Bu makalede fortigate firewalla zyxel marka adsl modem arasinda noktadan noktaya IPSECVPN baglantisinin nasil yapildigini anlatacagim.Fortigate firewall merkezde yer alirken  bölgelerde Zyxel P-662HW-D1 modeli adsl modem routerlar olan yapi kuruldu.

öncelikle temel kural iki newtorkteki subnetler ayni olmamasi gerekir.Makalede kullanilan topoloji asagida belirtilmittir.

Merkez Fortigate WAN IP:88.88.88.88

Fortigate Internal IP:192.168.16.1

Merkez Network.:192.168.16.0 /24

Bölge ADSL WAN IP:99.99.99.99

Bölge ADSL Internal IP:192.168.1.1

Bölge Network:192.168.1.0/24

Fortigate Tarafinda yapilan ayarlar:

Fortigate de IPSEC VPN konfigurasyonun yapilabilmesi için;

1.Fortigate in karsi ucun kimlik dogrulamasini yapabilmesi ve güvenli bir baglantinin saglanabilmesi için Phase 1 parametresi tanimlanir.

2.Fortigate in karsi uçla VPN tüneli kurabilmesi için Phase 2 paremetresi tanimlanir.

3.VPN tüneli içinden geçecek IP paketleri için kaynak ve hedef adresleri tanimlanir.

4.Kaynak ve hedef adresi arasinda sifreleme için kural tanimlanir ve izin verilen servisler firewallda belirtilir.

1.Phase 1 parametresinin tanimlanmasi:

Fortigate’in temel ayarlarinin yapildigi ve WAN1 bacaginda 88.88.88.88 ipsinin oldugu varsayilmistir.

Fortigate’in yönetim sayfasina gelip VPN kismindan öncelikle IPSEC baglantisi için Auto Kye (IKE ) baglantisi için  ayarlar yapilir.

Creat Phase1 e gelip birinci faz ayarlari tanimlanir.Baglantiya isim verilir.Remote gateway olarak static ip seçilir ve karsi tarafin Zyxel modemin WAN ipsi ip address kismina yazilir.Baglanti bizim WAN1 portundan gelecegi için interface olarak WAN1 seçilir.Mode Main seçilip her iki taraftada girilecek olan preshared key girilir.

Peer Id lerde herhangi kisitlama yapmadigimiz için Peer Options kisminda bütün ID leri Kabul et seçilir.

Advanced Moda gelip Phase 1 de kullanilacak encryption ve authentication ayarlari yapilir.Burda bütün ayarlari defaultta birakip sadece Diffie-Hellman Group u 2 seçmemiz gerekir.çünkü Zyxel modemler sadece Diffie-Hellman 2 yi desteklemektedir.Diger ayarlari default halinde birakilir.

2.Phase 2 nin tanimlanmasi.

Phase 2 tanimlari yapmak için VPN—IPSEC –Auto Key kismina gelip Create Phase 2 ye tiklanir.

Name kismina isim verilir ve Phase 1 kisminda bir adim once tanimladigimiz Phase 1 tanimi seçilir.

Keylife süresi 1800 yapilir.Quick mode selector kisminda source address kismina fortinetin arkasinda bulunan network subneti yazilir.Destination address kismina zyxel modemin arkasinda yer alan network yazilir.

3.Adresslerin tanimlanmasi:

IPSEC tanimlari yapildiktan sonra firewall üzerinde trafigin geçmesi için networklerin firewall üzerinde tanimlanmasi gerekir.Adresleri tanimlamak için Firewall—Address kismina gelip Create New e tiklanir.

Merkez network Internal interface inde oldugu için Internal seçilir.

VPN bölgesinin ip networkü için WAN 1 interface i seçilir.

4.Policy nin yazilmasi

IPSEC trafiginin firewall üzerinden geçmesi için firewalla policy yazilmasi gerekir.Policynin yönü içerden disari dogru olacaktir. Kuralda merkeznetworkten vpnnetworke dogru Action I IPSEC olan kural yazilir ve IPSEC tunnel olarakta test_vpn kullandirilir.Allow inbound ve outbound seçilmesi gerekir.Böylece hangi yönde trafik geçecegini belirtmis oluyoruz.Istendigi taktirde Protection Profile ta tanimlanabilir.

5.Zyxell Modemde Yapilmasi Gereken Ayarlar:

Zyxell tarafinda cihazin adsl ayarlarinin ve internaldan web tarayici tarafindan erisilebilir oldugu varsayilmistir.Bu makalede temel adsl ayarlari yapildigi Kabul edilmistir.

Security kismindan VPN’e gelinir.

Setup kisminda 1inci satirin karsisinda Modify kisminda Edit butonuna tiklanir.

IPSEC setup kisminda Active,Keep Alive ve Nat Traversal seçilir.IPSEC Key Modu IKE seçilip Negotiation Mode main yapilir.Encapsulation mode Tunnel seçilir.

Local kismina Zyxel modemin iç tarafinda yer alan network tanimlanir .Remote kismina Fortigate in arka tarafinda kalan network tanimlanir.

Address information kisminda Content kismina ve My IP Address kismina  Zyxell in WAN ipsi yazilir.Secure Gateway kismina Fortigate in WAN1 ipsi yazilir.

VPN Protocol ayni birakilip Pre-Shared Key kismina Fortigate de ayni girilen Preshared key girilir.Encrption ve Authentication kismin 3DES ve SHA1 birakilir.

Advanced kismina girip

Enable Replay Detection aktif edilir.çünkü fortigate in defaulunda Enable Replay Detection active birakilmisti.

Phase 1 ayarlarinda

Negotiation Mode :Main

Preshared Key:Fortigate ile ayni yapilir

Encyption Algorithm:3DES

Authentication Algorithm:SHA1

SA Life Time:28800

Key Group :Diffie Hellman 2 seçilir.

Phase 2 tanimlarinda

Active Protocol :ESP

Encryption Algorithm:3DES

Authentication Algorithm:SHA1

SA life Time:1800 (Fortigate de de ayni degere çekilmisti)

Encaptulation:Tunnel

Perfect Forward Secrecy :DH2

Seçilir.

Ayarlardan sonra herhangi bir lokasyondan ping baslatilip VPN test edilir.

VPN baglantisini control etmek için Status ekranindan Sessionlardan Zyxel’in ipsinden baglanti kurulup kurulmadigi gözlemlenebilir.Ayrica Log&Report --Log Config--Event Loglardan IPSEC event seçilirse Log Access kisminda Event loglarda IPSEC le ilgili bilgiler alinabilir.

Asagida basarili bir baglantidan sonra Zyxell den alinan log çiktisi yer almaktadir.

Ortalama Üye Değerlendirmesi

   (2 Oylamalar)

Yorum Sayısı: 4 / 4