Internet yani güvensiz olarak bildigimiz bir network üzerinden güvenli iletisimi IPSec VPN ile birlikte, internet baglantimizin zaten varoldugunu da varsayarsak ucuz bir sekilde saglayabiliriz. Bu makalemizde GRE Tunnel üzerinde IPSec konfigürasyonu ile hem güvenligi nasil saglayacagimizi hemde GRE üzerinden Routing Protokol çalistirarark iletisimi nasil kuracagimizi görecegiz.

Aslinda GRE Tunneller üzerinde Security, Authentication veya Data Integrity saglanamaz fakat IPSec ile birlikte kullanimi ile bu açiklari giderilebilir. Site To Site VPN konfigürasyonunu GRE ile yapmamizin avantajli tarafi ise Routing Protocol kullanarak yönlendirme islemlerini yapabiliyor olmamizdir. GRE’nin IP disinda protokollere de uygulanabilecegini ve bizlere noktadan noktaya sanal bir baglanti kurma imkani verdiginide avantajlari arasina ekleyebiliriz.

Cisco’nun egitim metaryellerimden aldigim yukaridaki sekil ve konfigürasyon örnegi aslinda GRE Tunnel olusturmanin ne kadar kolay oldugunu gösteriyor. Tunnel Interface olusturup, bu interface’e bir ip adresi, Tunnel Source ve Destination IP adreslerini verdikten sonra Tunnel Mode’unu belirleyip çalismasini saglayabiliyoruz. Burada Ipv6 ile ilgili gelismelerin hizla devam ettigi su günlerde IPv4 networkleri üzerinde yine tuneller olusturarak IPv6 paketlerin tasinabildigini de hatirlatmak isterim. Yani GRE Tunnel’ler bu tazr uygulamalarda da karsimiza çikiyor olacak. Burada gördügümüz konfigürasyondan farkli olarak Tunnel Ip adresinin IPv6 formatinda olacagini ve Tunnel Mode’umuzun IPv6ip olacagini söylemek simdilik yeterli olacaktir.

Cisco SDM ile GRE over IPSec uygulmasi, konfigürasyonu hem çok basit hem de kisa sürede yapilabilmektedir. Konfigürasyona geçmeden önce konfigürasyonda kullanacagimiz parametreleri, Ip Konfigürasyon bilgilerini ve topolojimize aktarmak istiyorum.

IPSec IKE Phase1 ve 2 olarak nitelendirdigimiz iki asamada olusturulur. IKE Phase 1 Key degisimi için policylerin kararlastirilmasi ve VPN komsularinin kimlik dogrulamasini saglar. Kimlik dogruluma için Pre-Shared Keyler yada Certificate’lar kullanilabilir. Bu makaledeki uygulamamiz sirasinda Pre-Shared Key kullanacagiz.  Ayrica burada key degisimi için Diffie-Hellman Key Exchange grubunu belirleyecegiz.

IKE Phase 2 Transform Setlerin iki nokta arasinda kararlastirildigi asamadir. Transform Seti kisaca data transferi sirasinda kullanilacak algoritma ve protokoller olarak tanimlanabilir. Genel olarak SA (Security Associations) olarak adlandirilan IKE Phase 2 konfigürasyonu sirasinda belirlenen bilgiler arasinda Destination IP Address, Protocol (ESP veya AH), Encryption ve Authentication algoritmalari, Mode (Transport yada Tunnel) ve Key Lifetime gibi tanimlamalarimiz yer alacaktir.

IPSec Bilgileri:

IKE Phase 1

Authentication: Pre-Shared

Hashing: MD5

Encryption: AES (128 Bit)

Group: Diffie Hellman Group 1

IKE Phase 2 (Transform Set)

Integrity: ESP – MD5

Encryption: ESP - AES (128 Bit)

Tunnel Bilgileri:

ALTUNIZADE: Tunnel0: 172.16.1.1

KADIKOY: Tunnel0: 172.16.1.3

Buradan sonra önce adim adim KADIKOY Routeri üzerindeki konfigürasyonlari yapacagiz. KADIKOY Routeri üzerindeki konfigürasyonlari bitirdikten sonra ALTUNIZADE Routerini tamamlayip Tunnel durumumuzu nasil izleyebilecegimize bakacagiz. SDM ile Routera baglandigimizda su sekilde bir ekran ile karsilasacagiz.

 
Bu ekran bize Router hakkinda genel bilgiler veriyor. Buradaki menülerden Configure kismi ile bir çok konfigürasyonu Windows isletim sistemlerinden bildigimiz sihirbazlar ile yapabiliyoruz.

Configure kismina geldigimizde sag tarafta SDM ile yapabilecegimiz konfigürasyonlarin neler oldugunu görüyoruz. Burada örnegin VPN’e tikladigimizda hemen yaninda açilan pencerede SDM VPN menüsü ile yapabileceklerimizi görebiliyoruz.

Bu makalemizde Site To Site VPN konfigürasyonunun GRE Tunnel olusturarak yapmaya çalisacagiz. Yukaridaki sekilde ilgili seçimleri zaten göreiliyoruz. Launch the selected task butonuna bastigimizda ilgili konfigürasyon için sihirbazi baslatmis olacak.

Ilk ekranda yapacagimiz konfigürasyon ile ilgili bilgiler bize veriliyor olacak. Burayi okudugumuzda GRE Tunnel üzerinden Routing Protocollerde çalistirabildigimizi görebiliyoruz.  Next butonuna basarak yolumuza devam ediyoruz. Sonraki ekranda Tunnel ip konfigürasyonu ile ilgili bilgileri SDM araciligiyla Routerimiza aktaracagiz.

Burada bizden istenen 3 farkli bilgi var. Tunnel Source, Tunnel Destination ip adresleri ile Tunnel Interface ip adresi. Burada default olarak seçili gelen Enable path MTU discovery ile  Routerin ICMP mesajlarini kullanarak olusturdugumuz Tunnel Interface’i için optimum MTU’i tespit etmesine olanak veriyoruz. Bir ayrinti olarak sunuda belirtmek gerekir ki Routerin bunu yapabilmesi için diger noktadaki Router’da ICMP Unreachables mesajlarina izin verilmis olmalidir. Ben bunu seçili birakarak devam edecegim ve karsima backup tanimlamalari yapabilecegim bir ekran gelecek.

Bizim örnek çalismamiz içerisinde yedek bir baglanti olmadigi için bu noktada bir konfigürasyon yapmadan geçecegiz.

Devam ettigimizde yukaridaki sekilde gördügünüz Authentication ile ilgili konfigürasyonlari yapacagimiz alana geliyoruz. Burada iki seçenegimiz var. Digital Certificates ve Pre-shared keys. Bu uygulama içerisinde Pre-shared key kullanacagimiz için keyleri belirleyip Next’e basiyoruz. Bundan sonra karsimiza IKE Phase 1 ile ilgili parametreleri belirleyecegimiz ekran gelecek.

Burada Encryption, Hashing, Authentication, Diffie Hellman Group için daha önce belirledigimiz parametreleri Add butonuna basarak açilan menüden seçiyoruz. AES (Advenced Encryption Standart) aslinda 256 bit keyler ilede sifreleme yapabiliyor ama 128 bit zaten yeterince güvenli oldugu için ben bu degeri seçtim. Hashing için bir alternatif de 160 bitlik key kullanan SHA 1’dir. Burada da ben 128 bitlik keyler kullanan MD5’ i yeterli görüyorum. Life Time varsayilan olarak 1 gündür, bunu da degistirmeden devam ediyoruz. Bundan sonra IKE Phase 2’ye yani transform setimizi belirleyecegimiz asamaya geçecegiz.

IKE Phase 2’ ye geldigimizde yine varsayilan degerleri kullanmak yerine bizim daha önceden belirledigimiz parametreleri kullanmak için yeni bir transform set olusrurabilmek için Add butonuna basiyoruz. Burada kullanabilecegimiz iki protokolden (ESP ve AH), ESP ayni zamanda encription da saglayabildigi için bunu seçiyoruz. Integrity yani datanin degistirilmeden alindiginin onaylanmasini saglamak için MD5 ve sifreleme için yine 128 bit AES’i seçiyoruz. AES disinda 56 bitlik keyler kullanan DES ve 3 kati kadar güçlü oldugunu söyleyebilecegimiz 3DES’te mevcuttur.

