USG Serisi Firewall Cihazlarda IPSEC VPN Kurulumu
Transkript
USG Serisi Firewall Cihazlarda IPSEC VPN Kurulumu
IPSEC VPN KURULUMU Site to site IPSEC VPN kurulumunda karşı tarafın ayarlarını karşılayacak şekilde Zywall’da yapılması gereken ayarlar aşağıda anlatılacaktır. Buradaki ayarlar daha önce de belirtildiği gibi Zywall’un Wan bacağında Wan1_ppp’de interneti sonlandırdığımız modemin bridge mode’da olduğu kabul edilerek yapılmıştır. Route mode’da olan ve VPN passthrough özelliği olan bir modemin arkasındaki Zywall’da modem içerisinden geçen tünelin sonlandırılması ile ilgili farklı bir senaryo talep ediliyorsa, bu ayarlar ile ilgili bizlerle irtibata geçiniz. Ipsec VPN kurulumu için VPN-IPsec VPN menüsü altındaki tablardan ilk olarak VPN Gateway tabını kullanarak faz1 ayarlarını yapacağız. Burada Add butonuna tıklayarak ayrıntılı ayarlar menüsünü açıyoruz. VPN Gateway menüsü içerisinde Gateway’e bir isim verip iki tarafın da internete bakan WAN IP’lerini tanımlamış oluyoruz. My Adres kısmına WAN IP’mizi alan WAN1_ppp’yi seçiyoruz. Peer Gateway Ip kısmına karşı tarafın Wan IP’si yazılıyor. Authentication kısmı için her iki tarafta da aynı olacak şekilde bir Pre-shared Key girişi ve içerik doğrulama için de Local ve Peer ID type’ları IP olarak, contentler 0.0.0.0 olarak giriliyor. Güvenlik doğrulaması adına faz1 ayarları karşı tarafta da aynı olacak şekilde girilir. Biz burada şifre grubu DH1, Encryption olarak DES ve authentication olarak MD5’i tercih ettik. Ayarları ok ile kaydedip gateway oluşturma işlemini tamamlıyoruz. Sonrasında faz 2 ayarlarını yapıp tüneli tamamlamak için VPN connection tabında add butonuna tıklıyoruz. Burada Bağlantı ismine bir giriş yapıp VPN gateway’i tanımladığımız gateway olarak seçiyoruz. Policy menüsünde de bu tüneli sonlandırdığımız iki cihazın arkasındaki subnetleri tanıtıyoruz. Local Policy kısmına LAN1 Subnet, Remote policy kısmına da karşı tarafın subnetini giriyoruz. Karşı tarafın subnetini de create object menüsü yardımıyla oluşturup girebildiğimize dikkat ediniz. Faz 2 encrypion ve authentication değerlerini de karşı tarafla aynı olacak şekilde seçiyoruz. Biz burada faz 2 için de DES ve MD5 algoritmalarını kullandık. Ayarları kaydetmek üzere OK’e basınız ve tünnelin karşı tarafı için de benzer ayarları yaparak tünelin ayakta olduğunu görünüz. Karşı taraftan Zywall’un bacağına kadar tünel üzerinden ping atılabiliyor fakat arkasındaki networke ulaşılamıyor ise karşı taraftan gelen paketin dönüşü için Zywall’a policy route girilmesi gerekebilir. Bunun için NETWORK_Routing menüsü altında policy route’a add butonu kullanılarak kural eklemesi yapılır. Kuralı basit şekilde ifade edecek olursak, herhangi bir interface’e(interface any) herhangi bir saatte(Schedule any) herhangi bir trafik(service any) herhangi bir kullanıcıdan(user any) herhangi bir kaynak Ip’sinden(source any) gelip destination’ı karşı tarafın local subneti olan bir talep olursa (destination VPN faz 2 tanımı yaparken Remote subnet olarak tanımladığımız object) next hop olarak Type TUNNEL ve Tunnel de oluşturduğumuz Tünel seçilerek kural tamamlanır. Böylece Zywall’a hedefi karşı tarafın subneti olan bir trafik için Trunk’ı veya wan1_ppp’yi kullanmasını değil, tüneli kullanması gerektiğini tanımlamış oluruz. VPN bağlantı ile ilgili yaşadığınız problemler hakkında aşağıdaki linkten gerekli kontrolleri yapabilirsiniz.