Catatan ini adalah lanjutan dari konfigurasi IPsec VPN Site-to-Site preshared key di perangkat Sophos XG Firewall. Bagaimana cara membuat konfigurasi Sophos Firewall IPsec VPN Site-to-Site Failover Group agar tercipta redundancy, ketika salah satu koneksi IPsec VPN yang putus, maka akan langsung di backup oleh koneksi lainnya. Site Jakarta sebagai Head Office menggunakan dua koneksi internet sedangkan site Palembang sebagai Branch Office hanya menggunakan satu koneksi internet saja.
Berikut Topologi & Skenarionya
| Location | JAKARTA | PALEMBANG |
|---|---|---|
| Site | Head Office | Branch Office |
| Device Name | Sophos XG 210 | Sophos XG 210 |
| Device Firmware | SFOS 18.5.4 MR4-Build418 | SFOS 17.5.15 MR-15 |
| Device IP | 192.168.101.254 | 192.168.201.254 |
| LAN Subnet | 192.168.101.0/24 | 192.168.201.0/24 |
| LAN Port | Port6 | Port6 |
| WAN 1 Bandwidth | Dedicated 30 Mbps | Dedicated 20 Mbps |
| WAN 1 IP | 103.138.40.11 | 203.238.50.21 |
| WAN 1 Port | Port1 | Port1 |
| WAN 2 Bandwidth | Dedicated 20 Mbps | - |
| WAN 2 IP | 114.150.90.91 | - |
| WAN 2 Port | Port2 | - |
| IPsec Connection Type | Site-to-Site | Site-to-Site |
| IPsec Gateway Type | Respond only | Initiate the connection |
| IPsec Policy | DefaultHeadOffice | DefaultBranchOffice |
| IPsec Authentication Type | Preshared key | Preshared key |
Oke lah kalau begitu, tanpa basa-basi lagi, langsung saja mari kita mulai konfigurasi...
1. Membuat Koneksi IPsec VPN Site-to-Site
1.1. Pertama kalian harus membuat dua koneksi IPsec VPN antar site dengan mengikuti panduan ini, cara konfigurasi IPsec VPN Site-to-Site Preshared Key Sophos XG Firewall dengan detail IPsec connections name sebagai berikut;
- XG210-JAKARTA
- VPN_PLG1
Description WAN1 - VPN_PLG2
Description WAN2 - XG210-PALEMBANG
- VPN_JKT1
Description to JAKARTA-WAN1 - VPN_JKT2
Description to JAKARTA-WAN2
2. Konfigurasi Failover Group di XG210-PALEMBANG
2.1. Login ke Sophos XG 210 Firewall, klik CONFIGURE VPN ⇒ IPsec connections ⇒ Failover group Add
- Name *: JKT
- Select connection(s) ⇒ Available connections: checked
- VPN_JKT1
- VPN_JKT2
- Mail notification: Checked
- Automatic failback: Checked
- Failover condition
- If...
Not able to Connect*: PING - And
Not able to Connect: Select (default) - Save
Pastikan service Ping sudah aktif di XG210-JAKARTA, lihat di menu SYSTEM Administration ⇒ Device access, Network services: Ping/Ping6 checked.
2.2. Setelah membuat konfigurasi Failover group di XG210-PALEMBANG, sekarang cek statusnya di CONFIGURE VPN ⇒ IPsec connections
Untuk mengaktifkan failover, pertama matikan kedua konfigurasi IPsec connections VPN_JKT1 dan VPN_JKT2 ⇒ klik icon Status Connection berwarna hijau, tunggu sampai icon berubah menjadi warna merah. Langkah selanjutnya adalah mengaktifkan Failover group, klik icon berwarna merah di konfigurasi Status 'JKT', tunggu sampai icon berwarna hijau, seperti gambar dibawah ini.
Jika sudah, sekarang lihat ke atas yaitu konfigurasi IPsec connections, akan terbentuk Group name JKT dengan VPN_JKT1 dan VPN_JKT2 akan berubah menjadi 'Active', dengan VPN_JKT1 berwarna hijau (Primary) dan VPN_JKT2 berwarna merah (Backup).
3. Pengujian Failover IPsec VPN Connections
Untuk pengetesan failover, saya matikan modem internet WAN1 di site Jakarta. Lalu koneksi IPsec VPN akan pindah ke VPN_JKT2 dan ketika modem internet saya nyalakan kembali, tunggu sampai koneksi sudah kembali normal, maka IPsec VPN akan kembali ke VPN_JKT1 karna automatic failback: Checked.
Selanjutnya ketika konfigurasi failover group sudah berhasil dan bekerja, sekarang coba test koneksi atau ping dari perangkat di bawah firewall, misal dari komputer desktop lokal di masing-masing site Jakarta maupun Palembang untuk memastikan tunnel IPsec VPN Site-to-Site ini berjalan normal. Jika masih Request time out, silahkan cek Rules and Polices Firewall (LAN to VPN & VPN to LAN).
Itu saja yang saya lakukan dalam membuat koneksi Failover IPsec VPN Site-to-Site Preshared Key di Sophos XG210 Firewall, konfigurasi di atas bisa juga diterapkan pada Sophos XG Firewall Series. Semoga catatan ini bisa berguna untuk saya dan kalian yang membacanya.