Açıklama

Bu
teknik not bir FortiGate-800 Antivirus Firewall ve Cisco Systems VPN 3000
Concentrator arasında IPSec VPN tünelinin nasıl kurulacağını anlatmaktadır. Konfigürasyon
örneğinde iki VPN peer birbirini kabul
etmek için preshared key kullanıyor. Bu teknik not aşağıdaki bölümlerden
oluşmaktadır:

Ağ Topolojisi

FortiGate-800'ü Konfigüre Etme

VPN 3000 Concentrator'u Konfigüre Etme

VPN Tünelini İzleme ve Test Etme

Ağ Topolojisi

Şekil
1 örnek bir ağ konfigürasyonunu göstermektedir. VPN 3000 Concentrator ardındaki
özel Network_2'teki bilgisayarlar FortiGate-800 birimi aracılığıyla Network_1'e
erişebilirler. Network_2'deki bilgisayarlar tarafından üretilen tüm trafik bir
FortiGate firewall şifreleme kuralına tabidir.

Şekil 1: FortiGate-800 - VPN 3000
Concentrator IPSec VPN örneği

 

Altyapı
Gereksinimleri

Bu teknik
bülten boyunca aşağıdaki örnek konfigürasyon esas alınmıştır:

• Ağ cihazlarına atanan IP adresleri Şekil
  1'deki gibidir.
• FortiGate-800 birimi NAT modunda
  çalışmaktadır.
• Tüm VPN gateway'lerine statik genel IP adresi
  atanmıştır.

FortiGate-800'ü Konfigüre Etme

Bir
FortiGate birimi uzak bir VPN peer'dan bağlantı isteği aldığında güvenli bir
bağlantı oluşturmak ve VPN peer'ı onaylamak için IPSec faz 1 parametrelerini
kullanır. Daha sonra eğer firewall kuralı bağlantıya izin verirse FortiGate
birimi tüneli IPSec faz 2 parametrelerini kullanarak oluşturur ve firewall
şifreleme kuralını uygular. Anahtar yönetimi, kimlik denetimi ve güvenlik
hizmetleri dinamik olarak IKE protokolü aracılığıyla görüşülür.

Bu
fonksiyonları desteklemek için aşağıdaki genel konfigürasyon adımları FortiGate
birimine uygulanmalıdır:

• FortiGate biriminin remote peer'ı onaylamak
  ve güvenli bir bağlantı oluşturmak için ihtiyaç duyduğu faz 1 parametrelerini
  tanımlayın. Aşağıdaki "Faz 1 parametrelerini tanımlama" başlığına bakınız.
• FortiGate biriminin remote peer ile bir VPN
  tüneli oluşturmak için gereksinim duyduğu faz 2 parametrelerini tanımlayın.

• İzin verilen servisleri ve IP
  kaynağı ve hedef adresi arasındaki izin verilen trafik yönünü kontrol
  etmek için bir firewall şifreleme kuralı oluşturun. Tek bir şifreleme
  kuralı VPN tünelindeki hem gelen hem giden IP trafiğini kontrol eder. "Firewall
  şifreleme kuralı tanımlama" başlığına bakınız. "Firewall şifreleme kuralı
  tanımlama" başlığına bakınız.

Faz
1 Parametrelerini Tanımlama

Faz 1
yapılandırması FortiGate biriminin VPN 3000 Concentrator cihazını onaylarken ve
güvenli bir bağlantı oluştururken kullandığı parametreleri tanımlar. Bu örnekte
VPN 3000 Concentrator cihazını onaylamak için bir preshared key
kullanılacaktır. Aynı preshared key FortiGate-800 ve VPN 3000 Concentrator cihazında
da belirlenmelidir.

Faz 1
parametrelerini tanımlamadan önce şunlara ihtiyacınız vardır:

• Uzak ağ geçidi için bir isim
  belirleyin.
• Genel arabirimin remote
  gateway'e IP adresini temin edin.
• Preshared key için özel bir değer
  belirleyin.

