[TUTORIAL] Sophos XG Firewall - Rekomendasi Konfigurasi IPsec VPN Site-to-Site IKEv2
Setelah mengkonfigurasi IPsec VPN Site-to-Site Menggunakan Preshared Key dengan IPsec Policy (DefaultHeadOffice dan DefaultBranchOffice). Hari ini saya mendapatkan artikel mengenai Recommended configuration for IPsec profile, dimana pengaturan yang disarankan untuk parameter IPsec profile dengan koneksi yang stabil dan lebih baik dari sisi keamanan adalah IKEv2. Dibawah ini, perbedaan antara DefaultHeadOffice, DefaultBranchOffice dan IKEv2 di Sophos XG Firewall.
| Settings | DefaultHeadOffice | DefaultBranchOffice | IKEv2 |
|---|---|---|---|
| Keying method | Automatic | Automatic | Automatic |
| Key exchange | IKEv1 | IKEv1 | IKEv2 |
| Authentication mode | Main mode | Main mode | Main mode |
| Key negotiation tries | 3 | 0 | 0 |
| Compress | No | No | No |
| FPS | Enable | Enable | Enable |
| Phase1 | AES256 - SHA2 256, AES256 - SHA1, AES128 - SHA1 | AES256 - SHA2 256, AES256 - SHA1, AES128 - SHA1 | AES256 - SHA2 512, AES256 - SHA2 384, AES256 - SHA2 256 |
| Phase2 | AES256 - SHA2 512, AES256 - SHA2 256, AES128 - SHA1 | AES256 - SHA2 512, AES256 - SHA2 256, AES128 - SHA1 | AES256 - SHA2 512, AES256 - SHA2 384, AES256 - SHA2 256 |
| Dead Peer Detection | Checked | Checked | Checked |
| When peer uncreachable | Disconnect | Re-initiate | Re-initiate |
Dan catatan ini akan mejelaskan langkah-langkah untuk mengaktifkan konfigurasi IPsec VPN menggunakan preshared key dengan IKEv2. Oke lah kalau begitu, tanpa basa-basi lagi, langsung saja mari kita mulai konfigurasi...
Berikut Topologi & Skenarionya:
| Location | JAKARTA | PALEMBANG |
|---|---|---|
| Site | Head Office | Branch Office |
| Device | Sophos XG 210 | Sophos XG 210 |
| Device IP | 192.168.101.254 | 192.168.201.254 |
| LAN Subnet | 192.168.101.0/24 | 192.168.201.0/24 |
| LAN Port | Port6 | Port6 |
| WAN Bandwidth | Dedicated 30 Mbps | Dedicated 10 Mbps |
| WAN IP | 103.138.40.11 | 203.238.50.21 |
| WAN Port | Port1 | Port1 |
| IPsec Connection Type | Site-to-Site | Site-to-Site |
| IPsec Gateway Type | Respond only | Initiate the connection |
| IPsec Policy | IKEv2 | IKEv2 |
| IPsec Authentication Type | Preshared key | Preshared key |
1. XG210-JAKARTA - HEAD OFFICE
- Sebelumnya saya sudah mengkonfigurasi IPsec VPN Site-to-Site menggunakan preshared key, jadi saya tinggal edit konfigurasi yang sudah ada. Jika belum silahkan buat dibuat dengan mengikuti panduan Cara Konfigurasi IPsec VPN Site-to-Site Menggunakan Preshared Key
- Login ke Sophos XG 210 Firewall, klik CONFIGURE VPN ⇒ IPsec connections ⇒ klik Nama VPN yang sudah dibuat 'VPN_PALEMBANG' atau icon pensil 'Edit'
- Ganti Encryption Policy dari DefaultHeadOffice menjadi IKEv2 ⇒ Save
2. XG210-PALEMBANG
- Sama seperti konfigurasi XG210-JAKARTA, edit konfigurasi VPN IPsec yang sudah ada.
- Login ke Sophos XG 210 Firewall, klik CONFIGURE VPN ⇒ IPsec connections ⇒ klik Nama VPN yang sudah dibuat 'VPN_JAKARTA' atau icon pensil 'Edit'
- Ganti Encryption Policy dari DefaultBranchOffice menjadi IKEv2 ⇒Save
Jika sudah mengkonfigurasi kedua sisi Firewall, langkah selanjutnya adalah cek Status koneksi IPsec VPN, masih di CONFIGURE VPN ⇒ IPsec connections.
Harusnya kedua sisi Firewall sudah jalan, dengan Status Active dan Connection berwarna hijau.
Sekarang coba test koneksi atau ping dari perangkat di belakang Firewall, misal dari PC Desktop lokal di Jakarta maupun Palembang untuk memastikan koneksi IPsec VPN Site-to-Site ini berjalan normal. Jika masih Request time out, silahkan cek Rules and policies di menu PROTECT Firewall (LAN to VPN dan VPN to LAN).
Itu saja yang perlu dilakukan untuk membuat koneksi IPsec VPN menggunakan preshared key dengan IKEv2 padaperangkat Sophos XG210, konfigurasi di atas bisa juga diterapkan pada Sophos XG Firewall Series. Semoga catatan ini bisa berguna untuk saya dan yang membacanya.
