Forum
Bildirimler
Hepsini Temizle
WatchGuard
11
Yazılar
3
Üyeler
0
Reactions
1,157
Görüntüleme
Konu başlatıcı
Selamlar;
SOrumu nasıl anlatacağımı bilemediğim için mevcut son yapımı çizmek istedim. Düne kadar sistemimde watchguard yoktu ve herşey ayarını yaptığım şekilde çalışmaktaydı. Cihazı almam ile birlikte yukarıdaki şekilde sistemime entegre ettim. Hala hazırda VLAN ID1 olarak görünen networküm internete sağlıklı bir şekilde çıkıyor. Watchguard üstünden de verdiğim yetkiler gayet güzel çalışıyor. Gelelim problemlerime;
1) VLAN ID1 haricindeki tüm VLAN'lar watchGuard üstünde yetki vermeme karşın takılıyor. Örnek trace çıktısı aşağıda;
En fazla 30 atlamanın üstünde
google.com [173.194.70.101]'ye izleme yolu :
1 1 ms 1 ms 1 ms 172.16.10.7
2 * * * İstek zaman aşımına uğradı.
---------------------------------------------------------------------------------
çalışan networkün trace çıktısı;
En fazla 30 atlamanın üstünde
google.com [173.194.70.101]'ye izleme yolu :
1 1 ms 1 ms 1 ms 172.16.1.7
2 <1 ms <1 ms <1 ms 172.16.1.3
3 <1 ms <1 ms 1 ms 192.168.1.1
4 3 ms 12 ms 9 ms 195.175.73.233.static.turktelekom.com.tr
2) MetroEthernet olduğu için mecburen sonlandırmayı juniper üstünde yapıyorum. Bu yüzden juniperı tamamen iptal şansım yok. Dışarıdan gelen bağlantılarda UnTrust -> Trust yönlendirmesi yaptığımda içerideki cihaza ulaşamıyorum.(VLAN ID1)
Sorular;
1) 1. problem için WatchGuard üstünde 172.16.x.x -> Any-External -> Any Port - Allow yetkisi vermeme karşın cihaz internete çıkmıyor. Bu problemi gidermek için watchguard üstüne daha nasıl bir ayar yapmama gerekli? default vlan internete çıkarken diğerlei neden çıkamıyor?
2) Dışarıdan bağlanmak istediğimde içerideki pcye ulaşamıyorum. Gene aynı şekilde Any-External -> 172.16.1.x -> port -> Allow dememe karşın sonuç 0. pcnin gw ni watchguard hiç yokmuş gibi 1.1 e yönlendirirsem (ister direk ister backbone üstünden) bağlantı çalışıyor. Yani takılma watchguard kısmında. Bu işlem için başka nasıl bir ayar yapmam gerekli?
resmen kafam durdu. yardımlarınızı bekliyorum
Gönderildi : 19/12/2012 17:23
Traffic Monitor altındaki logları incelemişsinizdir sanırım. Paylaşırsanız daha çabuk ve doğru cevap verilebileceğini düşünüyorum
Gönderildi : 20/12/2012 16:57
Merhaba,
Birinci soru için Hakan Bey'in bahsettiği gibi Traffic Monitor'e düşen loglara bakmak gerekir. Hangi interface den girip hangisinden çıkıyor vs.
İkinci sorun ise benim anladığım kadarıyla NAT işlemi WatchGuard üzerinde doğru uygulanmıyor. Eğer 1-1 NAT yaptıysanız to kısmında dış IP adresini vermeniz gerekiyor, değilse From'da Any-External To'da ise DIŞ_IP -> 172.16.x.x şeklinde NAT işlemi yapılmalıdır.
Bu arada yapınızın karmaşık olduğunu söylemeye gerek yok sanırım 🙂 MetroEthernet hattınızı WatchGuard üzerinde gerekli VLAN ayarlarını yaparak sonlandırabilirsiniz.
Selamlar.