Key
en az 6 basılabilir karakter içermelidir ve sadece ağ yöneticisi tarafından
bilinmelidir. Bilinen mevcut saldırılara karşı en iyi korumayı sağlamak için en
az 16 karışık şekilde seçilmiş alfanumerik karakter içermelidir.

Faz 1
parametrelerini tanımlamak için:

1. VPN
> IPSEC > Phase 1'e gidin

2. Yeni Oluştur (Create New)'u seçin,
aşağıdaki bilgileri girin ve Tamam'ı seçin:

Gateway Name	Uzak ağ geçidi için bir isim yazın (Örneğin, Cisco3005).
Remote Gateway	Static IP Address
IP Address	192.168.4.2
Mode	Main
Authentication Method	Preshared Key
Pre-shared Key	Preshared key'i girin.
Peer Options	Herhangi bir peer ID'sini kabul edin.
Advanced	Aşağıdaki Gelişmiş seçenekleri seçin: DH grubunda default VPN 3000 Concentrator ayarı için 2'yi seçin (Netscreen standart ayarıdır). FortiGate ayarı mevcut VPN 3000 Concentrator ayarıyla özdeş olmalıdır. Eğer VPN peer'ları NAT cihazı aracılığıyla bir bağlantı kuracaklarsa Nat-traversal Enable seçeneğini seçin.

3.
Mütekabil VPN 3000 Concentrator ayarları ile karşılaştırabilmek için gelecekte
referans almak üzere gelişmiş kimlik denetimi, şifreleme ve DH grubu ayarlarını
bir yere not edin.

4.
OK'i seçin.

Faz
2 Parametrelerini Tanımlama

Temel
faz 2 ayarları IPSec faz 2 parametrelerini faz 1 konfgürasyonu ile birleştirir
ve VPN tünelin uzak uç noktasını belirler. Faz 2 parametrelerini tanımlamadan
önce tünel için bir isim belirlemelisiniz.

Faz 2
parametrelerini tanımlamak için

1. VPN > IPSEC >
   Phase 2'ye
   gidin.
2. Yeni Oluştur (Create New)'u seçin, aşağıdaki bilgiyi
   girin:

Tunnel Name	Tünel için bir isim girin (örneğin, cisco_3005).
Remote Gateway	Daha önceden tanımladığınız gateway'i seçin (örneğin Cisco3005).
Advanced	Şu gelişmiş ayarları seçin: Clear Enable replay detection. VPN 300 Concentrator'ları replay detection'u desteklemek, bu yüzden bu seçenek etkinleştirilmemelidir. DH grubunu 2'ye ayarlayın. İlgili VPN 3000 Concentrator ayarı FortiGate ayarıyla özdeş olmalıdır. Autokey Keep Alive ayarını Enable hale getirin.

3.
Mütekabil VPN 3000 Concentrator ayarları ile karşılaştırabilmek için gelecekte
referans almak üzere gelişmiş kimlik denetimi, şifreleme ve DH grubu ayarlarını
bir yere not edin.

4.
OK'i seçin.

Firewall
Şifreleme Kuralını Tanımlama

Firewall
kuralları bir kaynak adres ve hedef adres arasındaki tüm IP trafiğini kontrol
eder. Bir firewall şifreleme kuralına şifrelenmiş paketlerin iletimi, VPN
trafiğinin izin verilen yönünü belirlemek ve kurala tabi olacak VPN tünelini
seçmek için gereklidir. VPN tüneli ile hem gelen hem de giden IP trafiğini
kontrol etmek için tek bir şifreleme kuralı gereklidir.

Bir
kural tanımlamadan önce IP kaynak ve hedef adreslerini tanımlamalısınız. Bir
gateway-to-gateway konfigürasyonunda:

• Kaynak IP adresi, FortiGate birimi ardındaki özel
  ağa tekabül eder.
• Hedef IP adresi Netscreen-204 cihazının ardındaki
  özel ağa işaret eder.

FortiGate
birimi ardındaki ağın IP kaynak adresini tanımlamak için:

1. Firewall>Address'e gidin.
2. Yeni Oluştur (Create New)'u seçin. Aşağıdaki bilgiyi
   girin ve OK'i seçin.

Address Name	Bir adres ismi girin (Örneğin, Network_1)
IP Range/Subnet	FortiGate birimi ardındaki özel ağın IP adresini girin (örneğin, 172.11.12.0/24).

VPN
3000 Concentrator'a iletilen IP paketlerinin hedef adresini belirlemek:

1. Firewall>Address'e gidin.
2. Create New'u seçin, aşağıdaki
   bilgiyi girin ve OK'i seçin:

Address Name	Adres adı girin (örneğin, Network_2).
IP Range/Subnet	VPN 3000 Concentrator ardındaki  özel ağın IP adresini girin (örneğin, 10.180.2.0/24).

 

Firewall
Şifreleme kuralını tanımlamak için:

1. Firewall>Policy'e gidin.
2. Create New seçin, aşağıdaki
   bilgileri girin ve OK'i seçin:

Interface/Zone	Source (Kaynak) Dahili (özel) ağ için arabirimi seçin. Örneğin, port1. Destination (Hedef) Harici (genel) ağ arabirimini seçin. Örneğin, external.
Address Name	Source Network_1 Destination Network_2
Schedule	Gerektiği şekilde.
Service	Gerektiği şekilde.
Action	ENCRYPT
VPN Tunnel	cisco_3005

3. Kuralı, kural listesinde benzer
   kaynak ve hedef adresleri bulunan kuralların üzerine yerleştirin.

VPN 3000 Concentrator'u Konfigüre Etme

VPN 3000 Concentrator'u bir FortiGate birimi
ile tünel oluşturmak amacıyla konfigüre etmek için VPN 3000 Concentrator genel
arabiriminde IPSec LAN-to-LAN bağlantısı tanımlamak gerekir.

IPSec LAN-to-LAN bağlantısı
yapılandırdığınızda FortiGate peer IP adresini ayarlarsınız, kimlik
denetimi,  şifreleme ve IKE teklif
ayarlarını seçer ve yerel ve uzak ağları tanımlarsınız. Girdiğiniz Preshared
Key, kimlik denetimi, şifreleme ve IKE teklif ayarları daha önce FortiGate
biriminde yapılandırdığınız ayarla özdeş olmalıdır.

Not: Şekil 1'de gösterildiği gibi takip eden
prosedür, VPN 3000 Concentrator yüklendiğinde Ethernet 2 (genel) arabirimi (IP
adresi 192.168.4.2) Network_1'e (IP adresi 172.11.12.0/24) yöneltilen IP
paketlerini FortiGate biriminin harici arabirimine (IP adresi 192.168.100.99)
ileten bir router'a yönlendirmek üzere yapılandırılmış olarak kabul etmektedir.
Yerel özel ağ, Network_2'ye atanan IP adresi 10.180.2.0/24.

IPSec
LAN-to-LAN bağlantısını konfigüre etme

1.    Bir
web tarayıcı kullanarak VPN 3000 Concentrator yönetim arabirimine bağlanın.

2.    Configuration>Tulleling
and Security>IPSec>LAN-to-LAN'a gidin.

3.    Add
(Ekle)'yi seçin.

4.    Aşağıdaki
bilgileri girin ve Apply (Uygula)'yı seçin:

Enable	Seçeneği seçin.
Name	LAN-to-LAN bağlantısı için bir isim yazın (örneğin, FortiGate-800)
Interface	Ethernet 2 (Genel) (192.168.4.2)
Connection Type	Bi-directional (Çift yönlü)
Peers	FortiGate arabiriminin harici (genel) ağa IP adresini yazın (örneğin, 192.168.100.99)
Digital Certificate	None (Use Preshared Keys)
Certificate Transmission	Identity certificate only.
Preshared Key	Preshared key'i girin.
Authentication	ESP/SHA/HMAC-160
Encryption	3DES-168
IKE Proposal	IKE-3DES-MD5
Network Autodiscovery	Seçeneği kaldırın.
IPSec NAT-T	Eğer FortiGate biriminde phase 1 Nat-traversal Enable seçeneğini seçtiyseniz IPSec NAT-T seçeneğini seçin.
Bandwidth policy	Boş.
Routing	Boş.
Local Network	Şu seçenekleri seçin: Network List listesinden Use IP Adress/Wildcard-mask below'u seçin. IP Adresi alanına 10.180.2.0 yazın. Wildcard Mask alanına 0.0.0.255 yazın.
Remote Network	Şu seçenekleri seçin: Network List listesinden Use IP Adress/Wildcard-mask below'u seçin. IP adresi alanına 172.11.12.0 yazın. Wildcard Mask alanına 0.0.0.255 yazın.

 

5.    Kimlik
denetimi, şifreleme ve Diffie-Hellman grup ayarlarının daha önce not ettğiniz
ilgili faz 1 ve 2 FortiGate ayarlarıyla özdeş olduğunu onaylayın.

6.    Configuration>Tunneling and
Security>IPSec>IKE Proposals'a gidin.

7.    Active
Proposals listesinde 4. adımda seçtiğiniz IKE proposals'ı seçin (IKE-3DES-MD5)
ve listenin başına götürün.

8.    Apply'ı
seçin ve sonra sağ üst köşedeki Save simgesini seçin.

VPN Tünelini İzleme ve Test etme

FortiGate
birimi IPSec VPN tünellerini görüntülemek ve test etmek için birtakım araçlar
sunar:

• Tüm IPSec VPN tünellerinin
  durumunu görüntülemek için IPSec VPN tünel listesini
  görüntüleyebilirsiniz. Liste tüm aktif tünellerin durumunun yanı sıra
  tunnel time out değerlerini de gösterir. IPSec VPN tünellerin durumunu
  görüntülemek için VPN>IPSec>Phase
  2'ye gidin. 
• IPSec VPN tünellerindeki hareketi
  izlemek için monitörü kullanabilirsiniz ve bu tünelleri başlatabilir veya
  durdurabilirsiniz. Ekran tüm aktif tüneller için adreslerin, proxy
  ID'lerinin ve timeout bilgisinin bir listesini sağlar. Tüm tünellerin
  listesini görüntülemek için VPN>IPSEC>Monitor'e
  gelin.
• Tüm aktif IKE oturumlarının bir
  listesini görüntüleyebilir ve aktiviteyi port numarasına göre
  izleyebilirsiniz. Aktif IKE oturumlarının listesini görüntülemek için System>Status>Session'a
  gidin.
• Bir VPN'in doğru şekilde yapılandırılıp
  yapılandırılmadığını saptamak amacıyla uzak ağdaki bir bilgisayara
  bağlantıyı test etmek için FortiGate biriminin ardındaki ağa bir ping
  komutu verin. FortiGate VPN Guide'da "Configuring IPSec VPNs" (IPSec
  VPN'leri yapılandırmak) bölümünde "Using the ping generator to keep a
  tunnel open" (Tüneli açık tutmak için bir ping üreticisi kullanmak)'a
  bakınız. Uzak ağa yönlendirilen ilk veri paketi FortiGate birimi tarafından
  durdurulduğunda VPN tüneli otomatik olarak 
  oluşacaktır.
• VPN olaylarının log kaydını tutmak için FortiGate
  birimini yapılandırabilirsiniz. IPSec VPN'ler için faz 1 ve faz 2 kimlik
  denetimi ve şifreleme olayları log olur. VPN olaylarını log'lamak için Log&Report
  > Log Config > Log Setting'e gidin. VPN olaylarını
  süzmek için Log&Report > Log Config > Log Filter'a gidin. Olay
  log'larını görüntülemek için Log&Report >Log Access > Event'a gidin.