Forum

SSG-140 da site2sit...
 
Bildirimler
Hepsini Temizle

SSG-140 da site2site vpn oluştururken multiple subnet tanımlama.

13 Yazılar
2 Üyeler
0 Reactions
611 Görüntüleme
(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

"Juniper Güvenlik çözümleri" bölümünde cevap gelmeyince buraya açtım, kusura bakmayın. Birde dizayn değişti, soru farklı!!!!!

Arkadaşlar, SSG-140 da site2site vpn oluştururken karşı tarafın subnetlerini girmek durumundayız. Karşı tarafın iki adet subnet'i var. Birini vpn wizard dan otomatik olarak gitdim. Diğeri için ayrı bir ipsec tunnel tanımlamam gerekiyor. İkincisini nerden tanımlayacağım.

10.30.55.65 /24 'ü wizard ile tanımladım. 192.168.55.0 /24 'ü aynı tunnel'e nasıl tanımlayacağım.

 Yardımlarınızı bekliyorum.

 
Gönderildi : 04/06/2012 22:10

(@seyitozgur)
Gönderiler: 219
Estimable Member
 

Eski firmware'lerde bu özellik biraz kısıtlıydı fakat yeni firmware'de

 

VPNs > AutoKey IKE > Proxy ID kısmından VPN arkasındaki Subnetleri tanımlaman mümkün..

 

 
Gönderildi : 05/06/2012 17:53

(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

Seyit hocam, hızır gibi yetiştin. Yukarıdaki bölümden sadece bir tane subnet girebiliyorum. Karşı tarafla "Route-based VPN" yaptım. Route-based yapınca ikinci subnet için ikinci bir ipsec tunnel yapmak gerekiyormuş. Bu vpn'i wizard'ı kullanarak yaptım ve tunnel 3 ile bind durumda. İkinci ipsec tunnel'i nasıl yapacağım? 

Wizard'ı kullanıp herşeyi aynı yapıp ikinci subnet'i girip sonladırsam tunnel 4 olarak kurulsa; ikisi beraber çalışırmı???

Resim aşağıda.

Resim

 
Gönderildi : 05/06/2012 18:25

(@seyitozgur)
Gönderiler: 219
Estimable Member
 

ikinci bir tunnelde açabilirsin fakat açmanın gereği yok.. Route base VPN yapıyorsun..

Network > Routing > Routing Entries

kısmında karşı subnete doğru bir destination route yazabilirsin. Ayrıca destination route'dan sonra Policy tabindan bir adet policy yazman gerekiyor.

 10.30.55.65 /24 tunnel.1

192.168.55.0 /24 tunnel.1

 

 Aynı tünel içerisine istediğin kadar subnet alıp karşı tarafa route edebilirsin.. 

 
Gönderildi : 05/06/2012 18:32

(@seyitozgur)
Gönderiler: 219
Estimable Member
 

 
Gönderildi : 05/06/2012 18:37

(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

Seyit bey, aynen yukarıdaki gibi yaptım, erişemiyorum. karşı tarafla görüşüp check edeceğim.

 
Gönderildi : 05/06/2012 19:01

(@seyitozgur)
Gönderiler: 219
Estimable Member
 

1 adet rule eklemen gerekiyor.. Eklediğin rule'da trafiğin senden çıktığını görüyorsan karşı taraflada görüşebilirsin.

 

 
Gönderildi : 05/06/2012 19:06

(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

Seyit bey, yukarıda "resim aşağıda"  deyip eklediğim bir resim var. orada "proxy ID" checklenmiş ve karşı taraf ve benim ip'im girilmiş durumda. proxy ID işaretlendiği zaman vpn "roure-based vpn" den "policy-based vpn" 'e dönüşüyormuş doğrumudur? Eğer policy-based'e dönüşüyorsa subnet'i başka türlümü eklemeliyim. Karşı taraf bana bu şekilde dönüş yaptı. haklılık  payı varmıdır. trace aldığımda trafik internete doğru değilde firewall da tıkanıyor yani tunnel'e zorluyor. Karşı taraf ise paket görmediğini söylüyor bende ping' cevap alamıyorum. Diğer subnet'e gidiyorum sorun yok.

İkinci subnet için yukarıda belirttiğiniz gibi tanımları yaptım, hem routing hemde policy bölümü tamam. Eğer bu taraf mantık olarak tamamsa karşı tarafa dönüş yapacağım.

 
Gönderildi : 05/06/2012 19:23

(@seyitozgur)
Gönderiler: 219
Estimable Member
 

1.Destination route'lara girip, 2. Rule olarak set etmiş isen tunnel ayakta ise trafiği karşıya route edecektir. Destination route yazdığında Proxy-ID yazmana gerek kalmayacak.

  

 
Gönderildi : 05/06/2012 20:17

(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

resim

Seyit bey, proxy-ID'yı kaldırınca ve sadece ekte görüdüğünüz routingler kaldığında erişim kesiliyor. Zaten bu vpn zor oturmuştu. Proxy-ID'yi işaretleyip subnet'i girince düzelmişti. Bildiğiniz üzere Vpn-wizard dan vpn kurunca ilgili subnet için routing otomatik olarak oluşuyor. Ben şimdi ikinci subnet olarak routing ve policy girdim. Karşı taraf paket'in gelmediğini söyledi. Benim aklıma takılan bir soru var.

Q- proxy-ID'yi işaretleyince vpn "route-based" den "policy-based'' emi dönüyor. Böyle birşey varmı? Eğer böyle birşey yoksa benim yaptığım tanımlar akla yatkın. Sorun karşı tarafta demektir. 

Zaten karşı tarafın network'ü biraz karışık, sorun orda olabilir. Karşı tarafa şunu söylemek istiyorum. Proxy-ID'yi seçince policy-based olmuyor, bu şekilde çalışması lazım demek istiyorum. Eğer policy-based'e dönüyorsa o zaman nerden girerim diye düşünüyorum ama aklıma "route destination" ve "policy" den başka yer gelmiyor.

Yardımlarınız için şimdiden çok teşekkürler.

 

 

 
Gönderildi : 05/06/2012 20:46

(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

Multiple subnet için screen OS'u 6.3'e upgrade etmem gerekiyor. Benim sürüm 5.4.


http://kb.juniper.net/InfoCenter/index?page=content&id=KB16008&actp=RSS


Tersten gösterip multiple proxy-ID girebilirmiyim acaba? Bir yöntemi varmıdır.

 
Gönderildi : 08/06/2012 19:47

(@seyitozgur)
Gönderiler: 219
Estimable Member
 

firmware'i upgrade etmen gerekecek..

 
Gönderildi : 08/06/2012 20:25

(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

Seyit bey, juniper'i bir ara version atarak en son versiyon'a upgrade ettik. 5.4.0rx den 5.4.0r15'e daha sonra 6.3.0.r10'a upgrade ettik.


Yine multiple network için vpn kuramadık.



Cihazın default’unda policy checking ike’nin açık olması gerekiyormuş ama bizde açık değilmiş.


SSG140-> set ike policy-checking // komutunun çalıştırımasıyla sorun çözüldü.

 
Gönderildi : 25/06/2012 13:58

Paylaş: