| Yazan: Cemal SUMLU,
Tarih: 21-03-2008 15:49
|
Okunma Sayısı : 439  |
Beğenilme : 1 |
 VPN (Virtual Private Network – Sanal Özel Ağ ) internet uzeriden şifreli ve guvenli veri iletişimi saglamak için geliştirilmiş bir teknolojidir. VPN ikiye ayrılmaktadır. Client to Site (Remote Access) ve Site to Site .Client to Site VPN (Remote Access )firmaların gezici çalışanlarının firma ağına her her yerden guvenli veri iletisimi saglaması için kullanılmaktadır.Site to Site ise Firmanın subeleri ile arasında networklerin birbiri ile guvenli veri iletişimi saglamasıdır. Makalemizde Juniper firewall ‘larda Client to Site (Remote Access ) VPN tipini anlatacagım.
Firewall a Web arayuzunden Login olduktan sonra,
Sol menuden Object / Users / IP Pools Kısmına girip kullanıcıların bağlanırken alacağı ip aralığını belirleyelim.
Buradan New butonu ile yeni bir pool olusturalım. 
Burada bir isim belirterek ip aralıgı verelim. Vereceğiniz ip Local networkunuzdeki clientların ip araligi ile aynı olmamalı, olur ise cihaz IP Spoofing olarak algılar ve baglantıyı deny eder. Sonra Bir kullanıcı olusturalım. Sol menuden Object / Users / Local menüsüne giriyoruz. New butonu ile Yeni bir vpn kullanıcısı olusturuyoruz. User name alanına kullanıcı adını belirliyoruz, ardından IKE user ve Simple Identy kutucuklarını seçiyoruz. (Remote Client Kullanıcısı buradaki belirlediginiz kullanıcı adı ile logon olmaktadır)
IKE Identy alanına kullanıcının domain hesabı adresini giriyoruz. (domain hesabi olmasi zorunlu degildir.)
IP Pool kutucugunda ise kullanıcının alacagı ip aralıgını belirledigimiz etiketi seçiyoruz.
Not: Eger Kullanıcılarınıza belli gruplar halinde farklı ip aralıgı aldırmak isterseniz ilk adımda tanımladıgımız IP Pool kısmından farklı ip aralıkları tanımlayıp buradan seçebilirsiniz.
Xauth User kutucugunu seçip kullanıcıya bir şifre belirliyoruz ve OK butonu ile tanımlamayı bitiriyoruz.
Olusturdugumuz kullancıya bir VPN grubu olusturup bu gruba dahil ediyoruz.
Sol Menuden Objects / Users / Local Groups , New butonu ile yeni bir VPN kullanıcı grubu olusturuyoruz, bu gruba olusturdugumuz kullancıları dahil edecegiz. Sol menuden VPNs / Xauth Settings menusune giriyoruz. 
İlk seçenek olarak client a vermiş oldugumuz ip nin rezerve suresini buradan belirliyoruz.
Asagidaki gibi kutucuklar bos kalacak,
Local Networkumuzdeki Primary ve Secondary DNS server larımızın ip lerini giriyoruz,
Local Networkumuzdeki Primary ve Secondary WINS server larımızın ip lerini giriyoruz son olarak apply butonu ile bu adımı tamamlıyoruz.
Bu kısımdaki ayarlar Local networkumuzdeki DNS ve Serverlariniz ile haberlesmemizi saglıyor. Sol Menuden VPNs / Gateway adımına ilerliyoruz ve New butonu ile yeni bir kayıt olusturuyoruz. 
Gateway Name kısmına bir gateway adı belirliyoruz ve Security Level kısmında Custom kutucugunu seçiyoruz. 
Dialup User Group kısmında Kullanıcılar için olusturdugumuz Kullanıcı grubunu seçiyoruz. 
Preshared Key kısmında bir bir kullanıcıların hepsine verecegimiz ortak bir key belirliyoruz, ben 12345678 olarak veriyorum, Pre Shared Key inizin karakter sayısı ve karmasık olması size kalmıs.
Outgoing Interface firewallımızın Untrust portu (ADSL Modem ya da ISP den gelen internet bağlantısının olduğu porttdur) bende Ethernet3 oldugu için seçiyorum.  Advanced butonu ile diger ayarlara geciyoruz.
Security Level Ayarlarinda ise;
User Defined seçilip Phase 1 Proposal menusunden şifreleme seviyesi belirliyoruz.
Ben ornek olarak Pre-g1-des-md5 olarak seçiyorum , siz kendinize gore şifreleme seviyesini belirleyebilirsiniz.
Mode kısmından Aggressive modu seçiyoruz.
Enable NAT-Traversal seçeneği remote client baglanan kullanıcılarınızdan aynı ip ‘den birden fazla farklı kullancıların baglanması için seçilir.
Ornegin 2. Bir lokasyonunuz var ve burada 3 kisi ADSL ile internete baglanıyor, dogal olarak tek bir ADSL ip sinden internete eriştikleri için Merkez Lokasyonunuza VPN baglantısı yaparken Enable NAT-Traversal aktif olursa 3 Kullanıcı birden baglanabilir. Bu ozelligi kaldirirsaniz her statik ip den bir client baglanabiliyor.
Diğer seçenekleri boş geçip bu adımı OK butonu ile tamamlıyoruz.
Sol Menuden VPNs / Gateway adımına ilerliyoruz ve olusturmus oldugumuz XauthUserGateway Configure kolonundan Xauth kısmına giriyoruz. Burada ise Xauth Server seçili olup Authentication Type “CHAP & PAP” seçilmelidir. OK butonu ile bu adım tamamlanır.
Son adım olarak AutoKey IKE menusune geliyoruz NEW butonundan devam ediyoruz, 
VPN NAME kısmına bir isim veriyoruz.
Security Level ‘i Custom seçiyoruz.
Remote Gateway ‘i Predefined işaretleyip olarak listeden olusturmus oldugumuz XauthUserGateway seçiyoruz. Advanced Butonu ile diger ayarlara geçiyoruz, buradan Security Level ‘i yine kendimiz belirliyoruz.
Ben nopfs-esp-des-md5 olarak seçiyorum,ardından Return butonu ile onceki adıma geliyoruz ordan OK butonu ile bu adımı tamamlıyoruz. Bu kısımdaki ayarlar bitti şimdi dışarıdan baglanacak kullanıcılar için Kendi subnetimizi tanımlayarak bir Policy olusturmamız gerekiyor.
Sol menuden Objects / Addresses / List / Trust (interface listeden seçilir), NEW butonu ile kendi networkunuzu tanımlayın. Orn: 192.168.1.0/24 gibi..
Sol Menu den Policies , İnterface leri ise Untrust/Trust seçip Go butonuna basıyoruz, ardından NEW Butonu ile yeni pir policy olusturuyoruz.  Name kısmı opsiyonel dir.
Source Address listeden Dial-Up VPN seçiyoruz.
Destination Address Bende İstanbul lokasyonu ismi oldugu için kendi networkumu seçiyorum.
Bu tanımı yapmak için ise;
Tekrar Policy ye donuyoruz,
Service kısmı VPN kullanıcıların hangi portlar ile local networke erişmesini belirliyorsunuz. Ben any olarka geçiyorum.
Action menusunden Tunnel seçiyoruz.
Tunnel kısmında ise tanımladıgınız Vpn Tunel tanımlaması gelecektir listeden bunu seçiyoruz.
Logging kısmında ise loglama yapacaksanız işaretleyebilirsiniz.
OK Butonu ile policy tamamlıyoruz.   Firewall Tarafında yapılan ayarlar bu kadar.
Bir Sonraki makalede Client tarafında yapılması gereken ayarları ele alacagım.
Bu makale, asagidaki Juniper urunlerinde gecerlidir.
NetScreen Firewall/IPSec VPN » NetScreen-5GT
NetScreen Firewall/IPSec VPN » NetScreen-5XP
NetScreen Firewall/IPSec VPN » NetScreen-5XT
NetScreen Firewall/IPSec VPN » NetScreen-25
NetScreen Firewall/IPSec VPN » NetScreen-50
NetScreen Firewall/IPSec VPN » NetScreen-204
NetScreen Firewall/IPSec VPN » NetScreen-208
NetScreen Firewall/IPSec VPN » NetScreen-5200
NetScreen Firewall/IPSec VPN » NetScreen-5400
Software » Operating Systems » ScreenOS Software
Software » VPN Clients » NetScreen-Remote Security Client
Software » VPN Clients » NetScreen-Remote VPN Client
By Network Technology » IP Protocols » Tunneling Protocols » IPSec
Kaynak: http://kb.juniper.net/CUSTOMERSERVICE/KB4182
|
Makaleler 
(0 Oylama)
guzel bi anlatim.
Yazan:: Birol AYDUGAN () Tarih: 21-03-2008 19:12