Forum
Arkadaşlar forumdaki l2tp makalesını inceleyerek juniper üzerinde gerekli ayarları yaptım. fakat policide untrusttan - trusta polici destination kısıma makaledeli gibi vpn-lan şeklinde bir adress oluşturduğumda uzaktan vp bağlanıyor fakat nenworkume erisemıyorum, policide destinationu any yaptığımda networke erişiyorum , internete çıkamıyorum, remotedeki vpn ayarında tcp ip özelliklerinde - gelişmişteki karşının uzak ağın geçitini kullan, işareti kaldırdığımda nete çıkıyorum buseferde locale ulaşamıyorum, içinden çıkılmaz bır buhran içindeyım anlayamadım çözemedim yardım rica ediyorum. bilgiler sunlardır
local network ip blogum. 10.10.1.1 - 10.10.7.255 - 255.255.248.0 dhcp yok elle ip leri verıyoruz.
firewall gateway 10.10.1.2
juniper ip poolls = 20.20.0.10 - 20.20.0.20
juniper adress tanımı 20.20.0.0 / 24
VPN için yaptığınız kuralları ekran görüntüleri veya maddeler halinde sıralar mısınız? Hangi policyleri yazdınız?
vpn için sadece bir policies tanımladım oda untrustan - trusta top on en başta
source dialup vpn
destanation adress adress book entry isatetli ve any seçili services any
action tunel, l2tp = benım ekledığım tunel işaretli
VPN ile gelenler için hazırladığınız network'ten trust'a allow olan bir rule yazıp denediniz mi?
policies tenmi bahsediyorsunuz nasıl olmalı acıklarmınınız anlayamadım
Bir zone yaratın ve onu bir interface' e bağlayın, network' ü de clientlar için verdiğiniz IP bloğu olsun. Sonra Policies' e geçip vpnzone-to-trust kuralını allow olarak seçin servisler ANY olabilir. Bu şekilde deneyin.
hocam çok özür dilerim firewalda zone ve interface hiç tanımlamadım, burda bir takım kavramlar var zonede turst-vr gibi bana biraz acıklayıcı yazabilirmisiniz vpn için nasıl bir zone oluşturmalıyım ne secmeliyin, zonu interfacede nasıl ve neye göre bağlamalıyım. benım denemelerımde, policies yazarken l2-l3 yarzı bı takım hatalarlar verdı sanırım ben beceremedim.
Siz sonuçta dışarıdan firewalla kadar geldiniz, yani L2TP bağlantısını geçiyorsunuz diye anlıyorum. Sadece VPN bağlantısından sonraki kısma geçecek olursak, Firewalla kadar geldiğinizde başka bir IP bloğuna geçiyorsunuz. Örneğin normalde trust olarak adlandırılan sizin gerçekte internal networkünüzün yanında, vpn ile bağlanan kullanıcıların da aynı trust gibi bir zonea sahip olması gerekiyor. Zones' a tıkladığınızda kendi internal networkünüzün IP bloğunu görürsünüz. Yani nasıl ki her zone'a ait bir network ID' si var, VPN clientlar için de yeni birer zone tanımlayıp kural yazmalısınız ki içeri ile gelenler normal network ile görüşsün. Mevcut internalın adı trust. Siz VPNClient adlı bir zone yaratın. Daha sonra bu zone için Interface' lere geçip bir IP bloğu belirlemelisin, ve bu IP bloğu da gelenlere verdiğin IP havuzu olmalı. Genel mantık bu. Sanırım kavram tarafında sıkıntılısınız biraz. Juniper sitesinde makale araştırmanız, biraz oradaki kaynakları okumanızı öneririm. Tabi bir de konfigürasyon yapmadan önce mutlaka cihazın konf. yedeğini alın.
Alper teşekkürler açıklayıcı yazmışsın ama ben deniyorm sanırım yapamıyorm yaptıklarım sırasıyla su;
dediğin gibi bir zone tanımladım zone trust2 dedim L3 dedim trust-vr yi seçtim ve ekledim.
akabinde interface e girdim sağ üstte new in yanında vlan seceneği var onu sectım ve vlan1 diyerek bir vlan oluşturdum ordadakı ip yazan yere 20.20.0.0 /24 yazdım bundan cok emin değilim. buraya kadar yanlışım varmı bılmıyorum sonra, police girerek bir police yarattım dedimki untrustan - trust2 e sourge dialup -vpn sectim destination ise, address icinde tanımladığım bloğu, 20.20.0.0 /24 olan adı vlan_vpn olan bloğu sectım alt secenkete actionda tunel ve sonra l2tp dede tanımladığım l2tp tanımı,
boyle yaptığımda vpn bağlanıyor ama ben ne netvorke nede nete cıkabılıyorum, ben uzaktaki networlum ile sanırım vpn netwokumu konusturamıyorum.
benım local interfacesım
ethernet0/0 - 10.10.1.2/21 Trust Layer3 Up - Edit
vpn de kullanmak ıstedığım ıse 20.20.0.0 bunları nasıl bağlıcam bırbırlerıne çok uraşıyorum ama malesefef beceremıyorum... 🙁
Bu şekilde sağlıklı ilerleyemiyoruz aslında. Sizden ricam aşağıdaki dökümanları incelemeniz ve işlem yapmadan önce conf. yedeği almanız. Diğer Juniper üstadları direkt biliyorlarsa söyleyeceklerdir.
http://www.juniper.net/us/en/products-services/security/ssg-series/ssg520m/#modules
Alper hocam sorunu halletim.
herhangi bir zone tanımlaya gerek olmadan çözdüm, juniper arkasındaki trust zone da kullanmak için bir ip polls yarattım, 10.1.3.40 - 100 arası dana sonra address içerisine 10.1.3.40 /24 şelkinde bir adres tanımladım, policies içerisinden ilk başta untrustan trusta source dial up vpn - vpn any services - any (uygulamaya göre değiştirilebilir.) sonra turs tan - untrusta yenı olusturdugun addess- grup - grup adındaki ip blogum sorunsuz şekilde vpn ile sunda ulaşabiliyorum, vaktim olduğunda düzgün bir şekilde yazıp, sizlere göndereceğim, sıkıntı yaşayanlaın işne yara diye düşünüyorum. teşekkürler saygılar.
Rica ederiz, kolay gelsin, juniperde sorun yaşayan illa ki oluyordur, ben de işlerine yarayacağını düşünüyorum.
Alper hocam sorunu halletim.
herhangi bir zone tanımlaya gerek olmadan çözdüm, juniper arkasındaki trust zone da kullanmak için bir ip polls yarattım, 10.1.3.40 - 100 arası dana sonra address içerisine 10.1.3.40 /24 şelkinde bir adres tanımladım, policies içerisinden ilk başta untrustan trusta source dial up vpn - vpn any services - any (uygulamaya göre değiştirilebilir.) sonra turs tan - untrusta yenı olusturdugun addess- grup - grup adındaki ip blogum sorunsuz şekilde vpn ile sunda ulaşabiliyorum, vaktim olduğunda düzgün bir şekilde yazıp, sizlere göndereceğim, sıkıntı yaşayanlaın işne yara diye düşünüyorum. teşekkürler saygılar.
VPN userları için IP - POOL da içerideki DNS i kullandırdığımda hiçbir yerle haberleşemiyor.
örn. Google Dns i kullandırdığımda internete çıkıyor, dışarıyı pingliyor ama belirttiğim gibi içeri ile haberleşemiyorum
Sanki "dial-vpn to local" için bir restriction var. Ama çözemedim bir türlü. Yardımcı olur musunuz?
Tunnel Status
L2TP Name | Tunnel ID | Peer Address | Port | Peer Host | Calls | State | Info | ||
---|---|---|---|---|---|---|---|---|---|
L2TP_TUNNEL | (56/24) | 85.107.175.250 | 1701 | pc | 1 | estblsh | 80008038 |
Traffic log for policy : |
|
vpn ile bağlantı sonrası dış networklere erişiyorum ancak içeri ile haberleşemiyorum. Dışarıya gönderdiğim bir istek sonrası log aşağıdaki gibidir.
Date/Time | Source Address/Port | Destination Address/Port | Translated Source Address/Port | Translated Destination Address/Port | Service | Duration | Bytes Sent | Bytes Received | Close Reason |
---|---|---|---|---|---|---|---|---|---|
2012-09-15 10:58:45 | 172.55.55.41:181 | 209.85.148.139:1 | 82.222.x.x:14423 | 209.85.148.139:1 | ICMP | 4 sec. | 64 | 78 | Close - RESP |
Kuralın ekran görüntüsünü paylaşır mısın?