Bu makalemde iki firewall arasında internet bağlantısı olmadan kendi aralarında tünel bağlantısı nasıl oluşturulur onu anlatacağım.
1- INTERFACE
Firewall bacaklarına fiziksel bağlantıyı yaptıktan sonra ip atamalarını gerçekleştiriyoruz.
Not: Local subnetlerin fiziksel bağlantıları olmadan da eth1/1 üzerinden tunnel up olur.
2 - ZONES
Zonelarda interface atamalarını yapıyoruz. Firewall dış bacağına untrust, iç bacağına trust atıyoruz. Extra olarak s2svpnzone adında zone oluşturdum ve birazdan oluşturacağımız tunnel interfacelerini bu zone içine atayacağız.
3 - IKE CRYPTO
Network sekmesinin altından IKE Crypto içine girip yeni profile oluşturuyoruz. Burda oluşturacağınız değerlerin diğer firewall tarafında da aynı olması çok önemlidir.
4 - IPSEC CRYPTO
Network sekmesinin altından IPSEC Crypto içine girip yeni profile oluşturuyoruz. Burda oluşturacağınız değerlerin diğer firewall tarafında da aynı olması çok önemlidir.
5 - IKE GATEWAY
Network sekmesinin altından IKE GATEWAY içine girip yeni bir gateway oluşturalım. Burada önemli olan gatewaylerin hangi interface ile haberleşecekleri ve ip adresleri. Biz testimizi local de yapacağımız için dış bacak ip adreslerinin aynı ip bloğunda olması gerekmektedir. Örnek olarak peer ip address kısmı yani diğer firewallun dış bacak ip adresine atıyorum 203.145.2.100 verseydik tunnel bağlantımız UP olmayacaktı. Genelde yapılan hatalardan biri de budur. Aynı ip adreslerini taşımaları gerekmektedir. Sonrasında biz Authentication olarak Pre-shared key seçip diğer firewall da da aynı şifreyi girmemiz gerekmektedir. Advanced Options sekmesinde crypto profile kısmını oluşturmuş olduğumuz profili seçip okeyliyoruz.
7 - TUNNEL
İnterface içerisindeki sekmeden tunnele geliyoruz ve yeni tunnel oluşturuyoruz. İşte burada oluşturmuş olduğumuz security zone'a s2svpnzone'muzu seçip ekliyoruz. Ardından ip adresimizi verelim.
8 - Virtual Router ve Static Route
Network sekmesinin altında virtual routerımız var. Bu ne işe yarar diye soracak olursanız firewall üzerinde ip yönlendirmesi işlemini gerçekletirir. Ben var olan yani default üzerinden işlemleri gerçekleştireceğim.
Default'a tıklıyoruz ve static route sekmesine giriyoruz. Add diyerek karşı tarafın local subnet ip bloğunu ekleyip çıkıyoruz. Tabiki interface bacağımız oluşturduğumuz tunnel olmak zorunda.
9 - IPSEC TUNNEL
Tünelin oluşacağı up, down durumlarını görebileceğimiz kısma geldik. Yeni tunnel oluşturalım.
Local ve Remote iplerimizi de yazdıktan sonra tunnel konfigürasyonlarımız bitiyor.
10 - POLICIES
Son olarak karşılıklı trafiğimizin akışı sağlanabilmesi için kural yazabilirsiniz. Ben her trafik karşılıklı geçsin diye kural oluşturdum. Siz kısıtlayarakta kurallar yazabilirsiniz.
Bu ayarları diğer firewallda da yaparsanız tunnel aşağıdaki gibi UP olacaktır.
Takıldığınız, sormak istedikleriniz olursa eğer yorum yazabilirsiniz veya iletişim formundan bana ulaşabilirsiniz.
Teşekkür ederim.
Hiç yorum yok:
Yorum Gönder