Forum

Juniper SSG520 - l2...
 
Bildirimler
Hepsini Temizle

Juniper SSG520 - l2tp Vpn Sorunu

14 Yazılar
3 Üyeler
0 Reactions
578 Görüntüleme
(@ResatDOKUK)
Gönderiler: 46
Trusted Member
Konu başlatıcı
 

 


Arkadaşlar forumdaki l2tp makalesını inceleyerek juniper üzerinde gerekli ayarları yaptım. fakat policide untrusttan - trusta polici destination kısıma makaledeli gibi vpn-lan şeklinde bir adress oluşturduğumda uzaktan vp bağlanıyor fakat nenworkume erisemıyorum, policide destinationu any yaptığımda networke erişiyorum , internete çıkamıyorum, remotedeki vpn ayarında tcp ip özelliklerinde - gelişmişteki karşının uzak ağın geçitini kullan, işareti kaldırdığımda nete çıkıyorum buseferde locale ulaşamıyorum, içinden çıkılmaz bır buhran içindeyım anlayamadım çözemedim yardım rica ediyorum. bilgiler sunlardır


local network ip blogum.  10.10.1.1 - 10.10.7.255 - 255.255.248.0 dhcp yok elle ip leri verıyoruz.


firewall gateway 10.10.1.2


juniper ip poolls = 20.20.0.10 - 20.20.0.20


juniper adress tanımı 20.20.0.0 / 24


 

 
Gönderildi : 13/05/2010 13:04

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

VPN için yaptığınız kuralları ekran görüntüleri veya maddeler halinde sıralar mısınız? Hangi policyleri yazdınız?

 
Gönderildi : 13/05/2010 13:31

(@ResatDOKUK)
Gönderiler: 46
Trusted Member
Konu başlatıcı
 

vpn için sadece bir policies tanımladım oda untrustan - trusta top on en başta


source dialup vpn


destanation adress adress book entry isatetli ve any seçili services any


action tunel, l2tp = benım ekledığım tunel işaretli

 
Gönderildi : 13/05/2010 13:55

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

VPN ile gelenler için hazırladığınız network'ten trust'a allow olan bir rule yazıp denediniz mi?

 
Gönderildi : 13/05/2010 14:51

(@ResatDOKUK)
Gönderiler: 46
Trusted Member
Konu başlatıcı
 

policies tenmi  bahsediyorsunuz nasıl olmalı acıklarmınınız anlayamadım

 
Gönderildi : 13/05/2010 15:05

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Bir zone yaratın ve onu bir interface' e bağlayın, network' ü de clientlar için verdiğiniz IP bloğu olsun. Sonra Policies' e geçip vpnzone-to-trust kuralını allow olarak seçin servisler ANY olabilir. Bu şekilde deneyin.

 
Gönderildi : 13/05/2010 16:36

(@ResatDOKUK)
Gönderiler: 46
Trusted Member
Konu başlatıcı
 

hocam çok özür dilerim firewalda zone ve interface hiç tanımlamadım, burda bir takım kavramlar var zonede turst-vr gibi bana biraz acıklayıcı yazabilirmisiniz vpn için nasıl bir zone oluşturmalıyım ne secmeliyin, zonu interfacede nasıl ve neye göre bağlamalıyım. benım denemelerımde, policies yazarken l2-l3 yarzı bı takım hatalarlar verdı sanırım ben beceremedim.

 
Gönderildi : 15/05/2010 14:26

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Siz sonuçta dışarıdan firewalla kadar geldiniz, yani L2TP bağlantısını geçiyorsunuz diye anlıyorum. Sadece VPN bağlantısından sonraki kısma geçecek olursak, Firewalla kadar geldiğinizde başka bir IP bloğuna geçiyorsunuz. Örneğin normalde trust olarak adlandırılan sizin gerçekte internal networkünüzün yanında, vpn ile bağlanan kullanıcıların da aynı trust gibi bir zonea sahip olması gerekiyor. Zones' a tıkladığınızda kendi internal networkünüzün IP bloğunu görürsünüz. Yani nasıl ki her zone'a ait bir network ID' si var, VPN clientlar için de yeni birer zone tanımlayıp kural yazmalısınız ki içeri ile gelenler normal network ile görüşsün. Mevcut internalın adı trust. Siz VPNClient adlı bir zone yaratın. Daha sonra bu zone için Interface' lere geçip bir IP bloğu belirlemelisin, ve bu IP bloğu da gelenlere verdiğin IP havuzu olmalı. Genel mantık bu. Sanırım kavram tarafında sıkıntılısınız biraz. Juniper sitesinde makale araştırmanız, biraz oradaki kaynakları okumanızı öneririm. Tabi bir de konfigürasyon yapmadan önce mutlaka cihazın konf. yedeğini alın.

