SSL VPN – Secure Sockets Layer Virtual Private Network (SSL VPN) (WEB VPN) Nedir?

Buradaki yazimda Cisco 5500 Serisi ASA Firewall larda Thin-Client SSL VPN in nasil yapilandirilacagini anlatacagim. Thin-Client SSL VPN, telnet(23), ssh(22), SMTP (25) gibi statik porta sahipuygulamalar icin kullanilmaktadir.

Bu tur bir yapıda istemci java tabanli kucuk bir uygulama indirir ve TCPuzerinden guvenli bir erisime sahip olur.

NOT: Thin-Client SSL VPN de UDP DESTEKLENMEMEKTEDIR.

ASDM ile SSL VPN Konfigurasyonu

1. Adim: ASDM i actiktan Configuration alanina gelip VPN sekmesiniseciniz:

2. Adim: VPN sekmesinde yer alan WebVPN Access alanini seciniz.

Karsiniza asagidaki gibi bir ekran gelecektir. Burada vpn baglantisinin

yapilacagi interface i secip “Enable” butonuna basiyoruz.

Burada uyarmak istedigim bir konu ise, ASDM erisimi yaptiginiz interface denayni zamanda VPN erisimi yapamiyorsunuz. Yine yukaridaki interface lerimizibaz alalim. Soyle ki Outside interface inden ASDM erisimine izin verirsem, buinterface den VPN baglantisi yapamiyorum.3.Adim: Bu adimda ise, VPN kullanarak sistemimize giris yapankullancilarimizin almasini istedigimiz IP havuzunu olusturmamiz gerekiyor.Bunun icin de VPN sekmesi -à IP Address Management -à IP Pools -à Addyolunu takip ediyoruz:


Bu islemin ardindan VPN ile baglanan kullanicilarimiz 192.168.1.0/24uzayindan bir IP alacak.4.Adim: Simdi de port yonlendirme islemini yapacagiz.VPN -à WebVPN -à Port Forwarding ʻ i seciyoruz.Local TCP portu 3045 olarak belirledim. Bu deger yerine 1024 – 65535araliginda bir port numarasi verebilirsiniz.Remote Server: Baglanti kurulacak makinenin IPʼ si. 192.168.2.1 nolu IPʼ yessh erisim izni vermis oluyoruz.


Erisim iznini tanimladiktan sonra yukaridaki gibi bir cikti elde edeceksiniz.   5. Adim: Sira geldi VPN icin group policy belirlemeye ve bunu portyonlendirmesi ile iliskilendirmeye.General à Group Policy alanina geliniz. Add butonuna basip “Internal GroupPolicy” i seciniz.Asagidaki goruntuden de gorebileceginiz gibi , Name alanina Group Policynizin ismini yaziyorsunuz.General sekmesinde “Tunneling Protocols” da WebVPNʼ i seciyorsunuz.


Daha sonra ayni ekranda WebVPN alanina gelip, “Functions” bolumunuseciyoruz. Bu alanda ise “Enable auto applet download” ve “Enable port forwarding” seceneklerini seciyoruz

Yine ayni ekrandaPort Forwardingbolumune gelelim:

Port forwarding List te onceden olusturmus oldugumuz ssh erisim iznine aityonlendirmeyi seciyoruz. Ayni zamanda Applet Name  in onunde bulunanInherit  i “uncheck” yapiyoruz.6. Adim: 5. Adimda Group Policy ayarlarini yapmistik. Bu bolumde ise “TunnelGroup” ayarlarini yapip bunu Group Policy miz ile iliskilendirecegiz.General -à Tunnel Group a geliyoruz.

Add butonundan “WebVPN Access” i seciyoruz.


Ekrana gelen menuden Generalà Basic e gecip daha once olusturmusoldugumuz Group Policy i seciyoruz. Tabi bu arada Name bolumundenTunnel Group umuza isim verebiliriz:

Ok e basip Apply dedikten sonra konfigurasyonumuzu kaydediyoruz.7. Adim: Simdi sira kullanici hesabi olusturmaya geldi.General à Users a geciyoruz.

Add butonundan yeni kullanicimizi olusturup, VPN uzerinden erisimine izinvermis oluyoruz.

8. Adim: Artik son asama VPN baglantimizi test etmeye geldi. Bunun icin javadestegi olan browser inizdan https://x.x.x.x seklinde giris yapiyoruz. Buradax.x.x.x olarak belirtilen firewallʼ unuzda 2. Asamada etkin duruma getirdiginizinterface in IP si olmalidir. Ben ikinci asamada outside interface ini etkinettigim icin firewall un outside interface ine ait IP m x.x.x.x dir.Olusturmus oldugunuz kullanicinin kullanici adi ve sifre ile giris yaptiktan sonraasagidaki gibi ekran gelecektir karsiniza:

(Bu ekran ciktisi ornektir(alintidir).)Ornegin router2 ye ssh ile baglanmak istediginizde terminalinizden ;ssh 127.0.0.1 –p 3003 –l kullanici_adikomutunu calistirmaniz yeterli.Ya da Router1 e telnet yapacaksaniz;telnet 127.0.0.1 3001demeniz yeterli. Yalniz burada dikkat edilmesi gereken konu IP ile portarasinda : ifadesinin yer almamasidir. (telnet 127.0.0.1:3001 ifadesi yanlistir.)

Komut Satirindan SSL VPN Konfigurasyonu

Simdi de yukarida anlatmis oldugum islemleri komut satirindan yapalim:

ASA Version 7.2(1)

!

hostname ciscoasadomain-name default.domain.invalid

enable password …… encrypted

names

!

!

!— Disaridan R1 e ssh erisimi verdik.

port-forward portforward 3045 192.168.2.1 ssh ssh to R1!

!

— WebVPN i aktif ederek yeni bi group policy yaratiyoruz.

group-policy SSL_VPN_GroupPolicy1 internal

group-policy SSL_VPN_GroupPolicy1 attributes

vpn-tunnel-protocol webvpn

!

!—WebVPN icin Group Policy leri konfigure ediliyor.

webvpn

functions port-forward auto-download

!

!—Yeni Olusturulan Group Policy icin ssh_permit isminde olusturulanport-

!—forward konfigurasyou yapiliyor.

port-forward value ssh_permit

!

port-forward-name value Application Access

!— Yeni kullanici yaratiliyor.

username user1 password tJsDLm1UF encrypted

username user1 attributes

vpn-group-policy SSL_VPN_GroupPolicy1

! — Yeni Tunnel Group yaratiliyor ve Group Policy ile iliskilendiriliyor.

tunnel-group SSL_VPN_TunnelGroup1 type webvpn

tunnel-group SSL_VPN_TunnelGroup1 general-attributes

default-group-policy SSL_VPN_GroupPolicy1

!

!

! Outside interface inde webvpn i aktif ediyoruz.

webvpn

enable outside!

! — VPN Pool yaratiliyor.

ip local pool ssl_vpn_pool 192.168.1.0-192.168.1.255 mask 255.255.255.0

!

Yazar: Zeynep TORAMAN (Sistem Yöneticisi)

1 yorum

  1. mereba hocam kolay gelsin benin sizden bir isteğim var üsteki yaazıyla apek alakası yok ama .ben yazlım konusun da yeniyim hadda başalrdayım azimli ve hırslıyım ama bana fazla cok kişi yardımcı olmaddı yada benim cevremde bu işlerle uğraşan insan omadı içi bana yardın,mcı olamadılar ben yazılım konusnda kendimi cok iyi yerlere getirmek istiyorum nerde nasıl hansisinde başlamalıyım yazlım dili olarak şimdilik bir coğuna bakıyorum bna lütfen bi 5 beş dakka ayırıp yardım cı olursdabnız yol gsterireniz< sevinirim kolay gelsin meilimizi bekliyorum

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir