Ayrı şehirlerde (hatta aralarında internet bağlantısı var ve gecikme süresi ideal ise ayrı gezegenlerde de olabilir) iki ofisimizin olduğunu düşünelim, bunlardan biri Merkez diğeri ise Şube.
Bu iki ağ arasında bir bağlantı kurup, networklerini sanki birleştirmiş gibi birbirlerinin yazıcısına, sunucularına ve bilgisayarlarına ulaşmasını sağlamak istiyoruz tabi bunun güvenli olması da şart. VPN bu düşündüğümüz sistemi bize sağlayan tam türkçesi sanal özel ağ olan bir bağlantı çeşitidir. IPSEC ise bunun güvenliğini sağlayan bir protokoldür.
Senaryo gereği şu şekilde yapalım,
Merkez Ofis:
Network Aralığı. 10.10.0.0 / 16 (255.255.0.0) yani 10.10.0.1 'den 10.10.254.254 'e kadar tüm ağ merkez ofisimizde bulunuyor, içinde bir VLAN kurgusu da olabilir.
WAN Sabit IP: 1.1.1.1
Şube Ofis:
Network Aralığı 10.11.1.0 / 24 (255.255.255.0) yani 10.11.1.1'den 10.11.1.254'e kadar tüm ağ bu şubede bulunuyor.
WAN Sabit IP: 2.2.2.2
Görüldüğü üzere VPN yapmadan öce iki noktanında WAN arayüzünün sabit IP olması gerektiği ve ağ aralıklarının birbirleriyle çakışmaması gerekiyor.
Merkezimizde Cyberoam 50ING UTM cihazımız var, şubemizde ise Zyxel VMG3312 diye profesyonel olmayan bir adsl modem bulunuyor. (Herhangi bir IPSEC VPN destekleyen modemde olabilir bende bu var o yüzden bunun üstünden göstereceğim.)
Name: Policy Adı.
Allow Re-Keying: Tekrar anahtarlama
Key Negotiation Tries: Karşı taraf ile en fazla yapılacak anahtarlama denemesi.
Authentication Mode: Yetkilendirme Modu.
Phase 1 / Phase 2: Fazlar.
Encryption Algorithm: Kriptolama algoritması.
Authentication Algorithm: Yetkilendirme algoritması.
DH Group: Şifreleme Biti.
Key Life: Anahtar Ömrü
Dead Peer Detection: Ölü uç algılaması (kullanılırsa karşı noktanında desteklemesi gerekli)
Action When Peer Unreachable: Bağlantı koptuğunda yapılması gereken hareket (ben burada tekrar bağlanmayı deneyi seçtim)
IPSEC olduğundan dolayı veriler gönderip alınmadan önce hash'lanmış bir şifre ile (veya sertifika) iki cihaz birbirlerine kendilerini tanıtırlar. Bu aşamadan yetkilendirme başarılı olursa gönderilip alınan tüm veriler şifrelenir. Burada yaptığım şey aslında bununla ilgili. Bu bilgilerle şifreleme ve çözme anahtarları oluşur. Burada daha güçlü seçenekleri seçerek bağlantınızı daha güvenli hale getirebilirsiniz. BT güvenlik politikalarınıza göre ayarları düzenleyin. Bunu içinde bilgi olan bir kutunun şifrelenmiş bir bağlantı ile karşı tarafa iletirken asma kilit ile kitlendiğini ve kutuyu alan ucun anahtarla bunu çözüp gerekli yönlendirmeyi yapması olarak hayal edebilirsiniz.
Policyi oluşturduk şimdi yine Cyberoam üzerinden bağlantı kurulacak şubemizin ayarlarını yapacağız
VPN >> Ipsec >> Add tıklıyoruz.
Bir isim veriyoruz.
Connection Type olarak Site to Site seçiyoruz. (lan-to-lan da denebilir)
Oluşturduğumuz Policyi seçiyoruz.
Cihaz veya VPN servisi başladığında otomatik bağlanmayı seçiyoruz.
Authentication Type: olarak önceden paylaşılmış anahatar seçiyoruz ve pir parola belirliyoruz bu parolayı karşı ucada yazacağız.
Endpoints Details: kısmında LAN bacağında bağlantıyı hangi WAN'dan kabul edeceksek o wanı seçiyoruz. Remote kısmına ise karşı tarafın WAN sabit ipsini yazıyoruz.
Local subnette hangi ağımız bu VPN içinde ise onu seçmemiz gerekiyor. Bunu Objects>>Hosts kısmında network olarak oluşturmuş olmamış gerekiyor.
Local ID kısmında daha güvenli bir bağlantı kurmak adına birbirlerini tanımaları açısından karşılıklı değerler girilir ben IP olarak seçtim ve cyberoamın localdeki IP adresini yazdım. (örn 10.10.0.254)
Remote Lan networkte ise şube için oluşturduğumuz network objesini seçiyoruz.
Remote ID kısmına ise karşı uç modemin lan IP adresini yabilirsiniz. (örn 10.11.1.254)
Kaydettikten sonra active altındaki kırmızı butona basarak yeşile dönmesini yani aktifleşmesini sağlayın.
Artık uzaktaki şubeye geçiyoruz ve o modemin ayarlarını yapıyoruz. Güvenlik >> IPSEC VPN sayfasına gelerek Yeni Bağlantı Ekleye Tıklıyoruz.
Resimleri incelerseniz yapılan işlemleri kolayca anlayabilirsiniz. Cyberoam tarafındaki ayarların karşılığını buraya da yazdım. Sizdeki cihaz farklı olabilir.
Kaydettikten sonra Izle kısmına tıkladığınızda bağlantı simgesinin yeşil olması gerekmektedir. Eğer bir tetikleme gerekiyorsa bağlantıyı başlatın. Cyberoam IPSEC sayfasında connection kısmının yeşil olması gerekmektedir eğer değil ise bir yerlerde hata yapıyorsunuz demektir.Log Viewer sayfasından günlüğe bakabilirsiniz. Tabi Cyberoam'dan Firewall Rule sayfasında VPN zoneden LAN zoneye erişim izni vermeyi unutmayın.
Artık ağınızdan test için diğer ağdaki pcleri pingleyebilir yazıcılarına ulaşabilirsiniz.
SSL VPN'ni başka bir konuda anlatacağım.
Merhabalar, aynı kurguda zyxel tarafındaki tüm trafiğin cyberoamun bulunduğu lokasyona nasıl gönderebiliriz? Amaç Loglama ve kullanıcı ile çıkışı sağlamak.
YanıtlaSilTeşekkür ederim.
Zyxel modem bunu destekliyor mu tam olarak bilmiyorum ancak direk desteği yoksa bile şube için VPN alt ağ maskesini 0.0.0.0 yaparsanız tüm trafik cyberoamın üzerinden geçecektir diye düşünüyorum.
SilBu yazı bizim için tam cevap oldu. Eline sağlık Akın Demircan
YanıtlaSilMerhabalar; harika bir anlatım olmuş. belirttiğiniz işlemleri uygulayarak VPN bağlantısında yeşil ışık yaktık fakat karşılıklı ip adreslerinden birbirilerine ulaşamıyoruz. şube ipleri :192.168.1.0 lı için host ve merkez için 10.0.0.0 lı host var. şubenin modeminde dhcp yi kapatmamız falan mı lazım acaba. herşey normal gözükmesine rağmen şubedeki bilgisayar ve yazıcılara ulaşamıyoruz. hatayı nerde yapıyoruz acaba şimdiden teşekkürler
YanıtlaSilMerhaba,
SilMaalesef blog gelen yorumları nedense bana e-posta olarak bildirmemiş ayrıca blogla pek ilgilenemedim. Umarım sorunu çözmüşsünüzdür. DHCP'yi kapatmanıza gerek yok. Ayarlarınızın tümünü bilemeden yorum yapamıyorum.