Show Advenced kisminda IPSec modumuzu da belirleyebiliriz. Tunnel ya da Transport Modlardan birini seçebileceigimiz bu kisimda defaul olan Tunnel Modu çalistiracagimiz için herhangi bir degisiklik yapmiyoruz. Bu arada transform setimize bir isim vermeyide ihmal etmiyoruz. Ben burada hayrullah adini vermeme ragmen birden fazla VPN baglantisinin yapilacagi Routerlar üzerinde açiklayici bir isim vermek daha mantikli olacaktir.

GRE over IPSec konfigürasyonumuz aslinda burada sonlaniyor. Fakat olusturdugumuz Tunnel interfaceler üzerinde Routing yapilmasi gerekiyor. Burada devam ettigimizde Routing ile ilgili konfigürasyonlari yapacagimiz kisim karsimiza çikiyor olacak.

GRE Tunnellerin Routing Protocolleride destekledigini daha önce söylemistik. Istenirse statik routingde tabii ki kullanilabilir. Ben favorim her zaman için OSPF oldugunda OPSF ile konfigürasyona devam edecegim.

OSPF kullanmayi seçip devam ettikten sonra OSPF için gerekli olan Instance ID ve area ID’leri giriyoruz. Daha sonra yukarida da görebilecegimiz gibi Add butonuna bastigimizda açilan pencereye network adreslerimiz ile birlikte Wild Card Mask ve Area bilgilerini giriyoruz. Aslinda yaptiklarimiz bildigimiz OSPF konfigürasyonunun görsel halinden baska bir sey degil. Bu kisimida bitirdikten sonra yolumuza devam ediyoruz.

Devam ettigimizde konfigürasyonumuzun içerigihakkinda bize bilgi veren yukaridaki ekran ile karsilasacagiz. Burada Finish demeden önce istersek Test VPN connectivity after configuring seçenegini isaretleyerek komutlari Routera uyguladiktan sonra test islemlerini de baslatabiliriz. Ancak bizim diger taraftaki konfigürasyonumuz henüz bitmedigi için simdilik burayi bos birakiyoruz. Zaten daha sonra bu test islemini gerçeklestirebildigimiz için burayi bos birakarak devam etmemiz sorun olmayacaktir.

Komutlarimiz routera aktariliyor. Bundan sonra artik diger islemlere deam edebiliriz.

VPN menümüzdeki Edit Site to Site VPN tabina geldigimizde istersek diger noktadaki Router için Generate Mirror butonuna basarak hazir bir konfigürasyon elde edebiliriz. Tabii ki interface farkliliklarindan dolayi bu konfigürasyonu direk uygulamak sorun yaratabilir. Ben bu sebeple diger Routerin konfigürasyonunu da sizler ile paylasmadan ayni adimlari sirasiyla uygulayip test monitoring asamasina geçiyorum.

Burada Test Tunnel butonuna bastigimizda sekildeki ekran çikiyor olacak. Burada Start’a basmamiz SDM’in VPN baglantimizi test etmesini saglayacaktir. Burada ilk önce parametreleri test edecek ve arkasinda ya bizim ya da SDM’in yaratacagi trafik ile Tunnelin up olup olmayacagini kontrol edecektir.

Son olarak monitoring islemi için SDM ana menüsünden Monitor à VPN Status kismina gelerek Tunnelimizin durumunu ve paket istatistiklerimizi alabiliriz.

Evet arkadaslar, bu makalemizde SDM kullanarak Site To Site GRE over IPSec baglantisini nasil olusturacagimizi hem mümkün oldugu kadar basit hem de adim adim inceledik. Umarim bu makale faydali olmustur.

İlgili Diğer Makaleler

Cisco Routerlar Ile Site-To-Site IPSec VPN Konfigürasyonu (Command Line Interface) 

Cisco Routerlar Üzerinde SDM ile Site-To-Site IPSec VPN Konfigürasyonu 

Remote Access VPN - Cisco Easy VPN Server ve VPN Client 

Cisco Routerlarda GRE Tünel Konfigurasyonu (Command Line Interface) 

Ortalama Üye Değerlendirmesi

   (0 Oylama)