 
Gönderildi : 15/05/2010 16:12

(@ResatDOKUK)
Gönderiler: 46
Trusted Member
Konu başlatıcı
 

Alper teşekkürler açıklayıcı yazmışsın ama ben deniyorm sanırım yapamıyorm yaptıklarım sırasıyla su;


dediğin gibi bir zone tanımladım zone trust2 dedim L3 dedim trust-vr yi seçtim ve ekledim.


akabinde interface e girdim sağ üstte new in yanında vlan seceneği var onu sectım ve vlan1 diyerek bir vlan oluşturdum ordadakı ip yazan yere 20.20.0.0 /24 yazdım bundan cok emin değilim. buraya kadar yanlışım varmı bılmıyorum sonra, police girerek bir police yarattım dedimki untrustan - trust2 e sourge dialup -vpn sectim destination ise, address icinde tanımladığım bloğu, 20.20.0.0 /24 olan adı vlan_vpn olan bloğu sectım alt secenkete actionda tunel ve sonra l2tp dede tanımladığım l2tp tanımı,


boyle yaptığımda vpn bağlanıyor ama ben ne netvorke nede nete cıkabılıyorum, ben uzaktaki networlum ile sanırım vpn netwokumu konusturamıyorum.


benım local interfacesım


ethernet0/0 - 10.10.1.2/21 Trust Layer3 Up - Edit


vpn de kullanmak ıstedığım ıse 20.20.0.0  bunları nasıl bağlıcam bırbırlerıne çok uraşıyorum ama malesefef beceremıyorum... 🙁

 
Gönderildi : 16/05/2010 02:11

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Bu şekilde sağlıklı ilerleyemiyoruz aslında. Sizden ricam aşağıdaki dökümanları incelemeniz ve işlem yapmadan önce conf. yedeği almanız. Diğer Juniper üstadları direkt biliyorlarsa söyleyeceklerdir.


http://www.juniper.net/us/en/products-services/security/ssg-series/ssg520m/#modules

 
Gönderildi : 17/05/2010 14:25

(@ResatDOKUK)
Gönderiler: 46
Trusted Member
Konu başlatıcı
 

Alper hocam sorunu halletim.


herhangi bir zone tanımlaya gerek olmadan çözdüm, juniper arkasındaki trust zone da kullanmak için bir ip polls yarattım, 10.1.3.40 - 100 arası dana sonra address içerisine 10.1.3.40 /24 şelkinde bir adres tanımladım, policies içerisinden ilk başta untrustan trusta source dial up vpn - vpn any services - any (uygulamaya göre değiştirilebilir.) sonra turs tan - untrusta yenı olusturdugun addess-  grup - grup adındaki ip blogum sorunsuz şekilde vpn ile sunda ulaşabiliyorum, vaktim olduğunda düzgün bir şekilde yazıp, sizlere göndereceğim, sıkıntı yaşayanlaın işne yara diye düşünüyorum. teşekkürler saygılar.

 
Gönderildi : 21/05/2010 02:30

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Rica ederiz, kolay gelsin, juniperde sorun yaşayan illa ki oluyordur, ben de işlerine yarayacağını düşünüyorum.

 
Gönderildi : 21/05/2010 12:47

(@EmreBASTUG)
Gönderiler: 39
Eminent Member
 

Alper hocam sorunu halletim.

herhangi bir zone tanımlaya gerek olmadan çözdüm, juniper arkasındaki trust zone da kullanmak için bir ip polls yarattım, 10.1.3.40 - 100 arası dana sonra address içerisine 10.1.3.40 /24 şelkinde bir adres tanımladım, policies içerisinden ilk başta untrustan trusta source dial up vpn - vpn any services - any (uygulamaya göre değiştirilebilir.) sonra turs tan - untrusta yenı olusturdugun addess-  grup - grup adındaki ip blogum sorunsuz şekilde vpn ile sunda ulaşabiliyorum, vaktim olduğunda düzgün bir şekilde yazıp, sizlere göndereceğim, sıkıntı yaşayanlaın işne yara diye düşünüyorum. teşekkürler saygılar.

VPN userları için IP - POOL da içerideki DNS i kullandırdığımda hiçbir yerle haberleşemiyor.
örn. Google Dns i kullandırdığımda internete çıkıyor, dışarıyı pingliyor ama belirttiğim gibi içeri ile haberleşemiyorum
Sanki "dial-vpn to local" için bir restriction var. Ama çözemedim bir türlü. Yardımcı olur musunuz?

 Tunnel Status

L2TP Name Tunnel ID Peer Address Port Peer Host Calls State Info
L2TP_TUNNEL (56/24) 85.107.175.250 1701 pc 1 estblsh 80008038
Traffic log for policy :
ID Source Destination Service Action
294 Untrust/Dial-Up VPN Trust/Any ANY Tunnel

vpn ile bağlantı sonrası dış networklere erişiyorum ancak içeri ile haberleşemiyorum. Dışarıya gönderdiğim bir istek sonrası log aşağıdaki gibidir.

Date/Time Source Address/Port Destination Address/Port Translated Source Address/Port Translated Destination Address/Port Service Duration Bytes Sent Bytes Received Close Reason
2012-09-15 10:58:45 172.55.55.41:181 209.85.148.139:1 82.222.x.x:14423 209.85.148.139:1 ICMP 4 sec. 64 78 Close - RESP
 
Gönderildi : 15/09/2012 14:33

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Kuralın ekran görüntüsünü paylaşır mısın? 

 
Gönderildi : 17/09/2012 13:40

Paylaş: