ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Network

Palo Alto Firewall ile Draytek Modem Arasında Site-to-Site VPN Kurulumu

Uzun yıllar Palo alto ve Draytek modemler kullanmış birisi olmama rağmen iki cihaz arasındaki Site-To-Site VPN yapılandırmasında ciddi anlamda zorlandım. Bütün ayarlar her iki markanın teknik dokümanlarında anlatılan ve olması gerektiği gibi gözükse de aşağıdaki problemler ile karşılaştım,

clip_image002

Tunel trafiği time out hataları yüzünden sürekli kopuyordu.

Paloalto tarafında Tunel başarılı şekilde oluşturulmuş gözüksede, Draytek Connection Manager üzerinde görülmüyordu.

Karşılıklı olarak Tunel trafiği kuruldu gözüksede üzerinden veri geçişi olmuyordu.

Cihazlar üzerinde hatalar ile ilgili dump bilgilerinde sadece session time out hatası ortaya çıkıyordu.

Sonrasında, konuyla ilgili arkadaşlarımdan yardım istesem de tanıdıklarımın hiçbiri iki cihaz arasında bu yapılandırmayı yapmadıklarını belirttiler. Bende hiç üşenmeyerek problemin kaynağı olabileceğini düşündüğüm ve 250 ‘den fazla olasılığın olduğunu bile bile IPSEC güvenlik methodlarını karşılıklı olarak tek tek denemeye kadar verdim ve birkaç denemeden sonra stabil bir bağlantı elde edebildim. Böylelikle bir teknik makale kendiliğinden çıkıverdi J

Kısa bir bilgiden sonra yapılandırmya önce Draytek tarafından başlıyoruz. Bunun için draytek Vigor yönetimine giriyoruz ve VPN -  Remote Access - LAN to LAN menüsünden İlk adım olarak  VPN için kullanılacak WAN arayüzünü burada belirliyoruz.

clip_image004

İkinci adım olarak "IPsec Tunnel" seçeneğini seçiyoruz ve Paloalto üzerindeki Wan arayüzüne ait Public IP adresini giriyoruz. Pre-shared Key alanından anahtarımızı belirliyoruz ve bu anahtarı Paloalto üzerinede girmek için unutmuyoruz.

clip_image006

IPsec Securiy Method tipini High(ESP) seçerek Faz1 ve Faz2 için değerlerimizi aşağıdaki gibi belirliyoruz.

clip_image008

TCP/IP bölümlerine Local ve Uzak lokasyonumuzun LAN ip bilgilerini giriyoruz. Eğer uzak lokasyonumuzda birden fazla subnet’e sahipsek More düğmesine basarak onlarıda girmeyi unutmuyoruz.

clip_image010

 

Artık Paloalto trafındaki ayarlara geçebiliriz. Öncelikle bir Tünel arayüzü yaratmak için Network – Interface ve Tunel menüsüne giriyoruz. Comment bölümüne açıklama yazarak, hataları, kurallarını daha iyi analiz etmek  ve yapılandırmak için yeni bir zone oluşturuyoruz.

clip_image012

Faz1 yapılandırması için aynı ekrandaki IKE Crypto menüsne giriyoruz ve Draytek üzerinde yapmış olduğumuz ayarların aynısı burada yapıyoruz.

clip_image014

Faz2 yapılandırması için aynı ekrandaki IPSEC Crypto menüsne giriyoruz ve Draytek üzerinde yapmış olduğumuz ayarların aynısı burada yapıyoruz.

clip_image016

Sıra geldi Tunel için Gateway oluşturmaya. Bu adımda iki cihazımızın sahip olduğu Wan IP adreslerini ve Paylaşım anahtarını giriyoruz.

clip_image018

Hemen sonrasında Advanced Options menüsünden Değişim tipini Main olarak seçiyoruz ve Faz1 için oluşturmuş olduğumuz profili kaydediyoruz.

clip_image019

Sıra geldi Tunelimizi oluşturmaya. Aslında bu adımda gerekli olan tüm ayarlarımızı yukarıdaki 3 adımda oluşturduğumuz için sadece seçeneklerden gerekli profilleri seçiyoruz.

clip_image021

Proxy ID’s bölümünden iki lokasyon arasındaki networklerin eşleştirmesini yapıyoruz.

clip_image023

Virtual Routerımız tunel arayüzünü ekliyoruz.

clip_image025

Uzak lokasyona gidecek olan trafiği Statik Route yöntemi ile tünelimize yönlendiriyoruz.

clip_image025[1]

Sıra geldi son adım olan karşılıklı olarak iki lokasyon arasında güvenlik kuralı oluşturmaya. Burada önce Any – Any – Allow yapılandırması yapıp tünelimizin sorunsuz biçimde oluşmasını gözlemliyoruz. Sonrasında gerekli güvenlik sıkılaştırmasını yaparak iki lokasyon arasında iletişimi sağlıyoruz.

clip_image027

 

İşlemlerin sonunda karşılıklı olarak Tunel trafiğini kontrol ediyoruz.

clip_image029

Faydalı olması dileğimle.

 

Tarih : 23 Nisan 2017 Pazar 22:37 Yayınlayan: Ersin CAN

Yorumlar

 

Rıza ŞAHAN

Ersin hocam eline sağlık.

Nisan 24, 2017 10:26
 

Ertan ERBEK

Eline sağlık üstad.

Nisan 25, 2017 15:45
 

Bilgehan POYRAZ

Ersin hoca eline sağlık.

Haziran 7, 2017 11:09
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Ersin CAN

Okuldaki Basic dersinde tanışmıştım ilk bilgisayarla. Hatırladığım kadarıyla o günlerde Windows 98 SE raflardan kaldırılmış yerine Windows 2000 ler gelmişti. Anlayacağınız çoğu bilişimci büyüğüm gibi ne Commodore 64 düm nede bir Amigam oldu. Windows Server 2003 Release olduğu gün ise iş hayatına adım atmıştım. Şuan büyük bir kurumda Sistem Yöneticisi olarak çalışıyorum. Aldığım Eğitimler ve Sertifikalar 2007 – Cisco CCNA Eğitimi 2008 – Checkpoint NGXI ve NGXII Eğitimi 2008 – Juniper JNCP Eğitimi 2009 – Microsoft Share Point Portal Eğitimi 2010 – Microsoft System Center (SCCM – SCOM) Eğitimi 2010 – Cisco CCNP Eğitimi 2011 – Cisco CIPT 1 ve CIPT 2 Eğitim 2012 – Microsoft Certified IT Professional (MCITP) http://eersincan.wordpress.com/
 

Bu Kategori

Hızlı aktarma

Etiketler