ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Donanım

Fortigate Firewall PPTP VPN Yapılandırıması (Fortigate Firewall PPTP VPN Configuration)

 

Organizasyonların bir çok ihtyiaçtan dolayı uzak lokasyonlarda bulunan şubelerini, fabrikalarını, portatif kullanıcılarını vb.. merkez networküne eriştirme ihtiyacı duymaktadırlar. Yapılacak olan her bağlantı çeşidinin Merkez networküne bir takım Güvenlik tehdidi gibi unsurları meydana getirmektedir. Günümüz teknolojiinde bilinen en güvenli bağlantı çeşidi VPN (Virtual Private Network (Sanal Özel Ağ)) bağlantısı olup, bu bağlantıyı sağlayan gerek yazılımsal, gerek donanımsal birçok ürün piyasada bulunmakta olup her ürünün kendisine has şifreleme algoritması ile güvenliği tartışılmaktadır.

image001

Bizler bu yazımızda Fortigate Firewall üzerinden portatif kullanıcılarımızın merkez networküne erişmelerini ve merkez networkünde bulunan program, data, online işlemlerini sanki yerel networkdeymiş gibi kullanmalarını sağlayacağız.

image002

Varsayılan olarak Web Config \ VPN \ PPTP bolumune girdiğimiz zaman PPTP RANGE (VPN Clientlermize verilecek olan IP aralıgını) belirleyemyoruz. Bunun nedeni ise Firewallımız içerisine VPN ile bağlanacak kullanıclarımızı belirlememiş olmamızdır. Fortigate Firewallımız içerisne kullanıcılarımızı oluşturmak üzere;

image003

Web Config \ User \ Local \ Create New diyerek kullanıcılarımızı ve bağlantı şifrelerimizi oluşturuyoruz. (Turkçe karaktere duyarlı değildir.)

image004

Web Config \ User \ User Group \ Create New diyerek oluşturmuş olduğumuz kullancılarımızı bir grubun içerisine topluyoruz. (Turkçe karaktere duyarlı değildir.)

image005

Oluşturmuş olduğumuz kullanıcılarımızı ve grubumuzu gorebiliyoruz. Bu guruumuz şuanda silinebilir durumda olduğunu belirtmek isterim ki sebebi bu grubumuz için herhangi bir işlem yapmamış olmamızdan kaynaklanmaktadır.

image006

Merkez Networkumuza bağlanacak lan kullanıcılarımızın VPN yapmış olduğumuz Fortige Firewall üzerinden alacak oldukları IP blogunu belrliyoruz. Ip Blogunu belirlemek için Web Config \ Firewall \ Address bolumu altında Merkez networkumuzun sahip olduğu IP blogu haricinde bir IP blogu belirliyoruz.

image007

IP Bloğumuzu oluşturmuş bulunmaktayız.

image008

Oluşturmuş olduğumuz IP Blogunu bir grubun içerisine bağlamamız gerekmektedr. Bunun için Web Config \ Firewall \ Address \ Group \Create New butonuna basarak grubumuzu oluşturuyor ve oluşturmuş olduğumuz VPN IP Blogunu bu grubumuzun üyesi yapıyoruz.

image009

Makalemizin başında aktif hale getremediğimiz PPTP VPN Bağlantısı yukarıda anlatmış olduğumuz işlemleri gerçekleştirdikten sonra aktif hale gelmiştir. Bu bolumde VPN bağlanacak kullanıcılarımızın sayısı kadar IP ayırıyoruz. Ayıracak olduğumuz IP adresleri, oluşturmuş olduğumuz VPN IP Blogu içerisinde olan IP adreslerinden olmak zorundadır. Amacımıza Gore istersek Subneting çalışması yaparak ihtiyacmız kadar IP ayırabilir veya tamamen bir subneti buraya atayabiliriz. Bizim ihtyiacımız 10 kullanıcı olduğu için ilgili IP leri ayrıdım.

Forigate Firewallımız üzerinde yapacak olduğumuz VPN yapılandırılmaını tamamlamış bulunmaktayız. Client Tarafında yapacak olduğumuz işlemeler;

  • Ağ Bağlantılarından Yeni bağlantı oluşturu seçiyoruz ve sırasıyla aşağıda ki adımları takip ediyoruz.

  • Yeni bir bağlantı oluşturma sihirbazı karşılıyor bizleri. İleri diyoruz..

  • İkinci seçenek olan Ağa Çalışma yerimden bağlan (Evden, işyerinden ya da başka bir yerden çalışmak için bir iş ağına çevirmeli yâda VPN olarak bağlanın bölümünü seçiyoruz. İleri..

  • Sanal Özel Ağ bağlantısı. (İnternet üzerinden bir sanal özel ağ (VPN) bağlantısı kullanarak ağa bağlanabilirsiniz bölümünü seçiyoruz. İleri.

  • Bağlantı ADI bölümünde şirket adını veya kendi tanımımıza uygun olan bir isimi yazarak ilerliyoruz.

  • VPn Sunucu seçimi bölümünde Şirketimizin sahip olmuş olduğu (Bağlanacak olduğumuz server’ın, Fortigate Frewall’ın) DIŞ IP’ sini yazıyoruz.

