Donanım

Fortigate Firewall PPTP VPN Yapılandırıması (Fortigate Firewall PPTP VPN Configuration)

 

Organizasyonların bir çok ihtyiaçtan dolayı uzak lokasyonlarda bulunan şubelerini, fabrikalarını, portatif kullanıcılarını vb.. merkez networküne eriştirme ihtiyacı duymaktadırlar. Yapılacak olan her bağlantı çeşidinin Merkez networküne bir takım Güvenlik tehdidi gibi unsurları meydana getirmektedir. Günümüz teknolojiinde bilinen en güvenli bağlantı çeşidi VPN (Virtual Private Network (Sanal Özel Ağ)) bağlantısı olup, bu bağlantıyı sağlayan gerek yazılımsal, gerek donanımsal birçok ürün piyasada bulunmakta olup her ürünün kendisine has şifreleme algoritması ile güvenliği tartışılmaktadır.

image001

Bizler bu yazımızda Fortigate Firewall üzerinden portatif kullanıcılarımızın merkez networküne erişmelerini ve merkez networkünde bulunan program, data, online işlemlerini sanki yerel networkdeymiş gibi kullanmalarını sağlayacağız.

image002

Varsayılan olarak Web Config VPN PPTP bolumune girdiğimiz zaman PPTP RANGE (VPN Clientlermize verilecek olan IP aralıgını) belirleyemyoruz. Bunun nedeni ise Firewallımız içerisine VPN ile bağlanacak kullanıclarımızı belirlememiş olmamızdır. Fortigate Firewallımız içerisne kullanıcılarımızı oluşturmak üzere;

image003

Web Config User Local Create New diyerek kullanıcılarımızı ve bağlantı şifrelerimizi oluşturuyoruz. (Turkçe karaktere duyarlı değildir.)

image004

Web Config User User Group Create New diyerek oluşturmuş olduğumuz kullancılarımızı bir grubun içerisine topluyoruz. (Turkçe karaktere duyarlı değildir.)

image005

Oluşturmuş olduğumuz kullanıcılarımızı ve grubumuzu gorebiliyoruz. Bu guruumuz şuanda silinebilir durumda olduğunu belirtmek isterim ki sebebi bu grubumuz için herhangi bir işlem yapmamış olmamızdan kaynaklanmaktadır.

image006

Merkez Networkumuza bağlanacak lan kullanıcılarımızın VPN yapmış olduğumuz Fortige Firewall üzerinden alacak oldukları IP blogunu belrliyoruz. Ip Blogunu belirlemek için Web Config Firewall Address bolumu altında Merkez networkumuzun sahip olduğu IP blogu haricinde bir IP blogu belirliyoruz.

image007

IP Bloğumuzu oluşturmuş bulunmaktayız.

image008

Oluşturmuş olduğumuz IP Blogunu bir grubun içerisine bağlamamız gerekmektedr. Bunun için Web Config Firewall Address Group Create New butonuna basarak grubumuzu oluşturuyor ve oluşturmuş olduğumuz VPN IP Blogunu bu grubumuzun üyesi yapıyoruz.

image009

Makalemizin başında aktif hale getremediğimiz PPTP VPN Bağlantısı yukarıda anlatmış olduğumuz işlemleri gerçekleştirdikten sonra aktif hale gelmiştir. Bu bolumde VPN bağlanacak kullanıcılarımızın sayısı kadar IP ayırıyoruz. Ayıracak olduğumuz IP adresleri, oluşturmuş olduğumuz VPN IP Blogu içerisinde olan IP adreslerinden olmak zorundadır. Amacımıza Gore istersek Subneting çalışması yaparak ihtiyacmız kadar IP ayırabilir veya tamamen bir subneti buraya atayabiliriz. Bizim ihtyiacımız 10 kullanıcı olduğu için ilgili IP leri ayrıdım.

Forigate Firewallımız üzerinde yapacak olduğumuz VPN yapılandırılmaını tamamlamış bulunmaktayız. Client Tarafında yapacak olduğumuz işlemeler;

  • Ağ Bağlantılarından Yeni bağlantı oluşturu seçiyoruz ve sırasıyla aşağıda ki adımları takip ediyoruz.

  • Yeni bir bağlantı oluşturma sihirbazı karşılıyor bizleri. İleri diyoruz..

  • İkinci seçenek olan Ağa Çalışma yerimden bağlan (Evden, işyerinden ya da başka bir yerden çalışmak için bir iş ağına çevirmeli yâda VPN olarak bağlanın bölümünü seçiyoruz. İleri..

  • Sanal Özel Ağ bağlantısı. (İnternet üzerinden bir sanal özel ağ (VPN) bağlantısı kullanarak ağa bağlanabilirsiniz bölümünü seçiyoruz. İleri.

  • Bağlantı ADI bölümünde şirket adını veya kendi tanımımıza uygun olan bir isimi yazarak ilerliyoruz.

  • VPn Sunucu seçimi bölümünde Şirketimizin sahip olmuş olduğu (Bağlanacak olduğumuz server’ın, Fortigate Frewall’ın) DIŞ IP’ sini yazıyoruz.

  • Ve Finish diyerek bağlantı sihirbazımızı bitiriyoruz.

image010  

 

Oluşturmuş olduğumuz bağlantımızın ilgili bolumlerine kullanıcı adı ve şifremizi doğrulattıktan sonra gorulduğu üzere Fortigate Firewall’ımıza bağlanmış bulunmaktayız.

image011

Fortigate Firewall’ımıza bağlanmış olmamız, şirket networkune bağlanmış olmamız anlamına gelmemektedir. Daha henüz Fortigate Firewall üzerinden VPN bağlantısı gerçekleştiren kullanıcılarımızın İç Networke Erişmesi İçin Gerekli Kuralı Oluşturmadık.

image012

Gerekli kuralı oluşturmak üzere WEB Config Firewall Polcy bolumune giderek gerekli kuralı oluşturuyoruz.

image013

Yukarıda görüldüğü üzere gerekli kuralımızı oluşturduk.

image014

Artık VPN Clientlerimiz şirket netwrokune ulaşıp, guvenli bir şekilde yerel networkdeymiş gibi işlemlerini yapabilmektedirler.

image015

VPN bağlantısından sonra VPN Clientlerimzin yaşayacak olduğu en büyük sıkıntı bağlantıdan önceki gibi Internet’e erişemeyecek olmasıdır. Bunun sebebi ise VPN bağlantısından sonra VPN Clentlerimizin Ağ Geçitleri dğişmekte olup, Fortigate firewall üzerinde de VPN Clientler için WEB Erişim kuralı oluşturmazsak eğer WEB’ e çıkamayacaklardır.

image016

Gerekli kuralı oluşturmak üzere WEB Config Firewall Polcy bolumune giderek gerekli WEB kuralımızı oluşturuyoruz. Protection Profile bolumumuzu seçersek eğer şirket networkumuz için oluşturmuş olduğumuz WEB Erişim Profile sini VPN Clientlerimiz için uygulatabiliyoruz.

image017

Oluşturmuş olduğumuz Kuralımızı Policy sıralamasında uygun yere taşıyoruz.

image018

Bu şekilde yapmış olduğumuz bir yapılandırmanın – dizaynın bizlere salayacak olduğu avantaj dan bahsetmemiz gerekirse eğer; uzak mağazalarımız Merkez networkü için uygulamış olduğumuz WEB yasalamalarından, korumalarından, izinlerinden yararlanacak olmasıdır.

image019

Konunun daha iyi anlaşılması için vermiş olduğum ornek fakaonline.com web sitemize uzak VPN Clientimizin VPN bağlantısından sonra izlemiş olduğu yolda ki gittiği ilk HOP (hedef) Firewallımzıdr.

image020

VPN bağlantısı olmadığı zaman ise uzak loksyonda ki mağazamızın ilk gitmiş odluğu HOP (hedef) ise kendi lokalinde ki AĞ Geçididir.

image021

Dizayn şeklimizi biraz daha geliştirip, oluşturmuş olduğumuz bu VPN Bağlantımızı Varsayılan bağlantı olarak yapılandırıp, Uzak lokasyonda ki bilgisayarlarımızı Domainimizin üyesi yapıp, local’e girişlerini yasaklarsak eğer.

image022

Ve ilk logon olma ekranında log on using dial-up connection bolumu işaretlenirse eğer uzak lokasyonda bulunan kullanıcılarımız hem domainimize mecburi olarak bir giriş yapacaklar hemde WEB korumasından yararlanacaklardır.

 

Fatih KARAALİOGLU

 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu