Cisco Routerlar İle Site-To-Site IPSec VPN Konfigürasyonu (SDM)

Merhaba arkadaşlar. Bu yazımızda  site-to-site vpn konfigürasyonunun SDM ile nasıl yapılacağını inceleyeceğiz. Hemen kısaca 4 aşamalı konfigürasyon adımlarının ne olduğunu hatırlayıp konfigürasyon ile yolumuza devam edeceğiz.

1. VPN trafiğini tetikleyecek yani VPN kurulmasını sağlayacak trafik Routera gelir. Dolayısıyla bizim Router üzerinde bir access-list yardımıyla bu trafiği tanımlamamız gerekecektir.
2. Routerlar arasında güvenli Key değişimini sağlayacak IKE Phase 1 olarak adlandırdığımız oturum kurulur ve Internet Key Exchange gerçekleşir.
3. IPSec parametlerinin belirlendiği ve IKE Phase 2 olarak nitelendirdiğimiz oturumu açılır.
4. Son olarak Data IPSec tünelimiz üzerinden noktalar arasında transfer edilir.

Bu topolojide ALTUNIZADE Routerı üzerinde konfigürasyonlar yapılmış durumda. Ben SDM ile KADIKOY Routerına bağlanıp bu Routerın konfigürasyonunu tamamlayacağım. SDM ana sayfası aşağıdaki gibidir.

 

SDM ile bağlandıktan sonra Configure tabına gelip, sağ tarafta açılan menüden VPN’i seçiyoruz. VPN’i seçtikten sonra karşımız aşağıdaki gibi bir sayfa açılıyor.

Bu sayfada açılan menüden Site – To – Site VPN’i seçtiğimizde ekranın hemen sağındaki menü çıkıyor. Burada iki seçeneğimiz var. Create a Site To Site VPN’i işaretleyip (ki defaul seçili olan seçenektir) devam ediyoruz. Bir başka makalemizde GRE Over IPSec üzerinde de duracağız. Devam ettikten sonra Site To Site VPN konfigürasyonunu yapabileceğimiz iki ayrı seçenek karşımıza çıkıyor olacak.

 

Burada Quick Setup olarak gösterilen yer bütün algoritma ve protokolleri default halleri ile seçip VPN kurmamızı sağlayacaktır. SDM’in burada bizlerden bilgi olarak alacakları ise kaynak ve hedef networkler, Authentication için Pre-Shared Key, VPN bağlantımızı kuracağımız interface ve bağlanacağımız Routerın ip adresi olacaktır. Biz Step by Step Wizardı seçip devam edeceğiz. Bu arada şekil üzerinde altını çizfiğim noktaya dikkatinizi çekmek isterim. Burada ki açılır menü ile yaptığımız konfigürasyonla ile ilgili yardım sayfalarına erişebiliriz.

 

Devam ettiğimizde VPN bağlantımızı kuracağımız interface seçimi, komşumuzun ip adresini tanımlayacağımız Peer Identity konfigürasyonu ve Authentication için kullanacağımız yöntemi seçtiğimiz kısma geliyoruz. Burada ben Authentication için Pre-Shared bir key kullandım. Bu kısmı tamamladıktan sonra IKE Phase 1 için parametreleri belirleyeceğimiz menü karşımıza çıkıyor olacak

Burada Encryption, Hashing, Authentication, Diffie Hellman Group için daha önce belirlediğimiz parametreleri Add butonuna basarak açılan menüden seçiyoruz. Quick Setup modunu seçseydik burada ki parametreler açılan pencerenin hemen arkasında görülebilen default değerler olacaktı. AES (Advenced Encryption Standart) aslında 256 bit keyler ilede şifreleme yapabiliyor ama 128 bit zaten yeterince güvenli olduğu için ben bu değeri seçtim. Hashing için bir alternatif de 160 bitlik key kullanan SHA 1’dir. Burada da ben 128 bitlik keyler kullanan MD5’ ı yeterli görüyorum. Life Time varsayılan olarak 1 gündür, bunu da değiştirmeden devam ediyoruz. Bundan sonra IKE Phase 2’ye yani transform setimizi belirleyeceğimiz aşamaya geçeceğiz.

IKE Phase 2’ ye geldiğimizde yine varsayılan değerleri kullanmak yerine bizim daha önceden belirlediğimiz parametreleri kullanmak için yeni bir transform set oluşrurabilmek için Add butonuna basıyoruz. Burada kullanabileceğimiz iki protokolden (ESP ve AH), ESP aynı zamanda encription da sağlayabildiği için bunu seçiyoruz. Integrity yani datanın değiştirilmeden alındığının onaylanmasını sağlamak için MD5 ve şifreleme için yine 128 bit AES’i seçiyoruz. AES dışında 56 bitlik keyler kullanan DES ve 3 katı kadar güçlü olduğunu söyleyebileceğimiz 3DES’te mevcuttur.

Show Advenced kısmında IPSec modumuzu da belirleyebiliriz. Tunnel ya da Transport Modlardan birini seçebileceiğimiz bu kısımda defaul olan Tunnel Modu çalıştıracağımız için herhangi bir değişiklik yapmıyoruz. Bu arada transform setimize bir isim vermeyide ihmal etmiyoruz. Ben burada hayrullah adını vermeme rağmen birden fazla VPN bağlantısının yapılacağı Routerlar üzerinde açıklayıcı bir isim vermek daha mantıklı olacaktır.

Bu aşamayıda atlattıktan sonra IPSEC VPN’in hangi networkler arasında kurulacağını belirleyeceğimiz aşamaya geliyoruz.

Koruma altına alınacak networkleri iki şekilde tanımlayabiliriz. Birincisi benim yukarıda yaptığım gibi direkt Local ve Remote networkleri girmek olacaktır. Bir diğer yol ise bir sonraki seçenekten bir access – list oluşturmak olacaktır. Aslında bizim seçtiğimiz method ile Router’ın aynı access-list’i oluşturmasını sağlıyoruz. Next’e basıp devam ettiğimizde son olarak konfigürasyon bize özetlenecek ve komutların Router’a uygulanması sağlanacaktır.

Burada konfigürasyonun bir özetini görüyoruz. Aslında Finish’e bastığımızda bu konfigürasyon aynen Router’a gönderilecekti ama benim Routerımda, bir Internet Routerı olması sebebiyle NAT tanımlandığı için farklı bir ekran ile karşılaşacağız. Burada Test VPN connectivity after configuration seçeneğini seçersem konfigürasyon biter bitmez SDM test işlemine başlayacaktır. Ben şimdilik bunu seçmiyorum, zira daha sonra Edit VPN Configuration menüsündende bu testi yapmak mümkün.

SDM’in bizim için bu rule’ları düzenlemesi için Yes’e basıp devam edeceğiz. Bunun yaptıkran sonra Router iki network arasındaki data transferinin NAT’a uğramadan gönderilmesini sağlayacaktır.

Ve mutlu son. Komutlar (ki 56 komut) Routerımıza SDM tarafından gönderildi. Tabii bir konfigürasyonu bitirdikten sonra bunun çalışıp çalışmadığını mutlaka test etmek gerekir. Bu noktada SDM bizlere VPN bağlantımızı test etme imkanını sağlıyor. Bunun için VPN ana menüsünden Edit tabına geçmemiz gerekecektir.

 

Burada Test Tunnel butonuna bastığımızda şekildeki ekran çıkıyor olacak. Burada Start’a basmamız SDM’in VPN bağlantımızı test etmesini sağlayacaktır. Burada ilk önce parametreleri test edecek ve arkasında ya bizim ya da SDM’in yaratacağı trafik ile Tunnelin up olup olmayacağını kontrol edecektir. Bu aşamaya geldiğimizde aşağıdaki gibi bir ekran ile karşılaşacağız.

