarınızın IP sini lütfen kontrol ediniz, genelden modemler bridge moda da olmuyor ve firewall un WAN bacağında 192.168.1.10,192.168.2.5 gibi IP ler oluyor. Bunun sebebi modeminizin size iç ipsini dağıtması. Bu durumda SSL VPN konfigürasyon dosyanızda bu iç bacak Ip leri olur ve SSL VPN programıyla bağlanmak istediğiniz de haliyle internet üzerinden bu private ip lere erişemeyeceğinden VPN niz bağlanmaz. Bu durumda yapmanız gereken 2 aksiyon var

  • SSL VPN konfigürasyon dosyanızı Notepad (Yönetici olarak) yada Notepad++ tarzı bir programla C:\Program Files(x86)\Sophos\Sophos SSL VPN Client\Config dosyasının içindeki dosyayı açıp en alt satırda remote 192.168.1.1 8443 tarzı ip lerin olduğu kısmın üstüne remote Dış Bacak Ip niz 8443 yazıp dosyayı kaydetmek. Sonrasında bağlantınızı gerçekleştirebilirsiniz.
  • Boşta olan bir network bacağınız varsa onu WAN olarak düzenleyip dış bacak IP nizi oraya tanımlamanız. Sonrasında SSL VPN konfigürasyon dosyanızı tekrar user portaldan indirdiğinizde o IP de konfigürasyon dosyanıza eklenecek. Bir üst maddedeki işlemi yapmak yerine bunu da seçebilirsiniz.
  • VPN Profili değiştirildikten sonra kullanıcılarda yeni konfigürasyonunu indirmemek.
  • Bağlantım tamam ama ben içerdeki sunucuya mesela 192.168.1.2 ip li sunucuya erişemiyorum. Lütfen bu tip senaryolarda öncelik olarak kendi network ip nize bakınız. Sizde 192.168.1.0/24 network ünde bulunuyorsanız maalesef paket istekleriniz karşı cihaza geçmez , çünkü modeminiz veya router ınız bu zaten benim kendi network üm diyerekten gidip istek paketine cevap vermez yada iç ağınızdaki aynı ip li bir cihazınız varsa ona erişirsiniz. Bu sebeple local network ip nizi LÜTFEN 192.168.1.0/192.168.2.0 gibi çok kullanılan network ler değil mümkünse 172.16.17.0/24 gibi veya 10.0.1.0/24 gibi daha az bilinilen networklerle değiştiriniz. İnanın ileriye yönelik daha çok rahat edeceksiniz.

Hatalara Çözümler (Bu kısımla zamanla güncellenecektir)

  • SSL VPN de çoğunlukla sertifika hataları alınmaktadır. Mevcut hatayı görüntülemek için SSL VPN yazılımın da bağlan butonuna tıklayıp bilgileriniz girdikten sonra Günlük kısmından da hatanın detayına bakabilirsiniz. Sertifikayla alakalı bir hata görüyorsanız Certificates/Appliance Certificate i sağ taraftaki çark simgesine tıklayarak regenarete işlemini yapıp ssl vpn konfigürasyonunu yeniden indirerek deneyebilirsiniz. Bu işlemden sonra tüm kullanıcıların konfigürasyon dosyalarının güncellenmesi gerekmektedir. O yüzden bu işlemi yaparken sonrasında diğer kullanıcıları unutmayın.
  • Kullanıcı şifresinde lütfen . karakteri kullanmayın. Maalesef Sophos un bu konuda bir hassasiyeti mevcut.
  • Maalesef düşük ihtimalde olsa VPN servisinde sorun olmuş olabilir. Console bağlantısı ile cihaza bağlanıp 6. VPN Management / 2. Restart VPN Service işlemiyle servisi restart ederek deneyebilirsiniz. Ama bu esnada mevcut bağlantıları da koparmış olacaksınız. Dikkatli olun.
  • VPN Konfigürasyonum inmiyor , veya 0 kb iniyor hatasının sebebi Certificates / Certificate Authorities kısmında Default sertifika boş olduğundan olabilir. Eğer Default Certificate boşsa elle doldurup (İngilizce karakter) deneyiniz. Yada Backup & Firmware / Pattern Updates menüsünden Update Pattern Now diyerek manuel tetiklemeniz gerekebilir.
  • Firmware Upgrade sonrası giriş yapamıyorum. Maalesef bu senaryoyla bir kaç defa karşılaştım, yeni bir test kullanıcısı açıp onunla vpn ağına bağlanmaya çalışın. Bu yeni kullanıcı giriş yaparsa. Eski local vpn kullanıcılarınızı silip yeniden oluşturunuz.
  • Her şey tamam VPN kullanıcım oturumu açıyor fakat trafik geçmiyor. Bu senaryoda VPNtoLAN kuralında Source network ve Destination Network ü any bırakan kişilerde maalesef özellikle V17.5.10 da karşılaştım. Lütfen Source network ve Destination Network kısmında gerekli network veya Ip leri lütfen giriniz. Bugün bu şekilde ilerleyen bir kullanıcı bana sorununun çözüldüğünü bildirdi. Sizde deneyebilirsiniz.
  • Kullanıcı da Mac Binding i açtım ama bağlanmıyor. SSL VPN yapan makineden gönderilen istek paketi router üzerinden geçtikten sonra MAC adresi kısmı değişeceğinden mac binding işlemi local network dışında maalesef kullanılamıyor.

Öneriler

  • Mac için SSL VPN kullanmak için Tunnelblick programını kullanabilirsiniz.
  • Sophos Connect Client ı deneyebilirsiniz. Mac için kendi yazılımı mevcut fakat konfigürasyonu özelleştirmeden import işlemini yaparsanız internet trafiğiniz de merkeze gelecektir. İlgili makale eklenince detaylarına oradan da bakabilirsiniz.