Sophos XG Firewall - Rekomendasi Konfigurasi IPsec VPN Site-to-Site dengan IKEv2

Setelah mengkonfigurasi IPsec VPN Site-to-Site Menggunakan Preshared Key dengan IPsec Policy: DefaultHeadOffice dan DefaultBranchOffice. Hari ini saya mendapatkan artikel mengenai Recommended configuration for IPsec profile, dimana pengaturan yang disarankan untuk parameter IPsec profile dengan koneksi yang stabil dan lebih baik dari sisi keamanan adalah IKEv2. Dibawah ini, perbedaan antara DefaultHeadOffice, DefaultBranchOffice dan IKEv2 di Sophos XG Firewall.


Settings DefaultHeadOffice DefaultBranchOffice IKEv2
Keying method Automatic Automatic Automatic
Key exchange IKEv1 IKEv1 IKEv2
Authentication mode Main mode Main mode Main mode
Key negotiation tries 3 0 0
Compress No No No
FPS Enable Enable Enable
Phase1 AES256 - SHA2 256, AES256 - SHA1,   AES128 - SHA1 AES256 - SHA2 256, AES256 - SHA1,   AES128 - SHA1 AES256 - SHA2 512, AES256 - SHA2 384, AES256 - SHA2 256
Phase2 AES256 - SHA2 512, AES256 - SHA2 256, AES128 - SHA1 AES256 - SHA2 512, AES256 - SHA2 256, AES128 - SHA1 AES256 - SHA2 512, AES256 - SHA2 384, AES256 - SHA2 256
Dead Peer Detection Checked Checked Checked
When peer uncreachable Disconnect Re-initiate Re-initiate


Dan catatan ini akan mejelaskan langkah-langkah untuk mengaktifkan konfigurasi IPsec VPN menggunakan preshared key dengan IKEv2. Oke lah kalau begitu, tanpa basa-basi lagi, langsung saja mari kita mulai konfigurasi.

Berikut topologi dan skenarionya:


Network Diagram Rekomendasi Konfigurasi IPsec VPN Site-to-Site dengan IKEv2 - ITSTAFF.web.id


Location JAKARTA PALEMBANG
Site Head Office Branch Office
Device Sophos XG 210 Sophos XG 210
Device IP 192.168.101.254 192.168.201.254
LAN Subnet 192.168.101.0/24 192.168.201.0/24
LAN Port Port6 Port6
WAN Bandwidth Dedicated 30 Mbps Dedicated 10 Mbps
WAN IP 103.138.40.11 203.238.50.21
WAN Port Port1 Port1
IPsec Connection Type Site-to-Site Site-to-Site
IPsec Gateway Type Respond only Initiate the connection
IPsec Policy IKEv2 IKEv2
IPsec Authentication Type Preshared key Preshared key

1. Konfigurasi XG210-JAKARTA

  • Sebelumnya saya sudah mengkonfigurasi IPsec VPN Site-to-Site menggunakan preshared key, jadi saya tinggal edit konfigurasi yang sudah ada. Jika belum silahkan buat dibuat dengan mengikuti panduan Cara Konfigurasi IPsec VPN Site-to-Site Menggunakan Preshared Key.
    • Login ke Sophos XG 210 Firewall, klik CONFIGURE VPN ⇒ IPsec connections ⇒ klik Nama VPN yang sudah dibuat 'VPN_PALEMBANG' atau icon pensil 'Edit
    • Ganti Encryption Policy dari DefaultHeadOffice menjadi IKEv2  Save

      Rekomendasi Konfigurasi IPsec VPN Site-to-Site dengan IKEv2 - ITSTAFF.web.id







2. Konfigurasi XG210-PALEMBANG

  • Sama seperti konfigurasi XG210-JAKARTA, edit konfigurasi VPN IPsec yang sudah ada.
    • Login ke Sophos XG 210 Firewall, klik CONFIGURE VPN ⇒ IPsec connections ⇒ klik Nama VPN yang sudah dibuat 'VPN_JAKARTA' atau icon pensil 'Edit
    • Ganti Encryption Policy dari DefaultBranchOffice menjadi IKEv2  Save

Jika sudah mengkonfigurasi kedua sisi Firewall, langkah selanjutnya adalah cek Status koneksi IPsec VPN, masih di CONFIGURE VPN ⇒ IPsec connections.

Status IPsec Connection - ITSTAFF.web.id


Harusnya kedua sisi Firewall sudah jalan, dengan Status Active dan Connection berwarna hijau.
Sekarang coba test ping dari perangkat di belakang Firewall, misal dari PC Desktop lokal di Jakarta maupun Palembang untuk memastikan koneksi IPsec VPN Site-to-Site ini berjalan normal. Jika masih Request time out, silahkan cek Rules and policies di menu PROTECT Firewall (LAN to VPN dan VPN to LAN).

Itu saja yang perlu dilakukan untuk membuat koneksi IPsec VPN menggunakan preshared key dengan IKEv2 pada perangkat Sophos XG210, konfigurasi di atas bisa juga diterapkan pada Sophos XG Firewall Series. Semoga catatan ini bisa berguna untuk saya dan yang membacanya.



whydnet-aboutITSTAFF.web.id
learning by doing!

[ADS] Bottom Ads

© 2020 - . All Rights Reserved.