NFR BİLİŞİM VE GÜVENLİK SİSTEMLERİ A.Ş. SOPHOS UTM CİHAZLARINDA SSL VPN KURULUM REHBERİ

 

1. Cihazımıza login olduktan sonra Administration / Device Access menüsü altında wan portumuza ait olan satırdaki SSL VPN bölümünün işaretli olduğunu kontrol ediyoruz. 




2. Sophos cihazımızın tarih ve saatinin doğruluğunu kontrol ediyoruz. Cihazın tarih ve saatini sol menüden Administration / Time Bölümünden düzenleyebiliriz. Bu bölümde time zone Europa/Istanbul seçili olması ve cihazınızın tarih ve saatinin doğru olduğunu kontrol edebilirsiniz. 




3. Sophos cihazımızın Default Sertifikasının bilgilerini kontrol ediyoruz. Cihazın sol menüsünden Certificates / Certificates authorities tabı altından default sertifikamızın yanındaki edit butonuna tıklayıp içindeki bilgiler boş ise eksiksiz doldurmamız gerekiyor. Not: http://id.sophos.com adresinden Device Register işlemi yapılmamış cihazların sertifikaları genelde boş gelir. Sertifika bilgileri aşağıdaki gibi olmalıdır. 




4. Sophos cihazımızın user portal erişim portunu kontrol ediyoruz. Default olarak 443 gelir biz port numarasını 444 ile değiştiriyoruz. Portu değiştirmemizin sebebi 443 portunu başka uygulamaların kullanabilmesi portların çakışmaması için user portal erişim portunu değiştiriyoruz. 




5. Sophos cihazımıza SSL VPN erişimi yapacak kullanıcıları oluşturuyoruz. Eğer ortamınızda active directory varsa ise SSL VPN erişimini bu kullanıcılara göre yapılacak ise önce Sophos STAS entegrasyonun yapılması gerekmektedir. Bu doküman da lokal kullanıcılar kullanılmaktadır. Cihazın sol menüsünden Authentication / Users tabına tıklıyoruz Add butonuna tıklayıp açılan pencereden yeni users bilgilerini doldurup save butonuna tıklıyoruz. 




Açılan ekranda username, name password, e-mail bilgilerini grip group kısmından Open Group seçiyoruz ve save butonuna tıklıyoruz. 




6. Şimdi cihazımızın SSL VPN konfigürasyonunu yapılandıracağız. Sophos cihazımızın sol menüsünden VPN / SSL VPN (Remore Access) Tabına tıklıyoruz açılan ekranda Add butonuna tıklayıp işlemlerimize devam ediyoruz. 



Add butonuna tıkladıktan sonra açılan ekran name bölümüne SSL VPN bağlantısı için bir isim belirliyoruz. Identity bölümü altından policy members bölümünde Add New Item Butonuna tıklayıp az önce oluşturduğumuz userı seçiyoruz. Apply Select Item Butonuna tıklayarak SSL VPN bağlantısı yapacak olan kullanıcılarımızı belirliyoruz. Tunnel Access bölümüne geliyoruz. Burada Use as Default Gateway seçeneğini on duruma getirir isek vpn bağlantısı yapacak olan kullanıcı bağlantıyı gerçekleştirdikten sonra tüm network trafiği Sophos tarafına gelecektir. Kullanıcı internete Sophos cihazı üzerinden erişim yapacak ise bu seçenek on duruma getirilmelidir. Permitted network resources (IPv4) bölümüne geliyoruz. Burada Sophos cihazının lokal networkü belirliyoruz bunu Add New Item Butonuna Tıklayıp Create New diyoruz. Açılan menüden networke tıklayıp yine açılan pencereden name kısmına LOCAL_NETWORK yazıyoruz type network seçiyoruz. IP adress bölümüne lokal kullanmış olduğunuz network ip blok bilgisini yazıyoruz örneğin : 192.168.1.0 Subnet seçiminden /24 (255.255.255.0) seçip save butonuna tıklıyoruz. Apply butonuna tıklayıp SSL VPN bağlantı bilgilerimizi kaydediyoruz. 










7. Bu İşlemlerimizi tamamladıktan sonra Firewall Menüsü altında ilgili firewall rule tanımlarımızı yapmamız gerekiyor. VPN-LAN ve LAN-VPN kurallarımızı yazıyoruz. Firewall Menüsüne Tıklayıp Add Firewall Rule butonuna tıklıyoruz. User/Network Rule Seçiyoruz. 






Buraya kadar Sophos cihazımızın SSL VPN kurulum işlemleri tamamlandı. Bundan sonraki işlemler client tarafına yapılacaktır. 


8. SSL VPN Client kurulacak bilgisayarda browserdan https://wanipadresimiz:444 yazıp gelen ekrana Sophos cihazı üzerinde SSL VPN kullanıcı oluşturduğumuz kullanıcı adı ve şifresini girip login butonuna tıklıyoruz. 




9. User Portal sayfasına login olduktan sonra ilk sırada bulunan “Download client and configuration for Windows” linkine tıklıyoruz ve SSL VPN Client kurulum dosyasını indiriyoruz dosyayı çalıştırdıktan sonra kurulum adımlarını ilerleyip kurulum işlemlerimizi tamamlıyoruz. Masaüstümüzün sağ alt köşesinde kurulan Sophos SSL VPN Cliente tıklayıp kullanıcı adı ve şifremizi girip bağlan butonuna tıklıyoruz. 






Bağlantımızı başarılı bir şekilde gerçekleştirdik. 


Not : Wan Bağlantıları DMZ olarak ayarlanmış olan cihazlarda SSL VPN Config dosyasına Sophos cihazınıza bağlı olan internet wan ipnizin yazılması gerekmektedir. Bunu yapmak için C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config klasörü altındaki .cfg uzantılı config dosyasını notepad ile açıp en alt satırda bulunan remote ip silip yerine internet wan ip yazıp kaydetmemiz gerekmektedir. Bu işlem Metro Ethernet ve Bridge Mode Modem Bağlantılarında yapılmasına gerek yoktur.