 

Burada öncelikle Interface, Konfigürasyon, Routing, VPN kurulacak Router ile olan bağnatımız, NAT ve bir Firewall’ın VPN’i bloklayıp bloklamadığı test ediliyor. Bu aşamada Tunnel Status’un Down olması gayet normal. Hatırlayacağımız gibi VPN kurulumunu tetikleyecek bir trafikten bahsetmiştik. Şu an için böyle bir trafik olmadığı için Tunnel’imiz down olarak görünüyor. Söz konusu testleri başarıyla atlattıktan sonra bir trafik yaratarak durumu netleştireceğiz. Zaten bununla ilgili bir uyarıda ekranda şekildeki gibi görünüyor olacak. Buna Yes dedikten sonra aşağıdaki ekran ile karşılaşacağız.

Bu arada Routerımız üzerinde access-listler tanımlanmışsa AH, ESP ve ISAKMP trafiğine izin vermemiz gerekir. Benim routerım üzerinde ki ACL konfigürasyonu aşağıdaki gibi;

access-list 102 permit icmp host 88.240.13.47 host 85.16.213.5
access-list 102 permit ahp host 88.240.13.47 host 85.16.213.5
access-list 102 permit esp host 88.240.13.47 host 85.16.213.5
access-list 102 permit udp host 88.240.13.47 host 85.16.213.5 eq isakmp
access-list 102 deny any any log

Burada SDM’in bizim için trafik yaratmasını sağlayabilir yada bir alttaki seçenek ile yine bizim belirleyeceğimiz bir süre boyunca, bizim yaratacağımız bir trafik ile (bu ping paketi de olabilir) SDM’in Tunnel’imizi test etmesini sağlayabiliriz. Ben SDM’in bir trafik yaratarak testlerini yapmasını seçip devam ediyorum. Bu işlem 1-2 dakika kadar sürebilir.

 

Güzel sonuç. IPSEC VPN bağlantımız düzgün bir şekilde kurulmuş durumda. Bu noktada sonra SDM’im Monitoring kısmını kullanarak VPN bağlantımızıda izleyebiliriz.

Bu noktada SDM’in beğendiğim noktalarından birinden de bahsetmek isterim. Tunnel bağlantımızı test ettiğimiz sayfada Generate Mirror botunu var. Bu botun kullanılarak diğer nokta için hazır bir konfigürasyon elde edebiliriz. Dolayısıyla diğer noktaya gittiğimizde özel bir çalışma yapmaya gerek kalmadan elimizdeki hazır konfigürasyonu kullanabiliriz. Generate Mirror’a bastığımızda şu şekilde bir ekran ile karşılaşacağız.

Peer Device yani bizim diğer noktadaki Routerımız için hazır bir konfigürasyon görüldüğü üzere SDM tarafından bize sunulmakta. İsterseniz bunu Save edip kullanabilirsiniz. Burada bizler tarafından yapılacak. tek şey, diğer Routerın hangi Interface ile internete bağlandığı SDM tarafından tabiki bilinemeyeceğinden Crypto Map’imizi ilgili interface’e uygulamak olacaktır. Zaten bununla ilgili bilgi Crypto Map konfigürasyonu altında bizlere Description olarak sunulmuş durumda.

Evet arkadaşlar, bu makalemizde SDM kullanarak Site To Site IPSec VPN bağlantısını nasıl oluşturacağımızı hem mümkün olduğu kadar basit hem de adım adım inceledik. Burada son bir tavsiye olarak Routerlar ile VPN kurarken belirlediğimiz IKE Phase 1 ve 2 parametrelerini not alarak çalışmayı söyleyebilirim. Umarım bu makale faydalı olmuştur.

 

Kaynak:Hayrullah KOLUKISAOĞLU (Netron Bilişim Akademisi)

4 yorum

  1. ellerinize sağlık ..
    @mühendis kardeş, o nasıl bir Türkçe’dir?
    lütfen dilimize sahip çıkalım.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir