Merhaba arkadaslar. Bu makalemizde Cisco’nun Remote Access VPN çözümlerinde Easy VPN Server kurulumu ve Cisco VPN Client ile VPN baglantisinin yapilis asamalarini incelemeye çalisacagiz. Easy VPN Server Cisco IOS Router, Cisco Pix ve ASA yada VPN Concentrator üzerinde yapilan bir konfigürasyon olup VPN Server uzak noktadaki kullanicilarn VPN baglantilarini sonlandirir ve onlara Mode Configuration dedigimiz konfigürasyon bilgilerini aktarir. Easy VPN Remote ise VPN Server’a baglanacak yine bir Router, Firewall yada VPN Client yazilimi olabilir. Aslinda VPN baglantisini baslatacak olan taraftir.

Easy VPN Server ile ilgili bir ayrinti olarak sunuda belirtmek gerekir ki, IKE Phase 1 sirasinda belirledigimiz ISAKMP Policylerinden, sadece Diffie-Hellman group 2 key exchange’i destekler..

IPSec VPN’in IKE Phase 1 ve 2 dedigimiz iki asamadan olustugunu, IKE Phase 1’in ISAKMP, IKE Phase 2’nin IPSec’i temsil ettigini söylemistik. Isin içine Easy VPN girdiginde kavramsal olarak IKE Phase 1,5 olarak adlandirdigimiz ve uzak kullanicilar için extra konfigürasyonlari içeren (Xauth, Mode Config) bir bölüm daha giriyor olacak. Bu asamada VPN Client ile baglanan kullanicinin kimlik dogrulumasi yapilacak (Xauth) ve kullanici içi ip konfigürasyonu ile policy’ler belirlenecek.

öncelikle basit bir topolojimiz olacak. 85.159.66.55 ip adresine sahip bir Router ile internet erisimine sahibiz. Bu Router üzerinde yapacagimiz konfigürasyon ile Internet üzerinden uzak kullanicilarimizin VPN ile merkeze baglanmasini saglayacagiz. Konfigürasyon sirasinda Cisco SDM’i kullanacagiz. Aslinda Easy VPN Server, adi Easy olmasina ragmen konfigürasyonu gerçekten zor olan bir uygulamadir. Fakat Cisco SDM kullanildiginda bu zorlugun çok yüksek bir ölçüde ortadan kalktigini söyleyebiliriz.



öncelikle SDM ile Routerimiza baglaniyoruz. Routerin Fastethernet ip adresi 192.168.1.1 olarak belirlenmis ve Routera atanmistir. Hostname ise VPN_ROUTER’dir.

SDM ana menüsünde Router hakkinda bilgiler alabiliyoruz. Bu ekran görüntüsünü aldigimiz Home kisminin yaninda siklikla kullanacagimiz Configure ve yaptigimiz konfigürasyonlari izleyebilecegimiz Monitor tablarida mevcut.

Menü üzerinden Configure’ü seçip devam edecegiz. Bundan sonra sol tarafta açilan menüden VPN’i seçtigimizde hemen yaninda açilacak pencerede yapabilecegimiz alternatif VPN baglantilarini içeren bir menü ile karsilasacagiz. öncelikle Easy VPN Remote kismina dikkatinizi çekmek isterim. Buradan anlayacagimiz gibi Cisco Easy VPN Server konfigürasyonu yapilmis bir Router’a baska bir Router’i bu menüden faydalanip Client konfigürasyonu yaparak baglayabiliriz. Buradan Easy VPN Server’i seçtigimizde ise karsimiza böyle bir VPN baglantisinda bize yardimci olacak sihirbazin ilk sayfasi çikiyor olacak. Bu sayfada daha sonra istersek tanimlanmis bir VPN ile ilgili degisiklikleri de, Edit Easy VPN Server tabini kullanarak yapabiliyor olacagiz. Burada dikkat ederseniz ön hazirlik olarak AAA’ nin enable edilmesi gerektigi seklinde bir not ile de karsilasiyoruz. AAA deafult olarak enable degildir ve kullanici kimlik dogrulumasi AAA ile yapilacagi için mutlaka enable edilmelidir. Burada kimlik dogruluma için hem kullanici hem de grup bazinda dogrulumalar bir Radius Server araciligiyla yapilabilecegi gibi Router üzerinde de bir veritabani olusturulabilir.




AAA’ yi enable etmek için hemen yukaridaki sekilde isaretledigim “Enable AAA” üzerine tikladigimizda asagidaki gibi bir ekran ile karsilasacagiz.



Buna Yes diyerek devam ediyoruz. Aslinda burada “Enable AAA” yi seçmeden de devam edebilirdik. Eger öyle yapsaydikda SDM bizim için AAA’yi enable edecek ve bize bunun hakkinda bilgi verecekti. Devam ettigimizde SDM bize Easy VPN Server kurulumu sirasinda yapacaklarimizi özetleyen bir bilgi verecek.



Yapilacak islemleri su sekilde özetleyebiliriz:
1. VPN bagnatisinin yapilacagi interface’in belirlenmesi

2. IKE Policy konfigürasyonu

3. IPSec Transform Set konfigürasyonu

4. Grup Policy ve Authentication için kullanilacak veritabaninin belirlenmesi. Burada Radius Server ve local veritabani seklinde iki farkli seçenegimiz olacak.

5. Kullanicilarin kimlik dogrulamasi için hangi yöntemin kullanilacaginin belirlenmesi. Yine Radius veya local veritabanini seklinde iki seçenegimiz var.

6. Son olarak VPN baglantisi yapacak kullancilar için grup bazindan Policy’ lerin konfigürasyonunun yapilmasi.



öncelikle VPN baglantisinin yapilacagi interface’i seçiyoruz. Bu Router üzerinde Serial1/0 interface’inden baglantilar yapilacak. Authentication için Digital Certificates veya Pre-Shared Keys seçilebilir. Biz bu uygulama içerisinde Pre-Shared Keys’ i seçecegiz. Devam ettigimizde ise IKE Phase 1 için gerekli parametrelerin girilebilecegi ekran geliyor olacagiz.




Bu uygulama içerisinde ben AES 256 Bit Encryption’i tercih ediyorum. Hashing yani Data Integrity için kullanilacak algoritma olarak SHA_1, key exchange’i için ise Diffie Hellman Group 5’i seçip devam ediyorum. IKE Phase 1 yani ISAKMP’yi tamamladiktan sonra IKE Phase 2 için Transform Set parametrelerin belirlenecegi kisima geliyoruz.

SHA_1 ve MD5 Hashing sirasinda kullanabilecegimiz iki farkli algoritmadir. Bunlarda MD5 128 bitlik hash üretirken SHA_1 160 bitlik bir hash üretir ve fakat bunlardan 96 bitini kullanir. Her iki algoritmaninda çalisma sekli aynidir ve data üzerinde transfer oldugu hat boyunca herhangi bir degisklik olup olmadiginin kontrolünü saglar.

Encryption için ise AES 256 disinda AES 128, AES 192, DES ve 3DES seçeneklerimiz mevcuttur.

IKE Phase 2’ ye geldigimizde yine varsayilan degerleri kullanmak yerine bizim daha önceden belirledigimiz parametreleri kullanmak için yeni bir transform set olusrurabilmek için Add butonuna basiyoruz. Burada kullanabilecegimiz iki protokolden (ESP ve AH), ESP ayni zamanda encription da saglayabildigi için bunu seçiyoruz. Integrity yani datanin degistirilmeden alindiginin onaylanmasini saglamak için MD5 ve sifreleme için yine 128 bit AES’i seçiyoruz. AES disinda 56 bitlik keyler kullanan DES ve 3 kati kadar güçlü oldugunu söyleyebilecegimiz 3DES’te mevcuttur.

Show Advenced kisminda IPSec modumuzu da belirleyebiliriz. Tunnel ya da Transport Modlardan birini seçebileceigimiz bu kisimda defaul olan Tunnel Modu çalistiracagimiz için herhangi bir degisiklik yapmiyoruz. Bu arada transform setimize bir isim vermeyide ihmal etmiyoruz. Ben burada “Bilgini_Paylas” adini verdim fakat birden fazla VPN baglantisinin yapilacagi Routerlar üzerinde açiklayici bir isim vermek daha mantikli olacaktir.

Bu kismi tamamlayip devam ettigimizde Group Authorization ve Group Policy Lookup için kullanilacak yöntemleri belirleyecegimiz bölüme gelecegiz.



Burada Local Database, Radius Server yada ikisi birlikte kullanilabilir. Ben Radius Server ve Local seçenegini birlikte seçtim. Bu durumda önce Radius Server veritabani kontrol edilecek, buradan sonuç alinamazsa veya Radius Server don olmussa Local veritabanina geçilecektir. Radius Server tanimlamasini yapmak için Add RADIUS Server’ a tikladigimizda açilan penceredeki Add butonunu kullanabiliriz. Buradaki tanimlamalarimizdan sonra User tanimlamalarina geçecegiz.



User Authentication’i içinde RADIUS veya Local veritabanlari kullanilabilir (RADIUS and Local Only seçenegi). Add RADIUS Server ile Radius tanimlamalari yapilabilir veya local veritabanina Add User Credentials butonu ile kullanicilar eklenebilir. Burada sunu belirtmekte fayda olacaktir ki; çok fazla kullanicinin VPN ile merkeze baglanacagi bir yapi içerisinde Router üzerinde bir veritabani olusturmak iyi bir çözüm olmayabilir.



User Accounts kisminda bu Routera SDM ile baglanma yetkisine sahip kullanicilari görüyorsunuz. Bu kullanicilar bu isim ve sifreler ile vpn baglantisida yapabilirler. Buradaki isimiz bittiginde Group Authorization and User Group Policies kismina gelecegiz. Buradan Add butonuna bastigimiza Grouplar için bir çok konfigürasyonu yapabilecegimiz menü gelecek. Simdi adim adim bu menünün bütün tablarinin konfigürasyonunu yapacagiz.



Add butonuna basmadan önce Configure Idle Timer opsiyonumuzdan da bahsetmek istiyorum. Default olarak seçili degildir ve burada bir süre belirlenmez ise VPN Client sonsuza dek bagli kalabilir. Ben burada 1 saat boyunca VPN baglantisi kullanilmaz ise baglantinin kopmasini istedigim için bu seçenegi enable ettim.

Add Group Policy menüsünün General tabinda olusturucagimiz Group ile ilgili isim, sifre, vpn ile baglandiklarinda alacaklari ip adresleri gibi bilgileri girecegiz. Aslinda tam olarak yaptigimiz sey Routerimizin VPN ile kendisine ve dolayisiyla merkezdeki networkümüze baglanan kullancilar için DHCP Server hizmetini vermesi saglamak. Router üzerinde tanimlanmis zaten bir ip havuzu varsa Select from an existing pool seçeneginden bunuda seçebiliriz. Ayrica burada bir grup için yapilabilecek maksimum baglanti sayisinida belirleyebiliyoruz. Bu sayi dolduktan sonra bu grubun bilgileri kullanilarak yeni bir baglanti yapilamayacaktir.

Add Group Policy menüsü DNS/WINS tabina geldigimizde ise az önce bahsettigimiz DHCP Server konfigürasyonuna devam ediyor ve iç neworkümüzdeki DNS ve WINS Serverlari belirtiyoruz.



Split Tunneling tabinda ise protected subnetleri seçebilecegimiz bir alana geliyoruz. Aslinda önemli noktalardan biriside budur. VPN baglantisini yapan kullanicilar aslinda bütün trafigi tünel üzerinden merkeze gönderirler. Yani aslinda biz burada bir konfigürasyon yapmadigimiz sürece VPN Clientlarimiz internet baglantilari içinde tüneli kullanacak ve dolayisiyla merkez üzerinden internete eriseceklerdir.

Split Tunneling’ i enable ettigimizde ise sade Protected Subnets kisminda belirttigimiz networklere erisim sirasinda tüneli kullanacaklardir. Burada istersek Add butonuna basarak açilan pencerede direkt olarak istedigimiz networkleri ekleyebilir ya da Select yhe Split tunneling ACL kismina geçip bir ACL tanimlayabiliriz. Aslinda ikisi arasinda hiç bir fark yok. Zira biz her ne kadar ilk seçenekte arayüzden faydalanarak networkleri belirtiyor olsakta SDM’in yapacagi sey bizim adimiz ilgili ACL’i olusturmak olacaktir.

Enter the list of Domain names kismina ise az önce DNS tabinda belirledigimiz DNS tarafindan çözümlenmesini istedigimiz domain isimlerini giriyoruz. Burada belirtmedigimiz isimler local internet baglantimiz üzerinden yani ISP tarafindan çözümlenecektir. Bunada Split DNS diyebiliriz.

Client Settings tabina geldigimizde grubumuz için belirleyebilecegimiz güvenlik ilkelerini belirleyebilecegimiz görüyoruz. Burada ilk olarak Backup Servers kismina geliyoruz. Benim yaptigim çalisma içerisinde herhangi bir Backup Server olmadigi için bir bilgi girisi yapmadim ama ihtiyaç halinde Add butonuna basarak eklenebilir. Buraya eklenen Serverlar Cisco VPN Client ile Servera baglanti yapildigi anda Server tarafinda Cliente aktarilacaktir ve client bu server down oldugu zaman Backup Serverlardan biri ile baglanti kurmaya çalisacaktir. Resime baktiginizda Backup Server disinda 3 farkli kuralin daha bu pencere üzerinden tanimlanabilecegini göreceksiniz.

Firewall Are-U-There özelligi Split Tunneling ile birlikte kullanilir. VPN ile merkeze bagli kullanicilar ayni anda internetide kullanacaklarsa Firewall’larinin açik olmasi güzel bir kuraldir aslinda. Firewall’u olmayan yada disable durumda olacak kullanicilar bu seçenegi isaretledigimizde VPN baglantisi yapamayacaklardir. Ben bilgisayarimda herhangi bir Firewall kullanmadigim için burayi isaretlemeden geçiyorum. Zira VPN baglantisini test ettigimiz asamada sorun yasamak istemiyorum.

Include Local LAN seçengi isaretlenmediginde VPN baglantisi yapacak istemciler baglantiyi kurduktan sonra VPN disinda baska bir networke erisemezler. örnegin ben evimden sirkete dizüstü bilgisayarim ile VPN baglantisi yaptigimda, bu seçenek isaretlenmemisse, sözgelimi masaüstü bilgisayarimda buluna bazi dosyalara ulasmam gerekse bile local networkümü kullanamayacagim için basarisiz olurum. Tabi bunun sakincali oldugu noktalarda olacaktir. özellikle güvensiz bir ortamdan internet erisimine sahip olan kullanicilarin VPN ile sirkete baglandigi bir durumu buna örnek olarak verebiliriz.

Perfect Forward Secrecy (PFS) extra bir güvenlik önlemi olarak seçilebilir. Hiç bir zaman daha önceden belirlenmis veya kullanmis keyler üzerinde olusturulmus yeni keyler olmasina izin vermez.

Buraya kadar yaptiklarimiz Group bazli konfigürasyonlardi. Xauth Options tabina geldigimizde ise User seviyesinde Policy’ leri belirleyebilecegiz.



Ilk olarak kullancilarimizin maksimum kaç baglanti yapabileceklerini belirliyoruz. Group Lock kismindan kullancilarin kendi gruplari disindaki baska bir grup ile baglanti yapmalarini engelleyebilir, Save Password kisminda VPN Clientlarin passwordlerini kaydetmelerini saglayabiliriz ki aslinda bu istemedigimiz bir durum olacaktir. Bu sebeple burayi isaretlemeden geçiyorum. Grup ile ilgili konfigürasyonlarimiz burda bittigine göre OK butonuna basarak Group Authorization and User Group Policies ana menüsüne dönebiliriz.
 

Buradan Next diyerek devam ettigimizde aslinda konfigürasyonumuzun artik bittigini görecegiz.



Burada baglanti bittikten sonra Test islemininde yapilmasi için sekilde gösterdigim seçenegi isaretliyor ve Finish’e basiyorum.




Test ekrani geldiginde Start’a basarak testi baslatabiliriz. Burada SDM gerekli testleri yaparak bize sonucu bildirecektir. Su an resimde gördügümüz bizim konfigürasyonumuzda herhangi bir sorun olmadigi seklinde bir bilgi. Yaptigimiz konfigürayonlar ile illgili bilgileri VPN menüsünden VPN Components kisminda inceleyebiliriz.

Evet konfigürayonumuz bittigine göre artik Cisco VPN Client yazilimini kullanarak VPN Server’a baglanti kurmaya çalisacagiz. Cisco VPN Client yazilimini baslattigimiz zaman asagidaki gibi bir ekran ile karsilasiriz. Burada yazilim ile ilgili bilgiler vermeyecegim sadece baglanti sirasinda hangi bilgileri nasil girecegimizi gösterip baglantiyi kurmaya çalisacagim.

Ana menüde daha önce yapilan veya sürekli kullanilan VPN baglantilarinin bir listesinide görebiliyoruz. Burada benim kullandigim bir VPN baglantisinida su an görebiliyoruz. Bunun disinda menüler arasinda Connect, New, gibi butonlarida görebiliriz. Burada yeni bir baglati olusturmak için yapmamiz gereken New seçenegini seçmektir. Bundan sonra karsimiza asagidaki gibi bir ekran çikacak ve bizden bazi bilgiler istenecektir.

Connection Entry ve Description kisimlarini istedigimiz gibi doldurabiliriz. Hemen devaminda Group Authentication kismin Grup Adi ve sifre bilgilerini giriyoruz. Devaminda Save’ e basip ana menüye dönecegiz ve Connect’e tiklayacagiz.


Group Authenticaion kisminda basari saglanirsa User Authentication asamasina gelmis olacagiz ve asagidaki gibi bir ekran ile bizden kullanici adi ve sifre istenecek.

Kullanici adi ve sifrede dogruysa baglantimiz tamamlanmis olacak. Ve asagidaki gibi baglantinin tamamlandigini gören bir mesaj alacagiz.



Komut satirindan IP konfigürasyonumuza baktigimiz zaman aynen bizim konfigüre ettigimiz gibi bir IP adresinin bize VPN baglantisi için atandigini görebiliriz. Bunun disinda DNS, WINS gibi diger bilgilerde atanmis durumda.

Baglantimizi basariyla yaptiktan sonra yine SDM’e dönüp Monitoring tabina geldigimizde mevcut baglatilar ile ilgili bilgileri alabiliriz.

Evet arkadaslar; bu makalemizde Easy VPN Server kurulumu ve Cisco VPN Client kullanarak bir VPN baglantisinin gerçeklestirilmesini adim adim incelemeye ve aktarmaya çalistim. Umarim faydali olmustur.

İlgili Diğer Makaleler

Cisco Routerlar Ile Site-To-Site GRE Over IPSec Konfigürasyonu (SDM)

Cisco Routerlar Ile Site-To-Site IPSec VPN Konfigürasyonu (Command Line Interface)

Cisco Routerlar Üzerinde SDM ile Site-To-Site IPSec VPN Konfigürasyonu

Cisco Routerlarda GRE Tünel Konfigurasyonu (Command Line Interface)

Ortalama Üye Değerlendirmesi

   (0 Oylama)

Yorum Sayısı: 2 / 2