Fortigate ve Watchguard arasında IP_SEC VPN kurulumundan bahsedeceğim. Genellikle iki farklı marka Firewall arasında bağlantı kurmak zahmetli ve uğraştırıcı bir işlemdir. Bu nedenle başıma gelmiş olan bu bağlantı ürünü size anlatmak istedim. Yapımızda Datacenter ve Merkez adlı iki lokasyon bulunmaktadır. Merkez Lokasyonumuzda Fortigate 100D V4 MR3 Patch 14 bulunmaktadır. Datacenter Tarafında ise Watchguard XTM 515 Versiyon 11.9.5 bulunmaktadır. Basit bir şekilde açıklamak gerekirse;
Yukardaki şemada gördüğünüz gibi Wan bacakları arasında 192.168.1.0/24 İç Ip bloğu ile 192.168.0.0/24 bloğunu haberleştireceğim. Sözü fazla uzatmadan konuya geçmek istiyorum. İlk olarak Watchguard tarafını anlatacağım.
WATCHGUARD
Bu kısımda ilk olarak Phase 1 ayarlarımızı yapılandırmak için Branch Office Gateway kısmını açıyoruz.
Bu bölümde “ADD” butonunu tıklayarak devam ediyoruz.
Bu bölümümüzde aradaki bağlantı şifresini yazmamız gerekmektedir. Bu şifreyi kayıt edelim. Fortigate tarafında da lazım olacak. Şifremizi yazdıktan sonra “Add” diyerek devam ediyoruz.
Bu bölümde ise Watchguard WAN IP ve Fortigate WAN IP bloklarını yazıyoruz. “External Interface” bölümüne ise hangi WAN bacağından çıkacağımızı belirtmemiz gerekiyor. Ayarlarımızı girdikten sonra “OK” diyerek devam ediyoruz.
Görmüş olduğunuz gibi “Gateway Endpoints” kısmına ayarlarımız gelmiştir. Diğer ayarları yapılandırmak için “Phase 1 Setting” bölümünü açıyoruz.
Burada tüm ayarları yukarıda görmüş olduğunuz şekilde düzenledikten sonra Şifreleme türünü ayarlamak için “Add” diyerek devam ediyoruz.
Bu bölümde ayarlarımızı yukarıdaki şekilde yapmamız gerekmektedir. Bu şekilde ayarlarımızı tamamladıktan sonra artık Phase 2 tarafına geçebiliriz.
“Branch Office Tunnels” bölümünü açtıktan sonra karşımıza aşağıdaki gibi ekran gelmektedir.
Bu kısımda “Add” diyerek devam ediyoruz.
Yukarıda bulunan ayarlar kısman İsim belirledikten sonra “Gateway” bölümünde hangi WAN ı kullanacaksak onu seçiyoruz. Burada dikkat etmeniz gereken ise Alt kısımda bulunan bölümdür. Bu bölümün karşısına tik koyarsanız otomatik olarak sizin adınıza Policy’leri kendisi oluşturacaktır. Gerekli ayarları yapılandırdıktan sonra “Add” diyerek devam ediyoruz.
Burada iki cihaz arasındaki Local Network bilgilerini girmemiz gerekiyor. Local kısımda yazan Watchguard cihazımızın Local bacağıdır. Remote yazan kısımda ise Fortigate Local bacağının IP adresini yazıp “OK” diyerek devam ediyoruz.
Gördüğünüz gibi ayalar bu ekrana düştü. Daha sonrasında ise “Phase 2” ayalarımızı yapmamız gerekmektedir.
Phase 2 bölümünü açtıktan sonra yukarıdaki şekilde ayarları yapılandırdıktan sonra “Add” diyerek devam ediyoruz.
Bu bölümde ise “Authentication ve Encryption ayarlarını yapılandırmamız gerekmektedir. Bu bölümlere dikkat etmeniz gerekmektedir. Zira Fortigate tarafında da bu ayarlara ihtiyacımız olacaktır. Gerekli ayarları yapılandırdıktan sonra “OK” diyerek işlemlerimizi tamamlıyoruz.
Tüm ayarları yapılandırdıktan sonra Policy kısmını açtığınız karşınızda yukarıdaki gibi bir Policy yazıldığını göreceksiniz.
Watchguard tarafındaki ayarlarımızı tamamladık. Şimdi Fortigate tarafındaki ayarları yapılandıracağız.
FORTİGATE
Fortigate tarafında ise işlemler biraz daha kolay gözükmektedir. İlk olarak “VPN” böülünü açıyoruz.
Bu bölümde “Create Phase “ seçiyoruz.
Karışımıza gelen ekranda ise “Phase 1” ayalarını yapılandıracağız. Yukarıdaki ayarları olduğu gibi girmemiz gerekmektedir. Ayarları girdikten sonra “OK” diyerek çıkıyoruz.
Phase 2 tanımlamamız için “Crate Phase 2” seçeneğini seçiyoruz.
Phase 2 kayıtlarıda bu şekilde olması gerekmektedir. Burada dikkat etmemiz gereken kısım ise DH gruptur. Watchguard üzerinde DH 2 olarak seçmiştik. Burada ise DH 5 olarak seçmemiz gerekmektedir.
Bu işlemleri tamamladıktan sonra Kural oluşturmamız gerekmektedir. Bunu için ilk olarak “Adress” eklememiz gerekmektedir. İlk olarak Fortigate Local bacağı için oluşturuyorum. Yukarıda görüldüğü gibi kayıtları giriyorum.
Bu kısımda ise “Datacenter” ismi ile Watchguard Local Bacağının bilgilerini yazıyoruz.
Son olarak oluşturduğumuz bağlantının veri alışverişi için kural oluşturmamız gerekmektedir. Yukarıda olduğu gibi bir Policy oluşturuyoruz. İşlemleri tamamladığımıza göre artık test işlemlerini yapabiliriz.
Yukarıda görüldüğü gibi IP-SEC VPN çalışır durumdadır.