Gönderildi : 20/12/2012 17:13
Konu başlatıcı
SORU 1 için) PC IP YAPILANDIRMASI (VLAN ID10)
IP Adres. . . . . . . . . . . . . : 172.16.10.50
Alt Ağ Maskesi. . . . . . . . : 255.255.255.0
Varsayılan Ağ Geçidi. . . . : 172.16.10.7
DNS Sunucusu. . . . .. . . . : 172.16.1.19 / 195.175.39.40
PC TRACE ÇIKTISI
C:\Documents and Settings\Administrator>tracert google.com
En fazla 30 atlamanın üstünde
google.com [173.194.70.139]'ye izleme yolu :
1 2 ms 1 ms 1 ms 172.16.10.7
2 * * * İstek zaman aşımına uğradı.
WatchGuard Trafik Monitore o an attığı LOG
| 2012-12-21 11:32:27 Allow 172.16.10.50 173.194.70.139 icmp 1-Trusted 0-External Allowed 92 1 (172.16.10.x network-00) proc_id="firewall" rc="100" src_ip_nat="192.168.1.2" | Traffic |
| 2012-12-21 11:32:31 Allow 172.16.10.50 173.194.70.139 icmp 1-Trusted 0-External Allowed 92 1 (172.16.10.x network-00) proc_id="firewall" rc="100" src_ip_nat="192.168.1.2" | Traffic |
Bu vlandaki pc internete çıkmıyor. ancak default vlandaki örneğin benim pc aynen internete çıkıyor. internete çıkan pc trace çıktısı
En fazla 30 atlamanın üstünde
google.com [173.194.70.102]'ye izleme yolu :
1 1 ms 1 ms 1 ms 172.16.1.7
2 <1 ms <1 ms <1 ms 172.16.1.3
3 <1 ms 1 ms 1 ms 192.168.1.1
4 2 ms 2 ms 1 ms 195.175.73.233.static.tur
5.73.233]
SORU 2 için) yaptığım işlemler aşağıdaki gibi
not: backbone üstünden GW i 172.16.1.1 yaparsam yani hiç watchguard yok dersem sistem çalışıyor. anlayacağınız juniper trust bölgedeki tüm ipleri geçirirken watchguard geçirmiyor
not 2 : metro hattımı watchguard üstünde sonlandıramıyorum çünkü xtm5 serisinde spfs cibig modülü mevcut değil
not 3: yapı aslında gayet basit watchguardı görmezseniz
internet <-> juniper <-> backbone <-> pc şeklinde sistemim zaten çalışıyordu. şimdi ise tek fark
internet <-> juniper <-> watchguard <-> backbone <-> pc olması burada ince nöans benim için backbone ile juniper bağlantısını iptal etmeyip backbone gw ini değiştirerek UTM kullanma yada kullanmamayı seçebilmem
Gönderildi : 21/12/2012 14:44
Merhaba,
Gördüğüm kadarıyla buradaki hata interfacelerinizin VLAN olarak tanımlı olmayışıdır. Yani siz bir interface'e VLAN tagları ile çalışmadığını söylerseniz ki sizin senaryonuda bu şekilde, gelen paketlerdeki VLAN ID'leri tanımayacak dolayısıyla trafik akmayacaktır.
Bunun haricinde Dynamic NAT kısmındaki tanımları kaldırmanıza gerek yok bence.
Son olarak sorun bunlardan kaynaklanmıyorsa 172.16.10.0/24 bloğu için 192.168.1.1 adresine route yazmanız gerekecektir.
Selamlar.
Gönderildi : 21/12/2012 16:07
Konu başlatıcı
selamlar; VLAN problemimi sonunda halletim. Problem sizinde dediğiniz gibi route kısmındaymış. Ben dikkatsizlik sonucu network route yerine host route girmişim. Tabi dolayısıyla route yapamadığında vlanlar çözmüyormuş. şimdi tüm vlanlarımı internete çıkarabildim.
ikinci problemim için hala uğraşıyorum dışarıdan yönlendirmeler için
internet -> 172.16.1.1 (juniper) -> VIP 172.16.1.26:3003 (pc) -> 172.16.1.7 (pc gw) -> 172.16.1.3 (watchguard)
döngüsünde pc nin GW 'ini ya da GW 'in route unu 1.1 (juniper) yaparsam dışarıdan bağlanabiliyorum. fakar yukarıdaki döngüden iken bağlantı sağlayamıyorum. kesin watchguard tarafında birşeyler gözümden kaçıyor ya da eksik yapıyorum
pclerin 3003 portundan çıkması için any-trusted -> any-ext -> tcp:3003 kuralım var çalışıyor.
dışarından içeriye de tüm alternatifleri yazdım sonuç gene aynı. sizce neyi yanlış yapıyorum? ya da atlıyorum?
Gönderildi : 22/12/2012 13:02
Yakup Bey merhaba,
WatchGuard'ın buradaki son nokta olması sanıyorum ki farazi bir tanım. Çünkü normalde şöyle olmalı :
internet -> 192.168.1.1 (juniper) -> VIP 192.168.1.2:3003 (watchguard) (EXTERNAL IF) ->172.16.1.26:3389 ( INTERNAL IF'nin Clienti ) ->172.16.1.3 (WG IP adresi ) (pc gw)
Yani, Internetten Juniper'a gelecek olan 3003 portu WatchGuard'a NAT edilecek ki VIP ile bunu yapıyoruz, WatchGuard'da kendisine gelen 3003 nolu paketi 3389'a statik olarak NAT edecek. Tabii bu durumda PC'nin gateway adresinin mutlaka WatchGuard olması gerekiyor. Aşağıdaki makaleyi incelemenizi öneririm, tam olarak sizin istediğinizi tarif ediyor.
http://www.cozumpark.com/blogs/gvenlik/archive/2011/02/12/watchguard-utm-zerinde-statik-nat.aspx
Umarım işe yarar çünkü aksi takdirde cihaza ve loglara bakmak gerekecektir.
Selamlar
Gönderildi : 24/12/2012 14:08
Konu başlatıcı
Tekrardan selamlar;
Söylediğiniz makaleyi daha önce okumuştum. Zaten ayarlarım da ona uygun. Problemimin NAT ta olduğunu sanmıyorum. Sizin yazdığınız yönlendirmeyi tekrardan okurken farkettim ki problemim aslında juniper kısmında düzgün VIP yapamamak.
Juniper'da
ZONE:
POLICY:
Kuralıyla pclerim / networküm watchguard üstünden gelerek internete çıkıyor. Sıkıntı yok.
Dışarıdan içeri gelmelerde ise;
POLICY:
şeklinde policy tanımım ve
VIP:
tanımım mevcut. Gördüğünüz gibi dışarıdan içeriye gelen 3003 portunu 192.168.1.2 (WatchGuard EXT) a yönlendirdiğim zaman status DOWN da kalıyor yani yönlenme olmuyor. 192.168.1.2 / WatchGuard a ulaşmak için cihaz üstünde
ayarlarım da mevcut ama sonuç gene aynı. Juniper bilginizde varsa yardımcı olursanız sevinirim yüzdüm yüzdüm kuyruğuna geldim. Sizce problem juniper VIP yönlendirmesinde juniper kanadında mı yoksa dış bacağından geleni kabul etmeyen watchguard tarafında mı? bence juniper ama daha ne yapmam lazım jeton düşmedi.
Gönderildi : 26/12/2012 13:27
Merhaba Yakup Bey,
Juniper'dan bu kadar profesyonel anlamda anladığımı söyleyemem. Ama aradığımda şöyle bir çözüm ile karşılaştım. Belki sizin tarafta da çözüm olabilir. Kontrol etmekte fayda var.
http://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/VIP-Status-Is-Down/td-p/10798
Selamlar.
Gönderildi : 26/12/2012 14:42
Konu başlatıcı
Erdal Bey çok teşekkür ederim problemi verdiğiniz link yardımıyla halletim. Şuan için hiç bir problemim kalmadı. Juniper watchguard iletişimleri güzel bir şekilde çalışıyor.
Konuyu arayan arkadaşlara yardımcı olması bakımından son yaptığım işlemi yazayım
"could you pleas uncheck Server Auto Detection on the untrust interface
Network > Interfaces > Edit > VIP/VIP Services"
Gönderildi : 27/12/2012 15:06
Merhaba Yakup Bey,
Sorununuzun çözümüne çok sevindiğim gibi, geri dönüş yaparak aynı sorundan müzdarip olabilecek arkadaşlara da bilgi verdiğiniz için teşekkür ederim.
Selamlar.
Gönderildi : 27/12/2012 18:44
