[ADS] Top Ads

[TUTORIAL] Sophos XG Firewall - Rekomendasi Konfigurasi IPsec VPN Site-to-Site IKEv2

Setelah mengkonfigurasi IPsec VPN Site-to-Site menggunakan Preshared Key dengan IPsec Policy (DefaultHeadOffice & DefaultBranchOffice). Hari ini saya mendapatkan artikel mengenai Recommended configuration for IPsec profile, dimana pengaturan yang disarankan untuk parameter IPsec profile dengan koneksi yang stabil dan lebih baik dari sisi keamanan adalah IKEv2. Dibawah ini, perbedaan IPsec profile DefaultHeadOffice, DefaultBranchOffice dan IKEv2 di Sophos XG Firewall.

Profile Settings DefaultHeadOffice DefaultBranchOffice IKEv2
Keying method Automatic Automatic Automatic
Key exchange IKEv1 IKEv1 IKEv2
Authentication mode Main mode Main mode Main mode
Key negotiation tries 3 0 0
Compress No No No
FPS Enable Enable Enable
Phase1 AES256 - SHA2 256, AES256 - SHA1,   AES128 - SHA1 AES256 - SHA2 256, AES256 - SHA1,   AES128 - SHA1 AES256 - SHA2 512, AES256 - SHA2 384, AES256 - SHA2 256
Phase2 AES256 - SHA2 512, AES256 - SHA2 256, AES128 - SHA1 AES256 - SHA2 512, AES256 - SHA2 256, AES128 - SHA1 AES256 - SHA2 512, AES256 - SHA2 384, AES256 - SHA2 256
Dead Peer Detection Checked Checked Checked
When peer uncreachable Disconnect Re-initiate Re-initiate

Dan catatan ini akan mejelaskan langkah-langkah untuk mengaktifkan konfigurasi IPsec VPN menggunakan preshared key dengan IKEv2. Oke lah kalau begitu, tanpa basa-basi lagi, langsung saja mari kita mulai konfigurasi...

Berikut Topologi & Skenarionya


Network Diagram Rekomendasi Konfigurasi IPsec VPN Site-to-Site dengan IKEv2 - ITSTAFF.web.id

Location JAKARTA PALEMBANG
Site Head Office Branch Office
Device Sophos XG 210 Sophos XG 210
Device IP 192.168.101.254 192.168.201.254
LAN Subnet 192.168.101.0/24 192.168.201.0/24
LAN Port Port6 Port6
WAN Bandwidth Dedicated 30 Mbps Dedicated 20 Mbps
WAN IP 103.138.40.11 203.238.50.21
WAN Port Port1 Port1
IPsec Connection Type Site-to-Site Site-to-Site
IPsec Gateway Type Respond only Initiate the connection
IPsec Policy IKEv2 IKEv2
IPsec Authentication Type Preshared key Preshared key

1. XG210-JAKARTA - HEAD OFFICE

  • Sebelumnya saya sudah mengkonfigurasi IPsec VPN Site-to-Site menggunakan preshared key, jadi saya tinggal edit konfigurasi yang sudah ada. Jika belum silahkan buat dibuat dengan mengikuti panduan ini, cara konfigurasi IPsec VPN Site-to-Site menggunakan Preshared Key.
  • Login ke Sophos XG 210 Firewall, klik CONFIGURE VPN IPsec connections ⇒ klik Nama VPN yang sudah dibuat 'VPN_PLG' atau icon pensil 'Edit'.
  • Ganti Encryption Policy dari DefaultHeadOffice menjadi IKEv2 Save

Rekomendasi Konfigurasi IPsec VPN Site-to-Site dengan IKEv2 - ITSTAFF.web.id

2. XG210-PALEMBANG - BRANCH OFFICE

  • Sama seperti konfigurasi XG210-JAKARTA, edit konfigurasi VPN IPsec yang sudah ada.
  • Login ke Sophos XG 210 Firewall, klik CONFIGURE VPN IPsec connections ⇒ klik Nama VPN yang sudah dibuat 'VPN_JKT' atau icon pensil 'Edit'.
  • Ganti Encryption Policy dari DefaultBranchOffice menjadi IKEv2 Save

Jika sudah mengkonfigurasi kedua sisi Sophos Firewall, langkah selanjutnya adalah cek Status koneksi IPsec VPN, masih di menu CONFIGURE VPN IPsec connections. Harusnya koneksi IPsec VPN Site-to-Site dengan IKEv2 di kedua sisi firewall sudah berhasil dan bekerja, dengan Status 'Active & Connection berwarna hijau, seperti gambar dibawah ini.


Status IPsec Connection - ITSTAFF.web.id

Sekarang coba test koneksi atau ping dari perangkat di bawah Firewall, misal dari komputer desktop lokal di masing-masing site Jakarta maupun Palembang untuk memastikan koneksi IPsec VPN Site-to-Site ini berjalan normal. Jika masih Request time out, silahkan cek Rules and Policies Firewall (LAN to VPN & VPN to LAN).

Itu saja yang perlu dilakukan untuk membuat koneksi IPsec VPN Site-to-Site menggunakan preshared key dengan IKEv2 di Sophos XG210, konfigurasi di atas bisa juga diterapkan pada Sophos XG Firewall Series. Semoga catatan ini bisa berguna untuk saya dan kalian yang membacanya.


[ADS] Bottom Ads

© 2020 - . All Rights Reserved.