Juniper Netscreen Route Based vs. Policy Based Site-to-Site VPN

Merhaba arkadaşlar… Bugün sizlere Juniper Netscreen’de nasıl site-to-site VPN yapılacağını anlatacağım ama öncelikle site-to-site VPN den biraz bahsedeceğim.

Site-to-site VPN iki uzak bölgenin birbileri arasında Wide Area çözümü olmadan internet üzerinden güvenli bir şekilde erişim sağlamasına denir. Bunu yaparken altında yatan teknolojilerden çok bahsetmeyeceğim çünkü bu konuda internette hali hazırda tonlarca döküman bulunmaktadır :). Firewall operasyonlarında gördüğümüz bir çok cihazdan VPN konusunda biraz sıkıntılı bir arayüze de sahip olmasından dolayı bu yazımda Netscreen de site-to-site VPNnin nasıl yapılacağından bahsedeceğim. FW üzerinde policy based ve route based olmak üzere iki şekilde VPN kurulabilir. Bunlardan policy based olarak VPN kurmak belki göreli olarak daha basitse de ölçeklenebilirlik açısından daha route based VPN e göre daha kötüdür. Policy based VPN de faz 2 parametresi olan Proxy-ID belirlenmez bunun yerine policy üzerinde yazılır ve tünele doğru yönlendirilir. Bu şekilde yapınca routing ve tünel interface oluşturmak gibi işlemlerden kaçınmış oluyoruz. Biraz resimler ile konfigürasyon anlatımı yaparsam daha anlaşılır olacak sanırım 🙂

Policy Based Site-to-Site VPN

1) Juniper Netscreen arayüzünde VPN sekmesi altında bulunan Gateway sekmesine tıklanır. Daha sonra sağda açılan pencerede “New” sekmesine tıklayarak VPN kuracağımız karşı cihazı tanımlamaya başlıyoruz.

 

2) Açılan sayfada Karşı uca ne isim vereceğimizi, karşı ucun IP adresinin ne olacağını belirliyoruz. Advanced butonundan ise Gateway için IKE parametrelerini yada faz 1 parametrelerini belirliyoruz. Bu sekmede belirlenen encryption,authentication,life time, Diffie-Hellman Group gibi ayarları Gateway sekmesinin altında bulunan “P1 Proposal” kısmından oluşturuyoruz. Aynı şekilde yine Advanced sekmesinde Pre-Shared-Key olan karşılıklı iki ucunda aynı olarak girmesi gereken parolayı belirliyoruz. Burada dikkat edilmesi gereken bir ayar ise hangi ucumuzun IP adresini karşı taraf girecek ise o uc “Outgoing Interface” de olmalı ki yüksek ihtimal ile internete bakan yani “Untrust interface” olacaktır. Ayrıca zaruri olmayan ancak yer yer kullanışlı olabilen Deadpeer detection gibi özelliklerin ayarlaması da buradan yapılıyor.

3) AutoKey IKE üzerinde yeni butonuna tıkladığımızda ilk açılan sayfada daha önce oluşturmuş olduğumuz Gatewayi Predefined listinden seçebiliyoruz. Bu işlemin yanısıra aynı yerde basit bir Gateway de oluşturabiliyoruz.

Daha sonra AutoKey IKE sekmesi üzerinden VPN Gateway ve Faz 2 birleştirmesini yapıyoruz. Faz 2 den kastımız ise burada sadece Faz 2 anlaşması için girilen parametreler. Bunları ise öncesinde “P2 Proposal” altında obje olarak oluşturmamız gerekmektedir.

4) Policy based VPN de VPN ile ilgili yapılması gereken ayarlar bu kadardır. Ancak fark ettiğiniz üzere hiç bir local ve remote network belirtilmedi. Bunun nedeni policy based routing de biz belirli policy e hit eden paketleri direkt olarak tünele yönlendiriyoruz bunun için “Policy” sekmesi altında yeni bir policy yazmalıyız ve yeni açılan sekmede “Action” kısmını tünel olarak set edip yönlendirilecek tüneli seçmemiz gerekmektedir.

Ve bu şekilde policy based VPN yapılmaktadır. Proxy-ID ler belirlenmeyerek ve bunları policy üzerinde yazarak daha sonra routing yada tunnel interface oluşturmadan site-to-site VPN imizi kolayca ayağa kaldırabiliriz. Ancak bu metodun kolay olmasının dışında gözlemlediğim bir kaç dezavantajı vardır. Tüm FW lerde aynı olmayabilir ancak aynı remote network için farklı bir lokal network tanımlamak istiyorsak Servisi hepsi için aynı seçmemiz gerekmektedir ki bu zaman zaman çok kısıtlayıcı veya operasyonel olarak çok iş yapılmasını gerektiriyor. Bunun dışında NAT gibi bir kaç durum da sıkıntılar ile karşılaştım. Yani policy based VPN biraz günü kurtarmak için ama route based VPN ise daha geleceğe yönelik 🙂 Football Manager da genç yetenek almak gibi 🙂

Route Based canadian mail order pharmacy reviews Site-to-Site VPN

1) Route based ile policy basedin VPN kurma kısmı bir kaç küçük fark dışında tamamiyle aynıdır. Policy based VPN için belirtilen üçüncü madde de bulunan AutoKey IKE kısmında Advanced içerisinde bizim faz 2 parametrelerini belirlemek best dose cialis dışında “Bind to” altında bulunan “Tunnel Interface” seçilip ilgili tünel interface i seçilmelidir. Tünel interface ise Netscreen menüsünde bulunan “Interfaces” altından “New” butonuna basılarak oluşturulabilir. Burada tünel interface numarası belirlenir. “Unnumbered” seçilerek bunun “Untrust” bacağımız ile eşleşmesini sağlarız. lipitor recall Burası bizim VPN imizin kurulacağı tünel olarak düşünebiliriz.

2) Daha sonra yine Autokey IKE altında bizim yarattığımız VPN nin yan kısmında bulunan “Proxy-ID” kısmından hangi networklerimizin konuşacağını belirliyoruz. Bu policy based VPN ile route based VPN arasındaki iki temel farktan 1 tanesidir. Diğeri isminden belli olan routingdir.

3) Bu eklemeyi de yaptıktan sonra geriye sadece “Routing” kısmından route eklemek kalıyor. Route eklerken dikkat etmemiz gereken ise remote network için olan trafiği tünel interface e doğru yönlendirmektir. Daha sonra aradaki erişimlerin düzenlenmesi için istenilen policyler yazılabilir.

İşlemler bu şekilde tanımlandıktan sonra ilginç trafik olarak adlandırılan yani VPN i tetikleyecek trafik oluşturulması gerekiyor. VPN i tetikleyecek trafik ise lokal veya remote network tarafından oluşturulabilir. Eğer bu şekilde sorunumuza çözüm bulamazsak;

#undebug all (debugları kapatmak)
#set db size 4096 (debug buffer boyutunu arttırma)
#clear db (debug buffer temizleme komutu)
#set sa-filter <ip-address> (karşı ucun ip adresi)
#debug ike detail (trafik oluşturulup açılır)
#undebug all (debugları kapatmak)
#get db st (debug çıktısını almak)

Bu komutları komut satırında çalıştırarak alınan hataları görebiliriz. Genel olarak “proposal not match” yani authentication, cvs pharmacy lipitor generic encryption gibi metodların yada “Proxy-ID” lerin match etmediği durumları gözlemleriz ve buradan detay alabiliriz.

Yazımı noktalamadan önce, bana kalırsa her ikisinin de kullanıldığı durumlar olmasına rağmen bence önceliğiniz route based VPN olmalı ki daha sonra tekrar tekrar farklı sıkıntılar yaşamayın. Tekrar yeni bir yazı da camper ci cipro 2 bilgi paylaşmak üzere 🙂 İyi çalışmalar ve güvende kalın.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir