Merhaba arkadaslar… Bugün sizlere Juniper Netscreen’de nasil site-to-site VPN yapilacagini anlatacagim ama öncelikle site-to-site VPN den biraz bahsedecegim.

Site-to-site VPN iki uzak bölgenin birbileri arasinda Wide Area çözümü olmadan internet üzerinden güvenli bir sekilde erisim saglamasina denir. Bunu yaparken altinda yatan teknolojilerden çok bahsetmeyecegim çünkü bu konuda internette hali hazirda tonlarca döküman bulunmaktadir 🙂 . Firewall operasyonlarinda gördügümüz bir çok cihazdan VPN konusunda biraz sikintili bir arayüze de sahip olmasindan dolayi bu yazimda Netscreen de site-to-site VPNnin nasil yapilacagindan bahsedecegim. FW üzerinde policy based ve route based olmak üzere iki sekilde VPN kurulabilir. Bunlardan policy based olarak VPN kurmak belki göreli olarak daha basitse de ölçeklenebilirlik açisindan daha route based VPN e göre daha kötüdür. Policy based VPN de faz 2 parametresi olan Proxy-ID belirlenmez bunun yerine policy üzerinde yazilir ve tünele dogru yönlendirilir. Bu sekilde yapinca routing ve tünel interface olusturmak gibi islemlerden kaçinmis oluyoruz. Biraz resimler ile konfigürasyon anlatimi yaparsam daha anlasilir olacak sanirim 🙂

Policy Based Site-to-Site VPN

1) Juniper Netscreen arayüzünde VPN sekmesi altinda bulunan Gateway sekmesine tiklanir. Daha sonra sagda açilan pencerede “New” sekmesine tiklayarak VPN kuracagimiz karsi cihazi tanimlamaya basliyoruz.

2) Açilan sayfada Karsi uca ne isim verecegimizi, karsi ucun IP adresinin ne olacagini belirliyoruz. Advanced butonundan ise Gateway için IKE parametrelerini yada faz 1 parametrelerini belirliyoruz. Bu sekmede belirlenen encryption,authentication,life time, Diffie-Hellman Group gibi ayarlari Gateway sekmesinin altinda bulunan “P1 Proposal” kismindan olusturuyoruz. Ayni sekilde yine Advanced sekmesinde Pre-Shared-Key olan karsilikli iki ucunda ayni olarak girmesi gereken parolayi belirliyoruz. Burada dikkat edilmesi gereken bir ayar ise hangi ucumuzun IP adresini karsi taraf girecek ise o uc “Outgoing Interface” de olmali ki yüksek ihtimal ile internete bakan yani “Untrust interface” olacaktir. Ayrica zaruri olmayan ancak yer yer kullanisli olabilen Deadpeer detection gibi özelliklerin ayarlamasi da buradan yapiliyor.

3) AutoKey IKE üzerinde yeni butonuna tikladigimizda ilk açilan sayfada daha önce olusturmus oldugumuz Gatewayi Predefined listinden seçebiliyoruz. Bu islemin yanisira ayni yerde basit bir Gateway de olusturabiliyoruz.

Daha sonra AutoKey IKE sekmesi üzerinden VPN Gateway ve Faz 2 birlestirmesini yapiyoruz. Faz 2 den kastimiz ise burada sadece Faz 2 anlasmasi için girilen parametreler. Bunlari ise öncesinde “P2 Proposal” altinda obje olarak olusturmamiz gerekmektedir.

4) Policy based VPN de VPN ile ilgili yapilmasi gereken ayarlar bu kadardir. Ancak fark ettiginiz üzere hiç bir local ve remote network belirtilmedi. Bunun nedeni policy based routing de biz belirli policy e hit eden paketleri direkt olarak tünele yönlendiriyoruz bunun için “Policy” sekmesi altinda yeni bir policy yazmaliyiz ve yeni açilan sekmede “Action” kismini tünel olarak set edip yönlendirilecek tüneli seçmemiz gerekmektedir.

Ve bu sekilde policy based VPN yapilmaktadir. Proxy-ID ler belirlenmeyerek ve bunlari policy üzerinde yazarak daha sonra routing yada tunnel interface olusturmadan site-to-site VPN imizi kolayca ayaga kaldirabiliriz. Ancak bu metodun kolay olmasinin disinda gözlemledigim bir kaç dezavantaji vardir. Tüm FW lerde ayni olmayabilir ancak ayni remote network için farkli bir lokal network tanimlamak istiyorsak Servisi hepsi için ayni seçmemiz gerekmektedir ki bu zaman zaman çok kisitlayici veya operasyonel olarak çok is yapilmasini gerektiriyor. Bunun disinda NAT gibi bir kaç durum da sikintilar ile karsilastim. Yani policy based VPN biraz günü kurtarmak için ama route based VPN ise daha gelecege yönelik 🙂 Football Manager da genç yetenek almak gibi 🙂

Route Based Site-to-Site VPN

1) Route based ile policy basedin VPN kurma kismi bir kaç küçük fark disinda tamamiyle aynidir. Policy based VPN için belirtilen üçüncü madde de bulunan AutoKey IKE kisminda Advanced içerisinde bizim faz 2 parametrelerini belirlemek disinda “Bind to” altinda bulunan “Tunnel Interface” seçilip ilgili tünel interface i seçilmelidir. Tünel interface ise Netscreen menüsünde bulunan “Interfaces” altindan “New” butonuna basilarak olusturulabilir. Burada tünel interface numarasi belirlenir. “Unnumbered” seçilerek bunun “Untrust” bacagimiz ile eslesmesini saglariz. Burasi bizim VPN imizin kurulacagi tünel olarak düsünebiliriz.

2) Daha sonra yine Autokey IKE altinda bizim yarattigimiz VPN nin yan kisminda bulunan “Proxy-ID” kismindan hangi networklerimizin konusacagini belirliyoruz. Bu policy based VPN ile route based VPN arasindaki iki temel farktan 1 tanesidir. Digeri isminden belli olan routingdir.

3) Bu eklemeyi de yaptiktan sonra geriye sadece “Routing” kismindan route eklemek kaliyor. Route eklerken dikkat etmemiz gereken ise remote network için olan trafigi tünel interface e dogru yönlendirmektir. Daha sonra aradaki erisimlerin düzenlenmesi için istenilen policyler yazilabilir.

Islemler bu sekilde tanimlandiktan sonra ilginç trafik olarak adlandirilan yani VPN i tetikleyecek trafik olusturulmasi gerekiyor. VPN i tetikleyecek trafik ise lokal veya remote network tarafindan olusturulabilir. Eger bu sekilde sorunumuza çözüm bulamazsak;

undebug all (debuglari kapatmak)
set db size 4096 (debug buffer boyutunu arttirma)
clear db (debug buffer temizleme komutu)
set sa-filter (karsi ucun ip adresi)
debug ike detail (trafik olusturulup açilir)
undebug all (debuglari kapatmak)
get db st (debug çiktisini almak)
Bu komutlari komut satirinda çalistirarak alinan hatalari görebiliriz. Genel olarak “proposal not match” yani authentication, encryption gibi metodlarin yada “Proxy-ID” lerin match etmedigi durumlari gözlemleriz ve buradan detay alabiliriz.

Yazimi noktalamadan önce, bana kalirsa her ikisinin de kullanildigi durumlar olmasina ragmen bence önceliginiz route based VPN olmali ki daha sonra tekrar tekrar farkli sikintilar yasamayin. Tekrar yeni bir yazi da bilgi paylasmak üzere 🙂 Iyi çalismalar ve güvende kalin.

Hüseyin Efe Evyapan
Network Güvenlik Mühendisi – Netoburus Team

Kategoriler: NetworkSecurity

0 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir