Internet yani güvensiz olarak bildigimiz bir network üzerinden güvenli iletisimi IPSec VPN ile birlikte, internet baglantimizin zaten varoldugunu da varsayarsak ucuz bir sekilde saglayabiliriz. Bu makalemizde Cisco Routerlari kullanarak Site – To – Site VPN konfigürasyonunun nasil yapilacagini inceleyecegiz.

 

Makale boyunca VPN’in mantigindan çok konfigürasyonu üzerinde duracak olmamiza ragmen genel bazi bilgileride vermeye dolayisiyla VPN ile yeni tanisan arkadaslara da yardimci olmaya çalisacagim.

 

VPN tabii ki çok derinlemesine incelenmesi gereken bir konudur ancak verdigimiz küçük bilgiler ile mantiginin anlasilacagini düsünüyorum. Ben zaman zaman bilgiler verecek olsam da IPSec VPN ile ilgili hiç bilgisi olmayan arkadaslar bu makaleyi incelemeden önce mantigiyla ilgili bir incelemeyi yapmalarini tavsiye ederim.

IPSec VPN’in kurulmasi 4 asamada özetlenebilecek bir mekanizma ile gerçeklesir.

1. VPN trafigini tetikleyecek yani VPN kurulmasini saglayacak trafik Routera gelir. Dolayisiyla bizim Router üzerinde bir access-list yardimiyla bu trafigi tanimlamamiz gerekecektir.
2. Routerlar arasinda güvenli Key degisimini saglayacak IKE Phase 1 olarak adlandirdigimiz oturum kurulur ve Internet Key Exchange gerçeklesir.
3. IPSec parametlerinin belirlendigi ve IKE Phase 2 olarak nitelendirdigimiz oturumu açilir.
4. Son olarak Data IPSec tünelimiz üzerinden noktalar arasinda tranfer edilir.

Bu noktada IKE Phase 1 ve IKE Phase 2’nin sagladiklari üzerinde biraz daha durmak istiyorum. IKE Phase 1 Key degisimi için policylerin kararlastirilmasi ve VPN komsularinin kimlik dogrulamasini saglar. Kimlik dogruluma için Pre-Shared Keyler yada Certificate’lar kullanilabilir. Bu makaledeki uygulamamiz sirasinda Pre-Shared Key kullanacagiz. Ayrica burada key degisimi için Diffie-Hellman Key Exchange grubunu belirleyecegiz.

Diffie Hellman algoritmasi ile iki nokta arasinda Public Keyler degisilir. Bu algoritma her noktanin, karsi tarafin Public Key’i ve kendi Private key’i ile olusturacagi Shared Key’in ayni olmasini saglar. Bu sayede son derece güvenli keyler olusturulabilmektedir.


IKE Phase 2 Transform Setlerin iki nokta arasinda kararlastirildigi asamadir. Transform Seti kisaca data transferi sirasinda kullanilacak algoritma ve protokoller olarak tanimlanabilir. Genel olarak SA (Security Associations) olarak adlandirilan IKE Phase 2 konfigürasyonu sirasinda belirlenen bilgiler arasinda Destination IP Address, Protocol (ESP veya AH), Encryption ve Authentication algoritmalari, Mode (Transport yada Tunnel) ve Key Lifetime gibi tanimlamalarimiz yer alacaktir.

Uygulamamizda iki nokta arasinda Cisco Routerlara grafik arayüz saglayan SDM ile IPSec VPN baglantisi kuracagiz. Once IKE Phase 1 ve 2 için bizim seçecegimiz parametreleri özetleyelim.

Bu topolojide ALTUNIZADE Routeri üzerinde konfigürasyonlar yapilmis durumda. Ben SDM ile KADIKOY Routerina baglanip bu Routerin konfigürasyonunu tamamlayacagim. SDM ana sayfasi asagidaki gibidir.

SDM ile baglandiktan sonra Configure tabina gelip, sag tarafta açilan menüden VPN’i seçiyoruz. VPN’i seçtikten sonra karsimiz asagidaki gibi bir sayfa açiliyor.

Bu sayfada açilan menüden Site – To – Site VPN’i seçtigimizde ekranin hemen sagindaki menü çikiyor. Burada iki seçenegimiz var. Create a Site To Site VPN’i isaretleyip (ki defaul seçili olan seçenektir) devam ediyoruz. Bir baska makalemizde GRE Over IPSec üzerinde de duracagiz. Devam ettikten sonra Site To Site VPN konfigürasyonunu yapabilecegimiz iki ayri seçenek karsimiza çikiyor olacak.

Burada Quick Setup olarak gösterilen yer bütün algoritma ve protokolleri default halleri ile seçip VPN kurmamizi saglayacaktir. SDM’in burada bizlerden bilgi olarak alacaklari ise kaynak ve hedef networkler, Authentication için Pre-Shared Key, VPN baglantimizi kuracagimiz interface ve baglanacagimiz Routerin ip adresi olacaktir. Biz Step by Step Wizardi seçip devam edecegiz. Bu arada sekil üzerinde altini çizfigim noktaya dikkatinizi çekmek isterim. Burada ki açilir menü ile yaptigimiz konfigürasyonla ile ilgili yardim sayfalarina erisebiliriz.

Devam ettigimizde VPN baglantimizi kuracagimiz interface seçimi, komsumuzun ip adresini tanimlayacagimiz Peer Identity konfigürasyonu ve Authentication için kullanacagimiz yöntemi seçtigimiz kisma geliyoruz. Burada ben Authentication için Pre-Shared bir key kullandim. Bu kismi tamamladiktan sonra IKE Phase 1 için parametreleri belirleyecegimiz menü karsimiza çikiyor olacak.

Burada Encryption, Hashing, Authentication, Diffie Hellman Group için daha önce belirledigimiz parametreleri Add butonuna basarak açilan menüden seçiyoruz. Quick Setup modunu seçseydik burada ki parametreler açilan pencerenin hemen arkasinda görülebilen default degerler olacakti. AES (Advenced Encryption Standart) aslinda 256 bit keyler ilede sifreleme yapabiliyor ama 128 bit zaten yeterince güvenli oldugu için ben bu degeri seçtim. Hashing için bir alternatif de 160 bitlik key kullanan SHA 1’dir. Burada da ben 128 bitlik keyler kullanan MD5’ i yeterli görüyorum. Life Time varsayilan olarak 1 gündür, bunu da degistirmeden devam ediyoruz. Bundan sonra IKE Phase 2’ye yani transform setimizi belirleyecegimiz asamaya geçecegiz.

IKE Phase 2’ ye geldigimizde yine varsayilan degerleri kullanmak yerine bizim daha önceden belirledigimiz parametreleri kullanmak için yeni bir transform set olusrurabilmek için Add butonuna basiyoruz. Burada kullanabilecegimiz iki protokolden (ESP ve AH), ESP ayni zamanda encription da saglayabildigi için bunu seçiyoruz. Integrity yani datanin degistirilmeden alindiginin onaylanmasini saglamak için MD5 ve sifreleme için yine 128 bit AES’i seçiyoruz. AES disinda 56 bitlik keyler kullanan DES ve 3 kati kadar güçlü oldugunu söyleyebilecegimiz 3DES’te mevcuttur.

Show Advenced kisminda IPSec modumuzu da belirleyebiliriz. Tunnel ya da Transport Modlardan birini seçebileceigimiz bu kisimda defaul olan Tunnel Modu çalistiracagimiz için herhangi bir degisiklik yapmiyoruz. Bu arada transform setimize bir isim vermeyide ihmal etmiyoruz. Ben burada hayrullah adini vermeme ragmen birden fazla VPN baglantisinin yapilacagi Routerlar üzerinde açiklayici bir isim vermek daha mantikli olacaktir.

Bu asamayida atlattiktan sonra IPSEC VPN’in hangi networkler arasinda kurulacagini belirleyecegimiz asamaya geliyoruz.

Koruma altina alinacak networkleri iki sekilde tanimlayabiliriz. Birincisi benim yukarida yaptigim gibi direkt Local ve Remote networkleri girmek olacaktir. Bir diger yol ise bir sonraki seçenekten bir access – list olusturmak olacaktir. Aslinda bizim seçtigimiz method ile Router’in ayni access-list’i olusturmasini sagliyoruz.

Eger access – list kendimiz olusturmak istersek söyle bir ekran ile karsilasacagiz.

Yeni bir ACL olusturabilir yada Router üzerinde var olanlardan birini seçebiliriz. Ben yeni bir ACL olusturmak için Create a new rule(ACL) and select’i seçiyorum.

Burada OK dedikten sonra koruma altina alinacak networkleri belirttigimiz sayfaya geri dönüyor olacagiz.

Bu iki yöntemden birini seçip Next’e basip devam ettigimizde son olarak konfigürasyon bize özetlenecek ve komutlarin Router’a uygulanmasi saglanacaktir.

Burada konfigürasyonun bir özetini görüyoruz. Aslinda Finish’e bastigimizda bu konfigürasyon aynen Router’a gönderilecekti ama benim Routerimda, bir Internet Routeri olmasi sebebiyle NAT tanimlandigi için farkli bir ekran ile karsilasacagiz. Burada Test VPN connectivity after configuration seçenegini seçersem konfigürasyon biter bitmez SDM test islemine baslayacaktir. Ben simdilik bunu seçmiyorum, zira daha sonra Edit VPN Configuration menüsündende bu testi yapmak mümkün.

SDM’in bizim için bu rule’lari düzenlemesi için Yes’e basip devam edecegiz. Bunun yaptikran sonra Router iki network arasindaki data transferinin NAT’a ugramadan gönderilmesini saglayacaktir.

Ve mutlu son. Komutlar (ki 56 komut) Routerimiza SDM tarafindan gönderildi. Tabii bir konfigürasyonu bitirdikten sonra bunun çalisip çalismadigini mutlaka test etmek gerekir. Bu noktada SDM bizlere VPN baglantimizi test etme imkanini sagliyor. Bunun için VPN ana menüsünden Edit tabina geçmemiz gerekecektir.

Burada Test Tunnel butonuna bastigimizda sekildeki ekran çikiyor olacak. Burada Start’a basmamiz SDM’in VPN baglantimizi test etmesini saglayacaktir. Burada ilk önce parametreleri test edecek ve arkasinda ya bizim ya da SDM’in yaratacagi trafik ile Tunnelin up olup olmayacagini kontrol edecektir. Bu asamaya geldigimizde asagidaki gibi bir ekran ile karsilasacagiz.

Burada öncelikle Interface, Konfigürasyon, Routing, VPN kurulacak Router ile olan bagnatimiz, NAT ve bir Firewall’in VPN’i bloklayip bloklamadigi test ediliyor. Bu asamada Tunnel Status’un Down olmasi gayet normal. Hatirlayacagimiz gibi VPN kurulumunu tetikleyecek bir trafikten bahsetmistik. Su an için böyle bir trafik olmadigi için Tunnel’imiz down olarak görünüyor. Söz konusu testleri basariyla atlattiktan sonra bir trafik yaratarak durumu netlestirecegiz. Zaten bununla ilgili bir uyarida ekranda sekildeki gibi görünüyor olacak. Buna Yes dedikten sonra asagidaki ekran ile karsilasacagiz.

Bu arada Routerimiz üzerinde access-listler tanimlanmissa AH, ESP ve ISAKMP trafigine izin vermemiz gerekir. Benim routerim üzerinde ki ACL konfigürasyonu asagidaki gibi;

Burada SDM’in bizim için trafik yaratmasini saglayabilir yada bir alttaki seçenek ile yine bizim belirleyecegimiz bir süre boyunca, bizim yaratacagimiz bir trafik ile (bu ping paketi de olabilir) SDM’in Tunnel’imizi test etmesini saglayabiliriz. Ben SDM’in bir trafik yaratarak testlerini yapmasini seçip devam ediyorum. Bu islem 1-2 dakika kadar sürebilir.

Güzel sonuç. IPSEC VPN baglantimiz düzgün bir sekilde kurulmus durumda. Bu noktada sonra SDM’im Monitoring kismini kullanarak VPN baglantimizida izleyebiliriz.

Bu noktada SDM'in begendigim noktalarindan birinden de bahsetmek isterim. Tunnel baglantimizi test ettigimiz sayfada Generate Mirror botunu var.

Bu botun kullanilarak diger nokta için hazir bir konfigürasyon elde edebiliriz. Dolayisiyla diger noktaya gittigimizde özel bir çalisma yapmaya gerek kalmadan elimizdeki hazir konfigürasyonu kullanabiliriz. Generate Mirror’a bastigimizda su sekilde bir ekran ile karsilasacagiz.

Evet arkadaslar, bu makalemizde SDM kullanarak Site To Site IPSec VPN baglantisini nasil olusturacagimizi hem mümkün oldugu kadar basit hem de adim adim inceledik. Burada son bir tavsiye olarak Routerlar ile VPN kurarken belirledigimiz IKE Phase 1 ve 2 parametrelerini not alarak çalismayi söyleyebilirim. Bir sonraki makalemizde Cisco Routerlar üzerinde Easy VPN (ya da Remote Access VPN) konfigürasyonu hakkinda bilgiler verecegim. Umarim bu makale faydali olmustur.