Bu makalede PIX/ASA üzerinden disardaki bir networke PPTP protokolü üzerinden VPN baglantiya nasil izin verilecegi anlatilmistir.Yapilan configurasyon Cisco PIX Firewall  7.1(1), 6.3(1), 6.2(1), and 6.1(1) versiyonlari için geçerlidir.PPTP protocolu,mevcut datayi (PPP fraemlerini )tasimak için 1723 TCP portunu ve GRE (protocol 47 ) protocolün uzantilarini kullanir.TCP baglantisi client tarafindan baslatilip ,baglanilan PPTP sunucu tarafindan baslatilan GRE baglantisiyla devam eder.GRE protokolünde port kavrami yoktur.Bu yüzden ikinci asamada PPTP server tarafindan  kurulan GRE baglantisi PIX üzerinden içeri natlanamaz.PPTP yi PIX üzerinde çalistirabilmek için 

öNBILGI 

Versiyon 6.2 ve öncesi için

PPTP protocolunde belli bir portan baglanti baslatilirken, cevap GRE protokolü ile dönmektedir.PIX ise dönen GRE trafigini baslangiçta kurulan session ile iliskilendiremektedir.Sonuç olarak PIX te dönen trafige izin vermek gerekir.Izin vermek için Access list yazmak gerekir.PIX üzerinden PPTP baglantilari One-to-one NAT yapildiginda çalisirçünkü PIX TCP ve UDP baglantilarinda adres dönüsümlerini takip edebilmek için port bilgilerini kullanir..PAT (Port Address Translation) uygulamalarinda PPTP baglantisi çalismaz.çünkü GRE baglantisinida port diye bir kavram yoktur.

Versiyon 6.3 için

6.3 de PIX üzerine PAT yapilmis uygulamalarda PPTP trafiginin geçmesi için bazi düzeltmeler yapilmistir.fixup protocol pptp komutu PPTP paketlerini algilar ve gerekli GRE baglantisini içerdeki hosta yönlendirir.Eger PAT yapilan yerde PPTP baglantisi yapilacaksa fixup protocol pptp komutun aktif edilmesi gerekir. 

Versiyon 7.0 için

6.3 deki gibi fixup protocol pptp girilmesi gerekir.

KONFIGURASYON: 

6.2 ve önceki Versiyonlar için Konfigurasyon:

1.öncelikte içerde PPTP baglanti kullanacak PC için static Nat tanimi yapilir.Bu örnekte PC’nin natlandigi dis ip 192.168.201.5’dir

pixfirewall(config)#static (inside,outside) 192.168.201.5  10.48.66.106 netmask 255.255.255.255 0 0

2.PPTP serverndan,içerdeki clientta dogru GRE trafigine izin veren bir access list yazilir.

pixfirewall(config)#access-list acl-out permit gre host 192.168.201.25 host 192.168.201.5 

3.Access list PIX ‘in dis bacagina  uygulanir.

pixfirewall(config)#access-group acl-out in interface outside 

6.3 Versiyonu için Konfigurasyon:

1.PPTP 1723 portu için fixup enable edilir.

pixfirewall(config)#fixup protocol pptp 1723

2..Fixup protocol enable edildigi için PPTP için One-to-one NAT yazmaniza gerek yok .PAT çalistirilabilir.

pixfirewall(config)#nat (inside) 1 0.0.0.0 0.0.0.0 0 0

pixfirewall(config)#global (outside) 1 interface

7.x için Konfigurasyon:

7.x te iki yöntem vardir.Birincisi inspection kullanmak ,ikincisi ACL kullanmak.

Inspection için:

    1.Varsayilan policy-map e PPTP inspection (kontrol,yoklama) eklenir.

    pixfirewall(config)#policy-map global_policy

    pixfirewall(config-pmap)#class inspection_default

    pixfirewall(config-pmap-c)#inspect pptp

  2.PPTP protocolu artik kontrol  edildigi için PPTP için One-to-one NAT yazmaniza gerek yok .PAT çalistirilabilir

   pixfirewall(config)#nat (inside) 1 0.0.0.0 0.0.0.0 0 0

   pixfirewall(config)#global (outside) 1 interface

ACL için:

1.Içerdeki PC için One-to-one Nat yazilir.Dis ipsi192.168.201.5’dir.

2.PPTP serverdan ,içerdeki PPTP clienta GRE trafiginin geçmesi için access list yazilir.

        pixfirewall(config)#access-list acl-out permit gre host 192.168.201.25 host 192.168.201.5   

        pixfirewall(config)#access-list acl-out permit tcp host 192.168.201.25 host 192.168.201.5 eq 1723

3.Access list uygulanir.

pixfirewall(config)#access-group acl-out in interface outside

Bütün bu configurasyon önreklerinde içerden disari dogru PPTP trafigin açik olmasi gerekir.Yukardaki 

örneklerde bu atlanmis.

Yukardaki açiklamalar Cisco'nun resmi sitesinden alinmistir.Makalenin ingilizce versiyonuna asagidan ulabilirsiniz.

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080094a5a.shtml

Ortalama Üye Değerlendirmesi

   (0 Oylama)

Yorum Sayısı: 1 / 1