Juniper Firewall SSG Serisinde Layer 2 Tunnel Protocol “L2TP” Uygulamasi
İnternete erişimin olduğu herhangi bir lokasyondan, İşyerinize veya Kaynaklarınızın konumlandırıldığı bir alana erişim için birçok yöntem mevcut.
Bu yöntemlerden en güvenilir olanı tabii ki IPSec VPN uygulamaktır.
L2TP kullanılarak aşağıda ki senaryoyu nasıl gerçekleştireceğinizi adım adım göreceksiniz.
Varsayalım ki, Siz evdeyken işyerinizde ki bir Windows Server’a erişmeniz gerekti. Fakat bunun için en güvenilir bir yolu/yöntemi denemeniz gerekecektir.
Remote Access (Uzaktan Erişim) yöntemiyle bu senaryoyu gerçekleştiriyorsunuz.
Gereksinimleriniz;
Client: Windows işletim sistemi kurulu bir istemci ( Vista )
Merkezde: Server 2003 veya PC ( XP )
Firewall: Juniper Firewall SSG serisi
Firewall Firmware: 5.4.x.x
Amacınız, Evden merkeze doğru L2TP çalıştırarak RDP ile Server’a “güvenli” bağlantı gerçekleştirmek.
Layer 2 Tunnel Protocol Şeması
SAIT-CINAR isimli Juniper Firewall da öncelikle, dışardan merkeze doğru bağlanacak kişinin username ve password’ünü belirliyorsunuz.
Objects — > Users — > Local : New
Username: saitcinar
Status: Enable
L2TP User: Enable
User password: saitcinar için password tanınlıyorsunuz: 123, onaylatıyorsunuz: 123
OK
Objects — > IP Pools : New
IP Pool Name: scinar_adrs_range
Start IP: 192.168.44.44
End IP : 192.168.44.55
OK
VPN — > L2TP — > Default Setting
IP Pool Name: combo box dan oluşturduğunuz “scinar_adrs_range” seçilir
PPP Authentication : Any
DNS Primary Server IP: 195.175.39.39 – telekoma ait garanti bir DNS ip si veriniz
DNS Secondary Server IP: 4.2.2.1
Apply
VPNs — > L2TP — > Tunnel: New
Name: scinar_l2tp
Radyo iconu : “use Default Settings” seçilir
Radyo içonu “Dialup user” seçilir. Combo box dan: Allow Any
Merkezde bulunan Firewall’unuzun internet çıkış interface’ni seçiniz: Ethernet0/2
IP Pool Name: combo box dan “scinar_adrs_range” seçilir
OK
Objects — > Addresses — > Configuration : New
Address Name: scinar_local_lan
IP Address/Netmask: 192.168.44.0/26
Zone: Trust
OK
Policies (From Untrust to Trust)
Source Address: Dial-UP VPN
Destination Address: scinar_local_lan
Service : RDP
Action: Tunnel
L2TP: scinar_l2tp
Logging: Enable
Position at top: Enable
At session Beginning: Enable
OK
Ev deki PC Üzerinde yapılacakları adım adım yapıyorsunuz
Öncelikle Registry Editor açılır
Start — > Run : regedit
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters: new dword
Value: 1
OK
Bağlantı veya Ağ kur:
Çalışma Alanına Bağlan
İleri:
Bağlanırken Kullanılacak Internet Adresini yazın:
Internet Adresi kısmına: Merkezde bulunan Firewall’unuzun dış bacak ip adresini yazıyorsunuz.
Hedef adı: vpn to merkez
Diğer kişilerin bu bağlantıyı kullanmasına izin ver: aktif
İleri:
Firewall da oluşturduğunuz kullanıcı adınızı ve şifrenizi bu alana giriyorsunuz
saitcinar
123
Bağlan:
Firewall kendisine gelen bu isteği kabul etmiş görünüyor. J
Artık merkezdesiniz. Aslında evinizdesiniz J
Her ikisi de doğru J
Grafiksel arayüzden veya komut satırından durumunuzu kontrol ediniz
Evet şu anda sizin Vista 192.168.44.44 ip adresini almış. Firewall unuzun
Dış bacak ip adresini de görüyorsunuz.
RDP servisi için izin vermiştiniz.
Şimdi merkezde ki Windows server 2003’e veya kendi bilgisayarınıza bağlantı gerçekleştirmiş oldunuz.
OK
Firewall logları bize neler gösteriyor kontrol edelim
Aşağıda ki log: L2TP protokolünün başarıyla çalıştığını gösteriyor
Hangi kullanıcıya hangi ip adresinin atandığını gösteriyor
Aşağıda ki resimden de, anlaşılacağı üzere, 192.168.44.44 makinasının merkez üzerinden internete çıkarken ki, trafiğini görmektesiniz.
Uygun bir policy yazarak istediğiniz zone’lara doğru uygun servislere izin verebilirsiniz. RDP, WEB,HTTP vs…
