VLAN internet ç...
 
Bildirimler
Hepsini Temizle

VLAN internet çıkışları ve dışarıdan içeriye gelen yönlendirmeler  

  RSS
Yakup TASKENT
(@YakupTASKENT)
Üye

Selamlar;

SOrumu nasıl anlatacağımı bilemediğim için mevcut son yapımı çizmek istedim. Düne kadar sistemimde watchguard yoktu ve herşey ayarını yaptığım şekilde çalışmaktaydı. Cihazı almam ile birlikte yukarıdaki şekilde sistemime entegre ettim. Hala hazırda VLAN ID1 olarak görünen networküm internete sağlıklı bir şekilde çıkıyor. Watchguard üstünden de verdiğim yetkiler gayet güzel çalışıyor. Gelelim problemlerime;

1) VLAN ID1 haricindeki tüm VLAN'lar watchGuard üstünde yetki vermeme karşın takılıyor. Örnek trace çıktısı aşağıda;

 En fazla 30 atlamanın üstünde

google.com [173.194.70.101]'ye izleme yolu :

1     1 ms     1 ms     1 ms  172.16.10.7

2     *        *        *     İstek zaman aşımına uğradı.

--------------------------------------------------------------------------------- 

 çalışan networkün trace çıktısı;

En fazla 30 atlamanın üstünde

google.com [173.194.70.101]'ye izleme yolu :

  1     1 ms     1 ms     1 ms  172.16.1.7

  2    <1 ms    <1 ms    <1 ms  172.16.1.3

  3    <1 ms    <1 ms     1 ms  192.168.1.1

  4     3 ms    12 ms     9 ms  195.175.73.233.static.turktelekom.com.tr 

 

2) MetroEthernet olduğu için mecburen sonlandırmayı juniper üstünde yapıyorum. Bu yüzden juniperı tamamen iptal şansım yok. Dışarıdan gelen bağlantılarda UnTrust -> Trust yönlendirmesi yaptığımda içerideki cihaza ulaşamıyorum.(VLAN ID1)

 

 Sorular;

1) 1. problem için WatchGuard üstünde 172.16.x.x -> Any-External -> Any Port - Allow yetkisi vermeme karşın cihaz internete çıkmıyor. Bu problemi gidermek için watchguard üstüne daha nasıl bir ayar yapmama gerekli? default vlan internete çıkarken diğerlei neden çıkamıyor?

2) Dışarıdan bağlanmak istediğimde içerideki pcye ulaşamıyorum. Gene aynı şekilde Any-External -> 172.16.1.x -> port -> Allow dememe karşın sonuç 0. pcnin gw ni watchguard hiç yokmuş gibi 1.1 e yönlendirirsem (ister direk ister backbone üstünden) bağlantı çalışıyor. Yani takılma watchguard kısmında. Bu işlem için başka nasıl bir ayar yapmam gerekli?

 

resmen kafam durdu. yardımlarınızı bekliyorum 

Alıntı
Gönderildi : 19/12/2012 16:23
Hakan Çorak
(@HakanCorak)
Üye

Traffic Monitor altındaki logları incelemişsinizdir sanırım. Paylaşırsanız daha çabuk ve doğru cevap verilebileceğini düşünüyorum 

CevapAlıntı
Gönderildi : 20/12/2012 15:57
Erdal Orsavas
(@erdalorsavas)
Üye

Merhaba,

 Birinci soru için Hakan Bey'in bahsettiği gibi Traffic Monitor'e düşen loglara bakmak gerekir. Hangi interface den girip hangisinden çıkıyor vs.

İkinci sorun ise benim anladığım kadarıyla NAT işlemi WatchGuard üzerinde doğru uygulanmıyor.  Eğer 1-1 NAT yaptıysanız to kısmında dış IP adresini vermeniz gerekiyor, değilse From'da Any-External To'da ise DIŞ_IP -> 172.16.x.x şeklinde NAT işlemi yapılmalıdır. 

Bu arada yapınızın karmaşık olduğunu söylemeye gerek yok sanırım 🙂  MetroEthernet hattınızı WatchGuard üzerinde gerekli VLAN ayarlarını yaparak sonlandırabilirsiniz.

Selamlar. 

CevapAlıntı
Gönderildi : 20/12/2012 16:13
Yakup TASKENT
(@YakupTASKENT)
Üye

SORU 1 için) PC IP YAPILANDIRMASI (VLAN ID10) 

IP Adres. . . . . . . . . . . . . : 172.16.10.50
Alt Ağ Maskesi. . . . . . . . : 255.255.255.0
Varsayılan Ağ Geçidi. . . . : 172.16.10.7
DNS Sunucusu. . . . .. . . . : 172.16.1.19 / 195.175.39.40

PC  TRACE ÇIKTISI

C:\Documents and Settings\Administrator>tracert google.com

En fazla 30 atlamanın üstünde
google.com [173.194.70.139]'ye izleme yolu :

1 2 ms 1 ms 1 ms 172.16.10.7
2 * * * İstek zaman aşımına uğradı.

WatchGuard Trafik Monitore o an attığı LOG

2012-12-21 11:32:27 Allow 172.16.10.50 173.194.70.139 icmp 1-Trusted 0-External Allowed 92 1 (172.16.10.x network-00) proc_id="firewall" rc="100" src_ip_nat="192.168.1.2" Traffic
2012-12-21 11:32:31 Allow 172.16.10.50 173.194.70.139 icmp 1-Trusted 0-External Allowed 92 1 (172.16.10.x network-00) proc_id="firewall" rc="100" src_ip_nat="192.168.1.2" Traffic

 

Bu vlandaki pc internete çıkmıyor. ancak default vlandaki örneğin benim pc aynen internete çıkıyor. internete çıkan pc trace çıktısı

En fazla 30 atlamanın üstünde

google.com [173.194.70.102]'ye izleme yolu :

  1     1 ms     1 ms     1 ms  172.16.1.7

  2    <1 ms    <1 ms    <1 ms  172.16.1.3

  3    <1 ms     1 ms     1 ms  192.168.1.1

  4     2 ms     2 ms     1 ms  195.175.73.233.static.tur

5.73.233] 

 

SORU 2 için) yaptığım işlemler aşağıdaki gibi 

not: backbone üstünden GW i 172.16.1.1 yaparsam yani hiç watchguard yok dersem sistem çalışıyor. anlayacağınız juniper trust bölgedeki tüm ipleri geçirirken watchguard geçirmiyor

not 2 : metro hattımı watchguard üstünde sonlandıramıyorum çünkü xtm5 serisinde spfs cibig modülü mevcut değil 

not 3: yapı aslında gayet basit watchguardı görmezseniz

internet <-> juniper <-> backbone <-> pc şeklinde sistemim zaten çalışıyordu. şimdi ise tek fark

internet <-> juniper <-> watchguard <-> backbone <-> pc olması burada ince nöans benim için backbone ile juniper bağlantısını iptal etmeyip backbone gw ini değiştirerek UTM kullanma yada kullanmamayı seçebilmem 

CevapAlıntı
Gönderildi : 21/12/2012 13:44
Erdal Orsavas
(@erdalorsavas)
Üye

Merhaba,

 Gördüğüm kadarıyla buradaki hata interfacelerinizin VLAN olarak tanımlı olmayışıdır. Yani siz bir interface'e VLAN tagları ile çalışmadığını söylerseniz ki sizin senaryonuda bu şekilde, gelen paketlerdeki VLAN ID'leri tanımayacak dolayısıyla trafik akmayacaktır. 

Bunun haricinde Dynamic NAT kısmındaki tanımları kaldırmanıza gerek yok bence.

Son olarak sorun bunlardan kaynaklanmıyorsa 172.16.10.0/24 bloğu için 192.168.1.1 adresine route yazmanız gerekecektir.

Selamlar. 

CevapAlıntı
Gönderildi : 21/12/2012 15:07
Yakup TASKENT
(@YakupTASKENT)
Üye

selamlar; VLAN problemimi sonunda halletim. Problem sizinde dediğiniz gibi route kısmındaymış. Ben dikkatsizlik sonucu network route yerine host route girmişim. Tabi dolayısıyla route yapamadığında vlanlar çözmüyormuş. şimdi tüm vlanlarımı internete çıkarabildim.

 ikinci problemim için hala uğraşıyorum dışarıdan yönlendirmeler için

internet -> 172.16.1.1 (juniper) -> VIP 172.16.1.26:3003 (pc) -> 172.16.1.7 (pc gw) -> 172.16.1.3 (watchguard)

döngüsünde pc nin GW 'ini ya da GW 'in route unu 1.1 (juniper) yaparsam dışarıdan bağlanabiliyorum. fakar yukarıdaki döngüden iken bağlantı sağlayamıyorum. kesin watchguard tarafında birşeyler gözümden kaçıyor ya da eksik yapıyorum

pclerin 3003 portundan çıkması için  any-trusted -> any-ext ->  tcp:3003 kuralım var çalışıyor. 

dışarından içeriye de tüm alternatifleri yazdım sonuç gene aynı. sizce neyi yanlış yapıyorum? ya da atlıyorum?  