  • Ve Finish diyerek bağlantı sihirbazımızı bitiriyoruz.

image010  

 

Oluşturmuş olduğumuz bağlantımızın ilgili bolumlerine kullanıcı adı ve şifremizi doğrulattıktan sonra gorulduğu üzere Fortigate Firewall’ımıza bağlanmış bulunmaktayız.

image011

Fortigate Firewall’ımıza bağlanmış olmamız, şirket networkune bağlanmış olmamız anlamına gelmemektedir. Daha henüz Fortigate Firewall üzerinden VPN bağlantısı gerçekleştiren kullanıcılarımızın İç Networke Erişmesi İçin Gerekli Kuralı Oluşturmadık.

image012

Gerekli kuralı oluşturmak üzere WEB Config \ Firewall \ Polcy bolumune giderek gerekli kuralı oluşturuyoruz.

image013

Yukarıda görüldüğü üzere gerekli kuralımızı oluşturduk.

image014

Artık VPN Clientlerimiz şirket netwrokune ulaşıp, guvenli bir şekilde yerel networkdeymiş gibi işlemlerini yapabilmektedirler.

image015

VPN bağlantısından sonra VPN Clientlerimzin yaşayacak olduğu en büyük sıkıntı bağlantıdan önceki gibi Internet’e erişemeyecek olmasıdır. Bunun sebebi ise VPN bağlantısından sonra VPN Clentlerimizin Ağ Geçitleri dğişmekte olup, Fortigate firewall üzerinde de VPN Clientler için WEB Erişim kuralı oluşturmazsak eğer WEB’ e çıkamayacaklardır.

image016

Gerekli kuralı oluşturmak üzere WEB Config \ Firewall \ Polcy bolumune giderek gerekli WEB kuralımızı oluşturuyoruz. Protection Profile bolumumuzu seçersek eğer şirket networkumuz için oluşturmuş olduğumuz WEB Erişim Profile sini VPN Clientlerimiz için uygulatabiliyoruz.

image017

Oluşturmuş olduğumuz Kuralımızı Policy sıralamasında uygun yere taşıyoruz.

image018

Bu şekilde yapmış olduğumuz bir yapılandırmanın – dizaynın bizlere salayacak olduğu avantaj dan bahsetmemiz gerekirse eğer; uzak mağazalarımız Merkez networkü için uygulamış olduğumuz WEB yasalamalarından, korumalarından, izinlerinden yararlanacak olmasıdır.

image019

Konunun daha iyi anlaşılması için vermiş olduğum ornek fakaonline.com web sitemize uzak VPN Clientimizin VPN bağlantısından sonra izlemiş olduğu yolda ki gittiği ilk HOP (hedef) Firewallımzıdr.

image020

VPN bağlantısı olmadığı zaman ise uzak loksyonda ki mağazamızın ilk gitmiş odluğu HOP (hedef) ise kendi lokalinde ki AĞ Geçididir.

image021

Dizayn şeklimizi biraz daha geliştirip, oluşturmuş olduğumuz bu VPN Bağlantımızı Varsayılan bağlantı olarak yapılandırıp, Uzak lokasyonda ki bilgisayarlarımızı Domainimizin üyesi yapıp, local’e girişlerini yasaklarsak eğer.

image022

Ve ilk logon olma ekranında log on using dial-up connection bolumu işaretlenirse eğer uzak lokasyonda bulunan kullanıcılarımız hem domainimize mecburi olarak bir giriş yapacaklar hemde WEB korumasından yararlanacaklardır.

 

Fatih KARAALİOGLU

 

Yorumlar

 

Rahmi DILLI

Elinize sağlık Fatih hocam.

Mart 24, 2008 08:25
 

Eren VARDAL

Hocam ellerine sağlık.

Denemek istiyordum çok iyi oldu.

Mart 25, 2008 16:18
 

Atalay SARAC

Hocam ellerine sağlık denicem.

Nisan 9, 2008 12:10
 

Umit GEZER

uzun süredir ugraşıpta hep atlayarak başaramadıgım bişeydi teşekürler eline aklına saglık

Nisan 17, 2009 14:21
 

Aykut Sinan ES

Bu Farklı Bakış Açıları İçin Ayrıca Teşekkürler Fatih Hoca, Emeğine Sağlık.

Mayıs 13, 2009 01:44
 

dsonat

Çok güzel ve faidesi ve vitamini bol bir paylaşım olmuş..

Aralık 18, 2009 16:38
 

ibrahim yaman

Eline sağlık fatih hocam

Ekim 18, 2011 23:09
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Fatih KARAALIOGLU

1984 İstanbul doğumluyum. 1998 Yılından beri bilişim sektöründe bulunup, bu zaman zarfı içinde çeşitli rollerde görev aldım. Şu anda Probil Bilgi İşlem Destek ve Danışmanlık San. ve Tic. A.Ş. içinde Kurumsal Entegrasyon Uzmanı ve Danışman olarak görev almaktayım. Çalışma hayatım içinde çok çeşitli firma yapılarını inceleme şansım oldu ve beraberinde yeni projeleri, yeni deneyimleri getirdi. Üretmiş olduğum çözümler ağırlıklı olarak Microsoft Sunucu Sistemleri ve Sunucu Sistemleri Yönetim Araçları’ dır. Temmuz 2010 tarihinde Microsoft Yönetim Araçları içinde bulunan Microsoft System Center Data Protection Manager yazılımı için MVP ünvanını kazandım. Bu ünvanı elde etmek benim için pek kolay olmadı. Aslında bu yol, biraz olsun benim kişiliğimi ve rakip tanımaz hırsımın bir göstergesi olduğuna inanıyorum. Bu ünvanı aldıktan sonra Blogumda Paylaşmış olduğum Eğer Büyüye Bilirsem bir gün, Abaküs ile IP hesaplaması yapan ilk MVP olacağıma inanıyorum isimli duygu ve düşüncelerimi okuyabilir ve beni biraz daha iyi tanıyabilirsiniz.

Bu Kategori

Hızlı aktarma

Etiketler