[Çözüldü] Merkezden şubeye internet ve domain erişimi

IPSEc vpn i natlarsınız. Tüm trafiği bu tünelden geçir diye bir seçenek var. Dhcp için de rlay tanımlarsınız. DHCP ayarlarına girdiğinizde görebilirsiniz. Relay için merkezdeki opense i tanımlamanız gerekir. Merkez opnsense için CARP öneririm bu durumda.

@GuneyYETKiN iki lokasyon arasında fiber var yalnız hocam

Yapınızı çizmeden yada detaylı anlatmadan anlaşılmıyor fiber var ama ne tür bir bağlantı.

Ortamda vlan olduğu ve bunu route eden önemli olduğu için buna bağımlı olursunuz. Bir L2 sw üzerine vlan'ları kaydırırsanız olabilir.
Muhtemelen eksik anlıyorum bunun için şubeye fw koymaya zaten gerek yok, şube bir fw bacağı ile buluşturulduğunda kurallar ile istek karşılanabiliyor olmalı. 

Şubeyi ayrı bir yapı olarak düşünün İbrahim hocam. Merkezden şubeye fiber gidiyor mesafe 2 3 km. Şubenin tüm vlanları vs. Kendi firewallu üstünde koşturacak şubede şu an için internet yok merkezdeki opnsenseden İnternete çıkacak.

Benden daha uzman arkadaşlar daha iyi yorumlar bence bu karmaşıklık ve sorundan başka bir şeye yaramaz. Şube de fw'a bence gerek yok lan da ardıl fw'lar olmaz. Diğer tüm isterler merkez üstünden config edilebilir. 
İlla ben şubeyi bağımsız yönetmek istiyorum ama konuşturmak istiyorum deniyorsa merkez fw önünde altyapı omurgaya mevcutta yoksa da router konumlandırılır bir porttan daha şubeye verilir. Fw'lar da iç bacaklarından bir biriyle konuşur.
"Bunu da direk merkez opnsensten değilde trunk olarak bağlı olan merkez omurgadan almak istiyorum."
bu dediğinizde zaten ona karşılık geliyor sadece fw lan bacağından değil router dan alacaksınız. 

Benim de düşüncem şubeye de bir fw koymanın gereksiz oldugu yönünde ama benden istenen bu. Router merkez fw'ye mi koymalıyız yoksa merkez omurganın önüne mi ve nedeni nedir?

Fikir olarak kafamdaki yapı şu oldu ;

Merkez fw'de İnternete ve dclere erişecek kurallara sahip bir vlan tanımlayıp bu vlani trunk porttan merkez omurgaya taglayip bu omurgadan da şube opnsensin wan bacağına girmek. Bu noktada merkez omurgadan şube fw'ye bu vlanı geçirirken şube fw'nin wan bacağına op subnet ve gateway'i nasıl tanımlayacağım? 

Açıkçası uzatmamak için robotu kullanıyorum siz de düşüncelerinizi gpt vs sorgularsanız daha iyi sonuç alırsınız.
Şuana kadar konuşulanlar ve benden istenen bu dediğiniz şeyin önemli olan yorumu, fw'larda ne yapmayı hedeflediğinizi bilmiyoruz o yüzden başa dönmeniz de mümkün, uygulanabilirlikte.

Bu senaryoda, şubeye firewall koymak yerine merkezi bir yapı üzerinden yönetim yapmak mantıklı bir seçenek olabilir. Ancak şubeye firewall koymanız gerekiyorsa ve mevcut bağlantılar trunk ve VLAN üzerinden sağlanacaksa, tasarımı aşağıdaki şekilde yapılandırabilirsiniz:

1. Router'ın Konumlandırılması:

   • Router'ı Merkez Firewall’a Koymak: Router fonksiyonlarını merkezdeki OPNsense üzerinde tutmak en sade çözümdür. Bu durumda merkezdeki OPNsense hem NAT işlemlerini yapar hem de internet çıkışı ve DC erişimi sağlar. Bu yapı, merkezde güvenlik ve kontrolün merkezileşmesini sağlar. Trunk bağlantılar ile şubedeki VLAN'lar merkeze taşınır.
   • Router'ı Merkez Omurganın Önüne Koymak: Eğer router'ı omurganın önüne koyarsanız, şube ile merkez arasındaki yönlendirme görevini router devralır. Bu durumda omurga switch'in üzerinden daha fazla trafik yönetimi yapılır. Ancak bu ek bir karmaşıklık getirebilir. Omurga seviyesinde genellikle L2 işlemler yapılır, routing işlemlerini firewall üzerinden yapmak daha düzenli bir yapı sağlar.

2. Kafanızdaki Yapı:

   • Merkez Firewall Üzerinde VLAN Tanımlama: Merkezdeki OPNsense üzerinde internet ve DC'ye erişim için kurallar belirlenmiş bir VLAN tanımlamak doğru bir adımdır.
   • Trunk Bağlantı: Bu VLAN'ı trunk port üzerinden merkez omurgaya tag'leyip şubeye taşıyabilirsiniz. Bu trunk üzerinde hem internet erişimini hem de DC erişimini taşıyabilirsiniz.

3. Şube OPNsense WAN Bacağı Yapılandırması:

   • WAN IP ve Subnet Ayarı: Şube OPNsense’in WAN bacağına merkezde tanımlanan VLAN’ın subnet'inden bir IP atamalısınız. Örneğin, merkez VLAN'ı 10.0.0.0/24 ise, şubedeki OPNsense WAN bacağı 10.0.0.x şeklinde bir IP almalı.
   • Gateway Ayarı: Şube OPNsense’in gateway’i, merkez OPNsense’in VLAN gateway adresi olmalı. Bu genellikle merkezdeki OPNsense'in o VLAN'daki IP adresidir (örneğin 10.0.0.1).

4. Sonuç:

   • Bu yapı, şubedeki OPNsense’i WAN bacağı üzerinden merkezdeki OPNsense’e bağlar ve şubeye internet ve DC erişimini sağlar.
   • VLAN'ların merkezde yönetilmesi ve şubede DHCP, güvenlik vb. işlevlerin şube OPNsense’de sağlanması, merkezi yapı üzerinden bağımsız yönetim avantajı sağlar.

Bu yapıda router fonksiyonunu merkezde tutmanız, karmaşıklığı azaltır ve tüm trafik yönetimini merkezde odaklarsınız.

****************************

firewall'lar birbirini ardıl (back-to-back) olacak şekilde yapılandırıldığında, doğru kurallar ve yapılandırmalar ile hem internet erişimini sağlayabilir hem de şubede detaylı kural yönetimi yapabilirsiniz. Ancak bu yapıda dikkat etmeniz gereken bazı kritik noktalar var:

1. Çift NAT Sorunu (Double NAT):

• Merkez OPNsense internet trafiğini NAT'ladığında ve şube OPNsense de bu NAT'lanmış trafiği alıp tekrar NAT yaparsa çift NAT (double NAT) sorunları yaşayabilirsiniz. Bu, özellikle bazı uygulamalarda (VPN, VoIP, oyun sunucuları, P2P vb.) performans ve bağlantı problemlerine yol açabilir.

Çözüm: Şube OPNsense üzerinde WAN bacağına gelen trafiği NAT'lamamak (bridge moduna yakın bir yapı) veya merkez OPNsense üzerinde şube için belirli kurallar tanımlayıp NAT yapılmayan trafiğin şubeye iletilmesini sağlamak.

2. Firewall'ların Ardıl Trafik Yönetimi:

• İki OPNsense arasında ardıl trafik yönetimi yapabilirsiniz. Yani merkezdeki OPNsense üzerinde genel güvenlik ve internet erişim kurallarını tanımlarken, şubedeki OPNsense üzerinde daha detaylı kural ve filtrelemeler yapabilirsiniz.

• Merkezdeki OPNsense: Merkezdeki OPNsense üzerinde internet trafiğini yönlendiren genel kuralları ve şubeye erişim kurallarını tanımlayın. Şubeden gelen trafiği internet veya DC'ye yönlendirmek için gerekli route'ları ekleyin.

• Şubedeki OPNsense: Şubede kullanıcı ve cihaz bazlı daha detaylı güvenlik duvarı kuralları ekleyebilirsiniz. Bu, trafiği uygulamalara, IP adreslerine veya portlara göre kısıtlama veya izin verme imkanı sağlar.

3. Firewall'lar Arası Routing:

• Merkezdeki OPNsense, şube OPNsense’den gelen WAN trafiğini uygun şekilde route eder ve şubeye internet veya DC erişimini sağlar.
• Şubedeki OPNsense ise kendi VLAN'larına interneti ve DC erişimini dağıtır. Bu, güvenlik duvarı kurallarına bağlı olarak istenen VLAN'lara internet erişimi sağlayabilir veya engelleyebilir.

4. Güvenlik Duvarı Kuralları:

• Her iki firewall’da da doğru güvenlik kurallarını yazmanız önemli. Merkez firewall’da şubeden gelen trafiği sadece gerekli olduğu kadar izin verebilir, şubede ise detaylı kurallar ile daha ince yönetim yapabilirsiniz.
• Örneğin, şube VLAN'larından bazılarına internet erişimini kısıtlayabilir veya belirli protokollerle sınırlayabilirsiniz. Aynı zamanda belirli kullanıcı gruplarına özel politikalar da yazabilirsiniz.

5. Performance Impact:

• Trafik iki firewall üzerinden geçtiği için, her iki cihazın da performansını göz önünde bulundurmalısınız. Her iki OPNsense’in de yeterli işlem gücüne ve kaynaklara sahip olduğundan emin olmalısınız. Çift firewall trafiği daha karmaşık hale getirebilir, ancak doğru yapılandırma ile bu sorun olmayacaktır.

Sonuç:

Eğer doğru şekilde yapılandırılırsa, ardıl firewall yapısında internet erişiminde sorun yaşamazsınız ve şubede detaylı güvenlik politikaları uygulayabilirsiniz. Çift NAT ve firewall performansına dikkat ederek yapılandırmaları yaparsanız, bu senaryo sorunsuz çalışacaktır.

****************************

Ayrıca ben illa yapacağım diyorsanız mesela opens. de merkez transparent nat yapılması zorunlu olmadan yapılabilir mi, sizin fw kullanım biçiminize uygun mu araştırmanız gerekir. Mesela pfsense de transparent olmadan nat to nat olmaz bir sürü trafik problemi çıkar, bir sürü service trafik hataları çıkabilir araştırıp, denemeden yanıtlayamam mesela trafic shaping yapamazsınız. 
Ayrıca bütün fw'larda vlan routing aynı mod ve katmanlarda yapılmıyor işte o yüzden aynı networkte ardıl 2 fw [dmz üzerinden rol bazlı ayrılmadıkça] olumlu karşılanmaz, lüzumsuz görülür ve araştırmaya, kurum isterlerinin analizine tabidir.

 
https://www.cozumpark.com/community/fortigate-13/81776/

""

Kafanızdaki Yapı:

Merkez Firewall Üzerinde VLAN Tanımlama: Merkezdeki OPNsense üzerinde internet ve DC'ye erişim için kurallar belirlenmiş bir VLAN tanımlamak doğru bir adımdır.

Trunk Bağlantı: Bu VLAN'ı trunk port üzerinden merkez omurgaya tag'leyip şubeye taşıyabilirsiniz. Bu trunk üzerinde hem internet erişimini hem de DC erişimini taşıyabilirsiniz.

Şube OPNsense WAN Bacağı Yapılandırması:

WAN IP ve Subnet Ayarı: Şube OPNsense’in WAN bacağına merkezde tanımlanan VLAN’ın subnet'inden bir IP atamalısınız. Örneğin, merkez VLAN'ı 10.0.0.0/24 ise, şubedeki OPNsense WAN bacağı 10.0.0.x şeklinde bir IP almalı.

Gateway Ayarı: Şube OPNsense’in gateway’i, merkez OPNsense’in VLAN gateway adresi olmalı. Bu genellikle merkezdeki OPNsense'in o VLAN'daki IP adresidir (örneğin 10.0.0.1).

""

@ibrahimyildiz o zaman bu yapıda bir routera gerek yok doğru mu ?

Özetle merkez opnsense de ilgili kurallara sahip bir vlan omurga üstünden Şube opnsense götürüp burda da aynı vlani açıp wan bacağına o vlandan op verip gw'de merkezdeki ip'yi vermek.

Doğru mudur hocam?

Evet yok,
Evet doğru,

ancak ben sorunsuz çalışacağından emin değilim.