Sophos Firewall IPsec Site-to-Site VPN Kurulumu

Merkez ve Şube Arası Güvenli Ağ Birleştirme Yapılandırması

Sophos Firewall IPsec Site-to-Site VPN kurulumu, coğrafi olarak birbirinden uzak olan ofislerin yerel ağlarını (LAN) güvenli bir tünel üzerinden tek bir ağmış gibi konuşturmayı sağlar. Bu yapı sayesinde merkezdeki bir sunucuya, şubedeki kullanıcılar herhangi bir ek yazılım kullanmadan doğrudan erişebilirler. IPsec tünelleri, veri gizliliğini en üst düzey şifreleme algoritmalarıyla korur.

Önemli Ön Koşul: Site-to-Site bağlantılarda her iki lokasyonda da sabit (statik) dış IP adresi olması bağlantı kararlılığı için kritiktir. Ayrıca her iki tarafın yerel ağ IP blokları (Örn: 192.168.1.0/24 ve 192.168.2.0/24) mutlaka birbirinden farklı olmalıdır.

1. Adım: Her İki Tarafta IPsec Profili Belirleme

Bağlantının kurulabilmesi için Merkez ve Şube firewall cihazlarındaki şifreleme ayarlarının birebir aynı olması gerekir.

  • Site-to-Site VPN > IPsec: “Add” diyerek yeni bir bağlantı oluşturun.
  • Encryption: AES256, Authentication: SHA2 256 ve DH Group: 14 (veya üzeri) seçerek modern güvenlik standartlarını uygulayın.
  • “Pre-shared Key” (PSK) olarak her iki tarafa da gireceğiniz çok güçlü bir şifre belirleyin.

2. Adım: Gateway (Ağ Geçidi) Yapılandırması

Bu aşamada firewall cihazlarına “kiminle” konuşacaklarını öğretiyoruz.

  • Gateway Type: Bir tarafı “Initiate” (Başlatan), diğer tarafı “Respond Only” (Sadece Cevap Veren) olarak ayarlayabilirsiniz.
  • Remote Gateway: Karşı ofisin dış (WAN) IP adresini yazın.
  • Local ID / Remote ID: Genellikle IP adresleri kullanılır.

3. Adım: Local ve Remote Network Tanımları

Tünelin içinden hangi trafiğin geçeceğini belirleyelim.

  • Local Networks: Kendi ofisinizdeki LAN ağını seçin.
  • Remote Networks: Karşı ofisin LAN ağ bloğunu bir “Network Object” olarak oluşturup ekleyin.

4. Adım: Çift Yönlü Firewall Kuralları

Tünel kurulsa bile, verilerin geçişine izin vermeniz gerekir. Hem Merkezde hem Şubede şu kuralları yazın:

  • Kural 1: LAN bölgesinden VPN bölgesine tüm servislere izin ver.
  • Kural 2: VPN bölgesinden LAN bölgesine tüm servislere izin ver.

Verim ve Süreklilik İçin İpuçları

Sophos Firewall IPsec Site-to-Site VPN kurulumu tamamlandıktan sonra, bağlantının kopması durumunda tünelin otomatik olarak tekrar ayağa kalkması için “Dead Peer Detection” (DPD) özelliğini aktif etmeniz önerilir. Ayrıca, tünel durumunu **Current Activities > IPsec Connections** altından anlık olarak izleyebilirsiniz.

Merkez ve şube ofisleriniz arasında kesintisiz ve yüksek performanslı bir ağ altyapısı kurmak için uzman ekibimizden destek alabilirsiniz. Kurumsal Bt Teknolojileri Desteği olarak Sophos projelerinizde profesyonel kurulum ve danışmanlık hizmeti sunuyoruz.

* IPsec Site-to-Site bağlantılarında tünel üzerinden geçen trafiğin güvenliği için IPS (Intrusion Prevention) modüllerini aktif etmeniz önerilir.