USG Serisi Firewall Cihazlarda IPSEC VPN Kurulumu

USG Serisi Firewall Cihazlarda IPSEC VPN Kurulumu

IPSEC VPN KURULUMU
Site to site IPSEC VPN kurulumunda karşı tarafın ayarlarını karşılayacak şekilde Zywall’da
yapılması gereken ayarlar aşağıda anlatılacaktır. Buradaki ayarlar daha önce de belirtildiği gibi
Zywall’un Wan bacağında Wan1_ppp’de interneti sonlandırdığımız modemin bridge mode’da
olduğu kabul edilerek yapılmıştır. Route mode’da olan ve VPN passthrough özelliği olan bir
modemin arkasındaki Zywall’da modem içerisinden geçen tünelin sonlandırılması ile ilgili farklı
bir senaryo talep ediliyorsa, bu ayarlar ile ilgili bizlerle irtibata geçiniz.
Ipsec VPN kurulumu için VPN-IPsec VPN menüsü altındaki tablardan ilk olarak VPN
Gateway tabını kullanarak faz1 ayarlarını yapacağız. Burada Add butonuna tıklayarak ayrıntılı
ayarlar menüsünü açıyoruz.
VPN Gateway menüsü içerisinde Gateway’e bir isim verip iki tarafın da internete bakan WAN
IP’lerini tanımlamış oluyoruz. My Adres kısmına WAN IP’mizi alan WAN1_ppp’yi seçiyoruz. Peer
Gateway Ip kısmına karşı tarafın Wan IP’si yazılıyor. Authentication kısmı için her iki tarafta da
aynı olacak şekilde bir Pre-shared Key girişi ve içerik doğrulama için de Local ve Peer ID
type’ları IP olarak, contentler 0.0.0.0 olarak giriliyor.
Güvenlik doğrulaması adına faz1 ayarları karşı tarafta da aynı olacak şekilde girilir. Biz burada
şifre grubu DH1, Encryption olarak DES ve authentication olarak MD5’i tercih ettik. Ayarları ok
ile kaydedip gateway oluşturma işlemini tamamlıyoruz.
Sonrasında faz 2 ayarlarını yapıp tüneli tamamlamak için VPN connection tabında add
butonuna tıklıyoruz.
Burada Bağlantı ismine bir giriş yapıp VPN gateway’i tanımladığımız gateway olarak seçiyoruz.
Policy menüsünde de bu tüneli sonlandırdığımız iki cihazın arkasındaki subnetleri tanıtıyoruz.
Local Policy kısmına LAN1 Subnet, Remote policy kısmına da karşı tarafın subnetini giriyoruz.
Karşı tarafın subnetini de create object menüsü yardımıyla oluşturup girebildiğimize dikkat
ediniz.
Faz 2 encrypion ve authentication değerlerini de karşı tarafla aynı olacak şekilde seçiyoruz. Biz
burada faz 2 için de DES ve MD5 algoritmalarını kullandık.
Ayarları kaydetmek üzere OK’e basınız ve tünnelin karşı tarafı için de benzer ayarları yaparak
tünelin ayakta olduğunu görünüz.
Karşı taraftan Zywall’un bacağına kadar tünel üzerinden ping atılabiliyor fakat arkasındaki
networke ulaşılamıyor ise karşı taraftan gelen paketin dönüşü için Zywall’a policy route girilmesi
gerekebilir. Bunun için NETWORK_Routing menüsü altında policy route’a add butonu
kullanılarak kural eklemesi yapılır.
Kuralı basit şekilde ifade edecek olursak, herhangi bir interface’e(interface any) herhangi bir
saatte(Schedule any) herhangi bir trafik(service any) herhangi bir kullanıcıdan(user any)
herhangi bir kaynak Ip’sinden(source any) gelip destination’ı karşı tarafın local subneti olan bir
talep olursa (destination VPN faz 2 tanımı yaparken Remote subnet olarak tanımladığımız
object) next hop olarak Type TUNNEL ve Tunnel de oluşturduğumuz Tünel seçilerek kural
tamamlanır. Böylece Zywall’a hedefi karşı tarafın subneti olan bir trafik için Trunk’ı veya
wan1_ppp’yi kullanmasını değil, tüneli kullanması gerektiğini tanımlamış oluruz.
VPN bağlantı ile ilgili yaşadığınız problemler hakkında aşağıdaki linkten gerekli kontrolleri
yapabilirsiniz.