Öncelikle bu dokümanda geçişin sağlıklı ve daha iyi anlaşılabilmesi için custom sekmesi kullanılacaktır. Wizard yerine custom ile yapılmasının sebebi arka plandaki tüm adımları sizin görmeniz ve anlamanız içindir.
1. İlk olarak IPsec Wizard kısmına gelinir ve Custom sekmesi tıklanır. Name kısmına isim verilir. Biz ipsecvpn ismini veriyoruz.
2. İpsecvpn ismini verdikten sonra gelen ekranda Remote Gateway olarak Dialup User, Interface olarak sizde bulunan bağlanılmasını istediğiniz Public dış wan ip’niz seçilir. Mode config seçilerek bağlantı sonrası size verilecek iç ip adresini siz verebilirsiniz, biz burada 10.212.137.50-10.212.137.200 aralığını verdik. Use system DNS in mode config kısmını işaretlerseniz bağlananlar Firewall konfigürasyonundaki DNS adresini kullanmış olur. Biz burada tik’i kaldırıp kendi DNS sunucumuzun iç ip adresini girmiş olduk.
DNS sunucumuzun iç ip adresini buraya yazıyoruz. Enable IPv4 Split Tunnel kısmını burada kapatıyoruz. Kapatmak ne durumlarda gereklidir? Eğer siz çalışanları internete kendi public ip adresinizle çıkarmak istiyorsanız yani şirketin Public adresi üzerinden interneti kullanmalarını istiyorsanız Enable IPv4 Split Tunnel kapalı konumda olmalıdır.
Özet olarak bazı durumlarda personelin bulunduğu evin public adresinden internete çıkmasını istemezsiniz. Örnek olarak banka projesi için bankalar şirketin Public ip adresine izin verirler. Ofisten çalışan yazılımcı projede sıkıntı yaşamaz, ancak evden çalışan yazılımcının da çalışabilmesi için bankanın size izin verdiği ip üzerinden projesini test etmesi gerekir. İşte böyle durumlar için Enable IPv4 Split Tunnel boş bırakılır.
Eğer işaretlerseniz kişi evinde bulunan Public ip adresi ile internete çıkar ve ipsecvpn yapacak kişinin erişmesini istediği vlan veya ip adreslerini (iç ip adresleri) buraya eklemeniz gerekir. Grup olarak ekleme yapabilirsiniz. Bazı durumlarda şirket üzerinden çıkarmak zorunda değilseniz işaretleyip, iç vlan network adreslerini çıkan sekmenin altına eklersiniz.
3. Bu sekmede Pre-shared Key yazılır. Bunu not etmeyi unutmayın, kullanıcı FortiClient tarafında buradaki Pre-shared Key’i kullanacağız. IKE 1 ve Main olarak devam ediyorum, ancak diğer seçeneklerde seçilebilir. Buradaki konfigürasyon ne seçilirse kullanıcının arayüzü olan Forticlient için aynısını girmek zorundasınız. Peer ID “Any peer ID” olarak seçilir.
Phase-1 için Encryption ve Authentication ayarları seçilir. Burada da istediğiniz parametleri girebilirsiniz. Diffie-Hellman Group dilediğiniz parametre seçilebilir. Biz burada 14 seçtik, hatta iki parametrede aynı anda seçilebilir. Seconds olarak 86400 kalabilir.
4. XAUTH kısmında ipsecvpn için bağlanmasını istediğiniz grubu seçebilirsiniz. Burada seçim yaparsanız Policy kısmında eklemenize gerek kalmaz, hatta eklediğinizde bağlantı hatası alırsınız. Biz burada grup belirtmeyeceğiz, Auto Server seçerek Inherit from policy olarak bırakacağız. Çünkü Policy içerisine grupları veya kişileri ekleyeceğiz. Çünkü şirket içerisinde aynı vlanda olup farklı ip adreslerine sahip sunuculara farklı kişilerin erişimi istenebilir. Policy’de bu işi yaparsanız sıkılaştırma sağlamış olursunuz.
Phase-2 kısmına Local ve Remote adresler için “0.0.0.0 / 0.0.0.0” yazılır. Phase-2 için Encryption ve Authentication ayarları seçilir. Burada da istediğiniz parametleri girebilirsiniz. Enable Perfect Forward Secrecy (PFS) kısmı aktif edilir ve Diffie-Hellman Group dilediğiniz parametre seçilebilir. Biz burada 14 seçtik, hatta iki parametrede aynı anda seçilebilir. Seconds olarak 43200 kalabilir.
Daha “Ok” deriz ve konfigürasyon tamamlanmış olur.
5. IPsec’den internete ve IPsec’den içerdeki vlanlara kural yazılır. İnternete çıkan kuralda NAT enable olmak zorundadır. İç ip adreslere erişim için NAT’a gerek yoktur. IPsecvpn_range adres aralığına kural içinde izin verilir. Aynı zamanda IT, Muhasebe, Yönetim gibi kullanıcı grupları kurala eklenir. Çünkü biz konfigürasyonda Inherit from Policy seçmiştik ve bunları kuralda yazacağımızı belirtmiştik.
IPsecvpn_range adres olarak eklenir. Daha önceden ipsecvpn kurulumu sırasında belirlediğimiz ip adres aralığı 10.212.137.50-10.212.137.200 tanımlanır. Policy kurallarına eklenir.
6. Kullanıcı tarafındaki konfigürasyon için FortiClient üzerine önceki adımlarda yaptığımız konfigürasyonun aynısı eklenir.
a. Connection Name, Description (istediğiniz ismi verebilirsiniz),
b. Remote Gateway (tanımladığımız Public wan adresi),
c. Pre-Shared Key (verilen şifre),
d. Username (oluşturduğunuz kullanıcı),
e. IKE, Phase-1 ve Phase-2 konfigürasyonu,
7. Kullanıcı adı ve şifre girdikten sonra eğer Firewall-FortiClient konfigürasyonlarını doğru şekilde aynı olarak girdi iseniz, kullanıcı adı ve şifre ile doğru bağlantı sağlanır. Fortitoken kullanılarak two factor authenticaton sağlanabilir. Ancak burada o konuya değinmeyeceğiz.
8. Bağlantı sağladık ve Firewall üzerinde IPsec Tunnels kısmında Custom altında 1 dialup connection olarak gözüküyoruz. Burada tüm bağlantı sağlayan kullanıcılar gözükecektir. Kişi ile ilgili bağlantı bilgileri resimde gösterilmiştir.
9. Daha sonrasında içerideki sunuculara erişim test edilir. Biz burada ping attık.
Yorum Gönder