Fortigate 60 D ve Draytek 2760 üzerinde ipsec vpn kurulumu

Merhaba , bu makalede fortinet ve draytek cihazları arasında ipsec vpn yapılandırmasıdan bahsedeceğim.Vpn,noktadan noktaya güvenli bir şekilde bağlanmanızı sağlar.Birden fazla vpn metodu mevcuttur,pptp ,lt2p/ipsec,ssl vpn sahada en çok karşılaşılan vpn türleri olarak karşımıza gelmekte.Ipsec vpn neden kullanılır diye düşünürsek şubelerinizi biribirine bağlamak ve ya şubenizi merkeze bağlamak için ipsec kullanırsınız.Ipsec layer 3 katmanında çalışır , yani uygulama bağımsızdır.Vpn ipsec destekleyen tüm network cihazlarınızla kurulum yapabiliyorsunuz.Ipsec vpn dezavantajı olarak cihaz üzerinde aşırı bir cpu yükü (trafik üzerinde encryption,decryption ve uyumsuzluk sorunları) farklı ürünlerle ipsec vpn yaparken problem yaşayabiliyorsunuz,(phase1 ve phase2’nin stabil olamaması gibi.)Bunun dışında ipsec vpn size ; kimlik doğrulama,veri bütünlüğü,doğruluğu ve gizliği sağlar.Verilerinizi kapsulleyerek bir tünelleme yoluyla noktadan noktaya güvenilir bir şekilde ulaştırır.

Senaryoda bir adet fortigate 60d ve draytek 2760 ürünleri arasında ipsec vpn kurulumu yapılandırılacak ve merkez kaynaklarına erişim sağlanacak.

Fortigate 60 D v5.2.1,build618 (GA) – Merkez ofis – local subnet 192.168.1.0/24 ( kullanıcı ve cihaz sayısı fazla olmadığı için subnet yeterli , büyük yapılarda ciddi bir subnet hesaplaması gereklidir.Böyle bir network de en fazla 254 cihaza ip sağlayabilirsiniz.

Draytek 2760 ver 3.7.5.4 – şube – local subnet 10.0.1.0/24

Şunu da belirtmek istiyorum , ürünlere ve tercihlere göre bir çok kurulum ve konfigurasyon olabilir.Fortigate ve draytek arasında saha deneyimlerime göre en stabil olduğunu düşündüğüm kurulumu yapacağım.

Öncelikle draytek tarafında kurulumu yapacağım.

Draytek web gui üzerinde “vpn and remote acess”bölümüne gelip, “lan to lan” sekmesine geliyoruz.profile bölümünde boşta olan ve ya ilk sıradaki 1.profile tıklıyoruz.

draytek1

İp security method kısmında “3des with authentication” ı seçip “advanced”kısmına geliyoruz.

draytek2

Mode olarak aggressive mode’u seçtikten sonra phase1 ve phase2 kısımlarını tanımlıyoruz.Bu kısımlar önemlidir.Phase1 kısmında hem draytek tarafında hem de fortigate üzerinde iki adet proposal tanımlayacağız.Phase2 kısmında tek proposal kullanacağız.

Key life time değerleri iki tarafda da aynı olmak zorunda.

draytek3

3.Dial-in settings kısmında dial-in type kısmında Ipsec tunnel i işaretliyip,diğer tanımları kaldırıyoruz.Eğer bu kutucukları dolu bırakırsınız sizden pptp yapılandırmasınıda isteyecektir.Tcp/ip network settings kısmında remote network ip tanımı olarak fortigate cihazında tanımlı olan internal local subnet tanımı yapıyoruz.Bu adres fortigate cihazınızın internal interface kısmı.Ok diyerek ilk konfigurasyonu tamamlıyoruz.

Vpn and remote access kısmında bu sefer “ipsec general setup ” bölümüne geliyoruz.

draytek4

Lan to lan bölümünde ike authentication method olarak kullandığımız aynı pre-shared key i aynı şekilde buraya yazıyoruz. Esp ksımında des 3des ve aes kutucuklarını işaretliyoruz.Ok diyerek işlemi tamamlıyoruz.Draytek tarafında kurulum bitti.Fortinet tarafına geçiyoruz.

Fortigate 60 D üzerinde vpn sekmesine geçmeden önce local subnet ve remote subnet tanımlarını yapmamız gerekiyor.Bu tanımları daha sonra vpn için kural yazarken kullanacağız.

draytek5

Local ve remote subnet yani merkez ve şube subnet tanımlarını yaptıktan sonra ipsec vpn kurulumuna başlayabiliriz.Vpn sekmesine gelip ipsec–>tunnel–>create new diyerek yeni vpn profili oluşturuyoruz.

fortigate1

Fortigate burada bize hazır birçok config template sunuyor.İpsec yapacağınız cihaza göre template seçebilirsiniz.Bu templateler içerisinde phase1,phase2 ,diffie hellman group tanımları otomatik olarak gelmekte.Şuan da draytek için bir template yok bu yüzden maneul oluşturmak zorundayız.Profil için belirleyici bir isim yazıp “costum VPN tunnel(no template) ” seçip,ilerliyoruz.

fortigate2

Remote gateway  : Static ip address

Ip address : Draytek wan ip adresini yazıyorum.

fortigate3

Bu kısım önemli pre-shared key tanımına draytek üzerinde tanımladığımız şifreyi yazıyoruz.Mode olarak “aggressive” olmalı,draytek üzerinde lan to lan kısmında da modu aggressive olarak ayarlamıştık.Peer options kısmında any peer id olarak bırakıyoruz.

fortigate4

Phase1 bölümünde propsal encryption tanımlarımızı yapıyoruz.Draytek üzerinde 2 adet encryption tanımlayacağız demiştik. Diffie hellman group olarak “2” yi seçiyoruz.Draytek cihazlarda bu grup varsayılan olarak 2 dir. Key life time değerlerininde iki tarafda aynı olması gerektiğini söylemiştik.

fortigate5

Phase2 bölümünde lokal ve şube subnet tanımlarını yazıyoruz.Phase 2 proposal bölümünde tek encryption belirleyeceğiz demiştik.Draytek tarafında phase2 kısmında bu şekilde tanımlamıştık.Aynı şekilde key lifetime değerleride draytek üzerindeki değerlerle aynı olmalı.

İpsec kurulumu tamamlandı,şimdi sırada vpn için static route ve vpn policy tanımlamamız gerek.

fortigate6

Static route ile şube network ‘ünden gelen herhangi ip “device”kısmında ipsec vpn ile oluşturmuş olduğumuz vpn profilinden yararlanarak local subnet e yönlendirilmiş olacak.

fortigate7

ipsec vpn için lokal subnet ten remote subnet e yani merkezden şubeye ve aynı şekilde şube den merkez network e erişim için policy tanımlaması yapıyorum.Böylece ipsec vpn kurulumu tamamlanmış oluyor.İpsec monitore gelerek vpn durumunu kontrol edelim.

fortigate8

Draytek tarafında vpn durumunu kontrol edelim.

draytek6

İki taraftada ipsec vpn bağlantımız stabil görünüyor.Başka bir makalede görüşmek üzere.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s