CevapAlıntı
Gönderildi : 22/12/2012 12:02
Erdal Orsavas
(@erdalorsavas)
Üye

Yakup Bey merhaba,

WatchGuard'ın buradaki son nokta olması sanıyorum ki farazi bir tanım. Çünkü normalde şöyle olmalı : 

internet -> 192.168.1.1 (juniper) -> VIP 192.168.1.2:3003 (watchguard) (EXTERNAL IF) ->172.16.1.26:3389 ( INTERNAL IF'nin Clienti ) ->172.16.1.3 (WG IP adresi ) (pc gw) 

   Yani, Internetten Juniper'a gelecek olan 3003 portu WatchGuard'a NAT edilecek ki VIP ile bunu yapıyoruz, WatchGuard'da kendisine gelen 3003 nolu paketi 3389'a statik olarak NAT edecek. Tabii bu durumda PC'nin gateway adresinin mutlaka WatchGuard olması gerekiyor. Aşağıdaki makaleyi incelemenizi öneririm, tam olarak sizin istediğinizi tarif ediyor.

  http://www.cozumpark.com/blogs/gvenlik/archive/2011/02/12/watchguard-utm-zerinde-statik-nat.aspx

  Umarım  işe yarar çünkü aksi takdirde cihaza ve loglara bakmak gerekecektir.

Selamlar

 

CevapAlıntı
Gönderildi : 24/12/2012 13:08
Yakup TASKENT
(@YakupTASKENT)
Üye

Tekrardan selamlar;

Söylediğiniz makaleyi daha önce okumuştum. Zaten ayarlarım da ona uygun. Problemimin NAT ta olduğunu sanmıyorum. Sizin yazdığınız yönlendirmeyi tekrardan okurken farkettim ki problemim aslında juniper kısmında düzgün VIP yapamamak.

Juniper'da

ZONE:

POLICY: 

Kuralıyla pclerim / networküm watchguard üstünden gelerek internete çıkıyor. Sıkıntı yok.

Dışarıdan içeri gelmelerde ise;

POLICY:

şeklinde policy tanımım ve

VIP: 

tanımım mevcut. Gördüğünüz gibi dışarıdan içeriye gelen 3003 portunu 192.168.1.2 (WatchGuard EXT) a yönlendirdiğim zaman status DOWN da kalıyor yani yönlenme olmuyor. 192.168.1.2 / WatchGuard a ulaşmak için cihaz üstünde

ayarlarım da mevcut ama sonuç gene aynı. Juniper bilginizde varsa yardımcı olursanız sevinirim yüzdüm yüzdüm kuyruğuna geldim. Sizce problem juniper VIP yönlendirmesinde juniper kanadında mı yoksa dış bacağından geleni kabul etmeyen watchguard tarafında mı? bence juniper ama daha ne yapmam lazım jeton düşmedi.

CevapAlıntı
Gönderildi : 26/12/2012 12:27
Erdal Orsavas
(@erdalorsavas)
Üye

Merhaba Yakup Bey,

Juniper'dan bu kadar profesyonel anlamda anladığımı söyleyemem. Ama aradığımda şöyle bir çözüm ile karşılaştım. Belki sizin tarafta da çözüm olabilir. Kontrol etmekte fayda var.

http://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/VIP-Status-Is-Down/td-p/10798

Selamlar. 

CevapAlıntı
Gönderildi : 26/12/2012 13:42
Yakup TASKENT
(@YakupTASKENT)
Üye

Erdal Bey çok teşekkür ederim problemi verdiğiniz link yardımıyla halletim. Şuan için hiç bir problemim kalmadı. Juniper watchguard iletişimleri güzel bir şekilde çalışıyor. 

Konuyu arayan arkadaşlara yardımcı olması bakımından son yaptığım işlemi yazayım

"could you pleas  uncheck Server Auto Detection on the untrust interface

Network > Interfaces > Edit > VIP/VIP Services"

CevapAlıntı
Gönderildi : 27/12/2012 14:06
Erdal Orsavas
(@erdalorsavas)
Üye

Merhaba Yakup Bey,

Sorununuzun çözümüne çok sevindiğim gibi, geri dönüş yaparak aynı sorundan müzdarip olabilecek arkadaşlara da bilgi verdiğiniz için teşekkür ederim.

Selamlar. 

CevapAlıntı
Gönderildi : 27/12/2012 17:44
Paylaş: