Cisco

PIX/ASA Uzerinde ASDM ile Cisco VPN Client Konfigurasyonu

Bu makalemde PIX/ASA lar üzerinde ASDM (Adaptive Security Device Manager) ile remote vpn client bağlantı konfigürasyonunu anlatmaya çalışacağım. Bu makalede uyguladığım konfigürasyon ASA version 7.2 üzerinde test edilmiştir. 

Benim oluşturduğum senaryo; bir merkez ofisimiz var diyelim. Uzak kullanıcılar buradaki bir uygulamaya veya veritabanına bağlantı kurulması isteniliyor.  Buradaki en uygun çözüm VPN olur çünkü doğru algoritmalar kullanıldığında güvenlidir. Kullanıcılar VPN yaparak lokal network e ulaşabilir ve istediği uygulamayı sanki merkez ofiste çalışıyor gibi kullanabilir. Aynı zaman Uzak Masaüstü uygulamalarında da Remote VPN yapılabilir.

image001

Network diyagramı görüyorsunuz. Buradaki topolojiyi kullanacağız. VPN hakkında portalımızda yeterince makale var bende VPN hakkında (Hashing, Encryption vs) detay vermeyerek sadece VPN konfigurasyonu tarafını ve konfigurasyon tarafında yaşayabileceğiniz problemleri anlatmaya çalışacağım.

 

Test aşamasında kullandığım yazılımlar ve cihazlar:

ASDM 5.2

Cisco VPN Client 4.8.01.0300

ASA 5505 with version 7.2

Cisco 877-K9 ADSL (Bridge Mode)

 

ASDM i pc nize yükleyebilir veya browser üzerinden cihaz ip si ile çalıştırabilirsiniz. Varsayılan cihazın ip si 192.168.1.0/24 bloğundadır ve  Ethernet 0/0 wan portu ve Ethernet  0/1-0/7 portları lan portu olarak geçer. 

image002

 

ASDM ile cihaza bağlanıyoruz. Wizards menüsünden VPN wizard I seçiyorum.

image003

 

Remote Access VPN I seçiyoyorum. Tunnel interface outside olarak seçili kalıyor.

image004

 

Cisco VPN Client için konfigurasyonu yapacağım dilerseniz Windows üzerinde de de vpn client atanabilir.

image005

 

Ortak bir anahtar belirliyorum ve Tunnel için grubu yazıyorum.

image006

 

Local Database de kimlik doğrulamasını yapacağım. Eğer sizin kullandığınız AAA/Radius server var ise kimlik doğrulama tarafını AAA/Radius yapabilir.

image007

 

Lokal user için kullanıcı adı ve password belirliyorum.

image008

 

VPN kullanıcıları için pool atıyorum. Burada kullanış ve logları takip açısından sizin lokal network ünüzden ayrı bir bloktan ip dağıtmak daha uygundur.

image009

 

DNS ayarlarını belirliyoruz. Ben boş bırakıyorum böylece dns leri inherit (miras) alacak yani cihaz üzerindeki dns ayarlarını kullanacak.

image010

 

Burada PHASE 1 encryption metodlarını belirliyoruz. Ben DES – MD5 ve Diffie Hellman Group 2 seçtim. DES – MD5 algoritması güçlü encryption metodları değildir. Kullandığım ASA 5505 üzerinde Encryption Lisansı olmadığı için bu algoritmaları seçtim. Tavsiyem 3DES ile AES 128, 192… seçebilirsiniz. 

PHASE 1 Encryption metodundan VPN Client geçemiyor ise algoritmaları kontrol etmek gerekir. Örneğin, Cisco VPN Client DES – SHA desteklemiyor. Uyguladığınız algoritmayı desteklemiyor ise, ASDM e aşağıdaki loglar düşer:

Group = Muhasebe, IP = 88.xx.xx.xx, Error: Unable to remove PeerTblEntry

Group = Muhasebe, IP = 88.xx.xx.xx Removing peer from peer table failed, no match!

image011

 

PHASE 2 Encryption metodlarını belirliyoruz. Bu sefer PHASE 1 den geçer fakat PHASE 2 ye takılırsa aşağıdaki loglar düşer :

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, PHASE 1 COMPLETED

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, All IPSec SA proposals found unacceptable!
Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, QM FSM error (P2 struct &0×132hde0, mess id 0xsdsf01z86c)!

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, Removing peer from correlator table failed, no match!

