[TUTORIAL] Sophos XG Firewall - Rekomendasi Konfigurasi IPsec VPN Site-to-Site IKEv2
Setelah mengkonfigurasi IPsec VPN Site-to-Site menggunakan Preshared Key dengan IPsec Policy (DefaultHeadOffice & DefaultBranchOffice). Hari ini saya mendapatkan artikel mengenai Recommended configuration for IPsec profile, dimana pengaturan yang disarankan untuk parameter IPsec profile dengan koneksi yang stabil dan lebih baik dari sisi keamanan adalah IKEv2. Dibawah ini, perbedaan IPsec profile DefaultHeadOffice, DefaultBranchOffice dan IKEv2 di Sophos XG Firewall.
| Profile Settings | DefaultHeadOffice | DefaultBranchOffice | IKEv2 |
|---|---|---|---|
| Keying method | Automatic | Automatic | Automatic |
| Key exchange | IKEv1 | IKEv1 | IKEv2 |
| Authentication mode | Main mode | Main mode | Main mode |
| Key negotiation tries | 3 | 0 | 0 |
| Compress | No | No | No |
| FPS | Enable | Enable | Enable |
| Phase1 | AES256 - SHA2 256, AES256 - SHA1, AES128 - SHA1 | AES256 - SHA2 256, AES256 - SHA1, AES128 - SHA1 | AES256 - SHA2 512, AES256 - SHA2 384, AES256 - SHA2 256 |
| Phase2 | AES256 - SHA2 512, AES256 - SHA2 256, AES128 - SHA1 | AES256 - SHA2 512, AES256 - SHA2 256, AES128 - SHA1 | AES256 - SHA2 512, AES256 - SHA2 384, AES256 - SHA2 256 |
| Dead Peer Detection | Checked | Checked | Checked |
| When peer uncreachable | Disconnect | Re-initiate | Re-initiate |
Dan catatan ini akan mejelaskan langkah-langkah untuk mengaktifkan konfigurasi IPsec VPN menggunakan preshared key dengan IKEv2. Oke lah kalau begitu, tanpa basa-basi lagi, langsung saja mari kita mulai konfigurasi...
Berikut Topologi & Skenarionya
| Location | JAKARTA | PALEMBANG |
|---|---|---|
| Site | Head Office | Branch Office |
| Device | Sophos XG 210 | Sophos XG 210 |
| Device IP | 192.168.101.254 | 192.168.201.254 |
| LAN Subnet | 192.168.101.0/24 | 192.168.201.0/24 |
| LAN Port | Port6 | Port6 |
| WAN Bandwidth | Dedicated 30 Mbps | Dedicated 20 Mbps |
| WAN IP | 103.138.40.11 | 203.238.50.21 |
| WAN Port | Port1 | Port1 |
| IPsec Connection Type | Site-to-Site | Site-to-Site |
| IPsec Gateway Type | Respond only | Initiate the connection |
| IPsec Policy | IKEv2 | IKEv2 |
| IPsec Authentication Type | Preshared key | Preshared key |
1. XG210-JAKARTA - HEAD OFFICE
- Sebelumnya saya sudah mengkonfigurasi IPsec VPN Site-to-Site menggunakan preshared key, jadi saya tinggal edit konfigurasi yang sudah ada. Jika belum silahkan buat dibuat dengan mengikuti panduan ini, cara konfigurasi IPsec VPN Site-to-Site menggunakan Preshared Key.
- Login ke Sophos XG 210 Firewall, klik CONFIGURE VPN ⇒ IPsec connections ⇒ klik Nama VPN yang sudah dibuat 'VPN_PLG' atau icon pensil 'Edit'.
- Ganti Encryption Policy dari
DefaultHeadOfficemenjadi IKEv2 ⇒ Save
2. XG210-PALEMBANG - BRANCH OFFICE
- Sama seperti konfigurasi XG210-JAKARTA, edit konfigurasi VPN IPsec yang sudah ada.
- Login ke Sophos XG 210 Firewall, klik CONFIGURE VPN ⇒ IPsec connections ⇒ klik Nama VPN yang sudah dibuat 'VPN_JKT' atau icon pensil 'Edit'.
- Ganti Encryption Policy dari
DefaultBranchOfficemenjadi IKEv2 ⇒ Save
Jika sudah mengkonfigurasi kedua sisi Sophos Firewall, langkah selanjutnya adalah cek Status koneksi IPsec VPN, masih di menu CONFIGURE VPN ⇒ IPsec connections. Harusnya koneksi IPsec VPN Site-to-Site dengan IKEv2 di kedua sisi firewall sudah berhasil dan bekerja, dengan Status 'Active & Connection berwarna hijau, seperti gambar dibawah ini.
Sekarang coba test koneksi atau ping dari perangkat di bawah Firewall, misal dari komputer desktop lokal di masing-masing site Jakarta maupun Palembang untuk memastikan koneksi IPsec VPN Site-to-Site ini berjalan normal. Jika masih Request time out, silahkan cek Rules and Policies Firewall (LAN to VPN & VPN to LAN).
Itu saja yang perlu dilakukan untuk membuat koneksi IPsec VPN Site-to-Site menggunakan preshared key dengan IKEv2 di Sophos XG210, konfigurasi di atas bisa juga diterapkan pada Sophos XG Firewall Series. Semoga catatan ini bisa berguna untuk saya dan kalian yang membacanya.
