Sophos XG Firewall - Rekomendasi Konfigurasi IPsec VPN Site-to-Site dengan IKEv2

Setelah mengkonfigurasi IPsec VPN Site-to-Site Menggunakan Preshared Key dengan IPsec Policy: DefaultHeadOffice dan DefaultBranchOffice. Hari ini saya mendapatkan artikel mengenai Recommended configuration for IPsec profile, dimana pengaturan yang disarankan untuk parameter IPsec profile dengan koneksi yang stabil dan lebih baik dari sisi keamanan adalah IKEv2. Dibawah ini, perbedaan antara DefaultHeadOffice, DefaultBranchOffice dan IKEv2 di Sophos XG Firewall.

Settings	DefaultHeadOffice	DefaultBranchOffice	IKEv2
Keying method	Automatic	Automatic	Automatic
Key exchange	IKEv1	IKEv1	IKEv2
Authentication mode	Main mode	Main mode	Main mode
Key negotiation tries	3	0	0
Compress	No	No	No
FPS	Enable	Enable	Enable
Phase1	AES256 - SHA2 256, AES256 - SHA1,   AES128 - SHA1	AES256 - SHA2 256, AES256 - SHA1,   AES128 - SHA1	AES256 - SHA2 512, AES256 - SHA2 384, AES256 - SHA2 256
Phase2	AES256 - SHA2 512, AES256 - SHA2 256, AES128 - SHA1	AES256 - SHA2 512, AES256 - SHA2 256, AES128 - SHA1	AES256 - SHA2 512, AES256 - SHA2 384, AES256 - SHA2 256
Dead Peer Detection	Checked	Checked	Checked
When peer uncreachable	Disconnect	Re-initiate	Re-initiate

Dan catatan ini akan mejelaskan langkah-langkah untuk mengaktifkan konfigurasi IPsec VPN menggunakan preshared key dengan IKEv2. Oke lah kalau begitu, tanpa basa-basi lagi, langsung saja mari kita mulai konfigurasi.

Berikut topologi dan skenarionya:

Location	JAKARTA	PALEMBANG
Site	Head Office	Branch Office
Device	Sophos XG 210	Sophos XG 210
Device IP	192.168.101.254	192.168.201.254
LAN Subnet	192.168.101.0/24	192.168.201.0/24
LAN Port	Port6	Port6
WAN Bandwidth	Dedicated 30 Mbps	Dedicated 10 Mbps
WAN IP	103.138.40.11	203.238.50.21
WAN Port	Port1	Port1
IPsec Connection Type	Site-to-Site	Site-to-Site
IPsec Gateway Type	Respond only	Initiate the connection
IPsec Policy	IKEv2	IKEv2
IPsec Authentication Type	Preshared key	Preshared key

1. Konfigurasi XG210-JAKARTA

• Sebelumnya saya sudah mengkonfigurasi IPsec VPN Site-to-Site menggunakan preshared key, jadi saya tinggal edit konfigurasi yang sudah ada. Jika belum silahkan buat dibuat dengan mengikuti panduan Cara Konfigurasi IPsec VPN Site-to-Site Menggunakan Preshared Key.
• Login ke Sophos XG 210 Firewall, klik CONFIGURE VPN ⇒ IPsec connections ⇒ klik Nama VPN yang sudah dibuat 'VPN_PALEMBANG' atau icon pensil 'Edit' 
• Ganti Encryption Policy dari DefaultHeadOffice menjadi IKEv2 ⇒ Save
  
  
  
  
  
• 
  
  
  
  
  
  

2. Konfigurasi XG210-PALEMBANG

• Sama seperti konfigurasi XG210-JAKARTA, edit konfigurasi VPN IPsec yang sudah ada.
• Login ke Sophos XG 210 Firewall, klik CONFIGURE VPN ⇒ IPsec connections ⇒ klik Nama VPN yang sudah dibuat 'VPN_JAKARTA' atau icon pensil 'Edit' 
• Ganti Encryption Policy dari DefaultBranchOffice menjadi IKEv2 ⇒ Save
  
  

Jika sudah mengkonfigurasi kedua sisi Firewall, langkah selanjutnya adalah cek Status koneksi IPsec VPN, masih di CONFIGURE VPN ⇒ IPsec connections.

Harusnya kedua sisi Firewall sudah jalan, dengan Status Active dan Connection berwarna hijau.
Sekarang coba test ping dari perangkat di belakang Firewall, misal dari PC Desktop lokal di Jakarta maupun Palembang untuk memastikan koneksi IPsec VPN Site-to-Site ini berjalan normal. Jika masih Request time out, silahkan cek Rules and policies di menu PROTECT Firewall (LAN to VPN dan VPN to LAN).

Itu saja yang perlu dilakukan untuk membuat koneksi IPsec VPN menggunakan preshared key dengan IKEv2 pada perangkat Sophos XG210, konfigurasi di atas bisa juga diterapkan pada Sophos XG Firewall Series. Semoga catatan ini bisa berguna untuk saya dan yang membacanya.

Reference: Sophos XG Firewall: How to enable IKEv2 for IPsec VPN

ITSTAFF.web.id
learning by doing!