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, Session disconnected. Session Type: IPSec, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatc

IP = 88.xx.xx.xx, Received encrypted packet with no matching SA, dropping

image012

 

Eğer network ünüzde VPN Client ın sadece belirli makineye ve makinelere erişmesini sağlamak istiyor iseniz, Lokal network ünüzden saklamanız gerekir. Onu da buradan yapıyoruz. Burada belirlediğiniz bir ip veya grubu ekleyebilirsiniz. Ben VPN Client ın tüm network e erişmesini istediğim için boş bırakıyorum. En alttaki checkbox “ Enable Split Runneling” ise önemlidir;

Oradaki checkbox işaretli olmaz ise, VPN Client ‘ın tüm paketleri tunnel üzerinden vpn gateway e gider ve VPN Client internete remote gatewayden çıkar. Disable olması hız açısından uygun değildir çünkü VPN Client ın tüm paketleri, tunnel üzerinden gittiğinden client yapmak veya çalıştırmak istediği uygulamada yavaşlık söz konusu olabilir ayrıca VPN Client lokal network üne ulaşamaz. Onun için Split tunneling enable olması bant genişliği açısından uygundur fakat güvenlik için uygun değildir

Split Tunneling kullanılmamasının avantajı, tüm trafik ASA ya yönleneceği için, cihaz üzerindeki güvenlik politikalarına ve filtrelerini kullanır. Ayrıca tüm trafik tunnel üzerinden encrypt edildiği için daha güvenlidir. Split Tunneling kullanıldığında internet trafiği encrypt edilmez ve sniffer veya benzeri bir software yardımı ile 3. şahıslar tarafından vpn bağlantı bilgileri  görülebilir ve şirket network ünüze ulaşılabilir.

Yapınıza ve amacınıza göre karar verebilirsiniz. Makalede her iki konfigürasyon tarafına değiniyor olacağım.

Aşağıda Split Tunneling etkin olmayan (disable)  için network diyagramını ekliyorum.

image013

 

 

image014

 

Wizard ile yaptığımız konfigürasyonu özetini görüyorsunuz. 

image015

 

VPN Client için Dynamic Nat  kuralı ekliyoruz.

image016

Enable traffic between….. checkbox ını seçiyoruz. Buradaki seçenek ile aynı interface üzerinde 2 veya daha fazla client arasındaki trafiği aktifleştirmiş oluyoruz.

Şimdi Client tarafındaki yapılandırmayı inceleyelim;

 

image017

 

Cisco VPN Client kurduktan sonra. New diyerek yeni bir profil oluşturacağız.

image018

 

Bağlantıya bir isim veriyoruz. Host kısmına  VPN gateway in IP si yazıp oluşturduğumuz grubun ismini ve şifresini yazıyoruz.

image019

 

Connect dedikten sonra, VPN Client PHASE1 ve PHASE2 den geçerse; Username ve Password gireceğimiz bir pencere açılır. Buradaki bilgileri girdikten sonra Connected olarak bağlantığı başarılı bir şekilde görülür. Cisco VPN Client üzerinde encryption algoritmalarını belirlemiyoruz. VPN Client otomatik olarak algoritmaları algılar ve bağlantı kurmaya çalışır.

Ayarlarımızı kontrol edelim:

image020

 

Whatismyip.com dan kontrol ettiğim gibi şu anda split tunneling aktif değil ve Client Remote gateway den internete çıkıyor. Split Tunneling için kural oluşturacağız.

image021

 

VPN – Group Policy üzerinden oluşturduğumuz grubu editliyoruz.

image022

 

Client Configuration sekmesinden, Split Tunnel Network list e gelip manage I seçiyoruz.

image023

 

Burada bir Split Tunneling kuralı yazılmış bunu editleyip veya yeni bir kural yazabiliriz. Ben yeni bir kural yazıyorum. ADD menüsünden ACL seçiyorum ve bir isim atıyorum.

image024

 

Daha sonra yine ADD menüsünden ACE I seçiyorum ve bir permit (izin) kuralı yazıyorum. Buradaki yazılan network VPN Client ın lokal network ü. OK i seçip save ettikten sonra

image025

 

Split Tunnel Network List menüsünden oluşturduğum kuralın seçili olduğunu kontrol ediyorum.

image026

 

Tekrar kontrol ettiğimde VPN Client kendi gateway in çıktığını ve lokal network e eriştiğini kontrol ediyorum.

 

Bu makalemde ASA 5505 üzerinde Cisco VPN Client konfigürasyonunu anlatmaya çalıştım. Umarım yararlı olmuştur. 

Kaynaklar:

http://www.cisco.com/en/US/products/sw/secursw/ps2308/prod_configuration_examples_list.html

 

Murat GÜÇLÜ

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu