Network

Genel VPN Sistemleri


Günümüzde ulaşım maliyetlerinin düşmesi ile şehirler, ülkeler hatta kıtalar arası ulaşım zamanları saatler ile ifade edilir hale gelmiştir ve bunun sonucu olarak eskiden bir şehirde konuşlanmış firmalar artık bir şehrin farklı mahallelerinde değil bir ülkenin farklı illerinde şubeler açar duruma geldiler. Tabi bu gelişme ve aynı kaliteye aynı miktar ücret ile ulaşmaya çalışan tüketiciler için güzel bir durum. Fakat bu denli dağıtık bir yapıyı merkezi kaynaklardan yararlandırmaya çalışan Bilgi işlemciler için durum pek de sevindirici değil. Günümüzde internet omurgasının büyümesi ve IPV4 yetersizliği nedeni ile her bir cihaza direk bir IP vermek hem koruması ve yönetmesi açısından zor olan hem bir ton güvenlik açığı barındıran hem de maliyetli bir yapı. IPV4 ün yetersizliğinden dolayı oluşan yetersiz IP durumu nedeni ile günümüzde Yerel ağlarımız ile Internet arasında NAT ( Network Adress Translation ) ( Bkz. http://www.cozumpark.com/blogs/network/archive/2008/03/27/network-address-translation-nat.aspx ) sistemi bulunmaktadır ki bu beklide yüzlerce cihazdan oluşan ağımızın tek bir IP üzerinden internete çıkışı demektir. Bu durumda internet üzerinden yerel ağımıza gelen istekleri aynı portu aynı anda sadece bir noktaya yönlendirebilirsiniz mantığı ile tek bir cihazımız karşılayacaktır ki bu durum yüzlerce istemciden oluşan ağımız için sorun teşkil etmektedir. Tabi bunun içine Domin sistemimiz ve şirket yönetim politikası içinde belirlenmiş Policylerimiz girdiğinde her noktada bir AD kurmak ve bunları yönetmek gerekecektir ki onlarca noktası olan bir sistemde bu nerdeyse imkansızdır.


Bu durumda karşımıza bir kaç özel bağlantı seçeneği gelmekte, bunlardan eski ve hala kullanılsa da maliyet olarak pahalı ve taşıma yapılan hatta dataların şifresiz şekilde aktarılması ve şirket bilgilerinin öğrenilebilir olmasından dolayı point to point hatlar farklı bağlantı şekillerinin üzerinden taşınsa da artık hem maliyetli hem de güvensiz durumdalar. Sonuçta kimse şirket bilgilerinin ve verilerinin bir başkasının eline geçmesini istemeyecektir.  Bu durum sonucunda hali hazırda bulunan internet bağlantılarımızın kullanılarak cihazımızın desteklemesi durumunda VPN ( Virtual private Network ) yapıları kullanılabilir. Bu şekilde kendimize özel Extranet ler oluşturup internet omurgası üzerinden taşıma yapsak da sağlanan yüksek güvenlik sayesinde verilerimizin bizim isteğimiz dışında birisine ulaşmasını engelleyebiliriz.


VPN sistemleri ağdan ağa, istemciden ağa şeklinde uygulanabilmektedirler. Piyasa birçok model ve markada VPN yapabilen cihaz bulunmaktadır fakat birçok marka ve modelde kendisine özgü VPN algoritmaları ve sistemleri geliştirmektedir ve bu soncunda tam bir karmaşa durumu oluşabiliyor. Almanız gereken VPN cihazında standart olarak desteklenmesi gereken birkaç temel özellik var bunların başında tabiî ki algoritmalar gelmekte VPN algoritması olarak piyasada kullanılan cihazlar standart olarak PPTP,L2TP,IPSEC tabi şifreleme algoritması olarak AH, ESP ( DES,3DES,AES ) ve damgalama algoritması olarak MH5 ve SHA1. Bazı VPN cihazları tek faz desteklemektedir bu nedenle çift faz çalışan sistemler ile birlikte kullanılamıyorlar bu nedenle alacağınız cihazda çift faz olması piyasada bulunan birçok cihaz ile sorunsuzca VPN bağlantısı kurmanızı sağlayacaktır. VPN sistemleri genellikle çift FAZ ve MAIN mode aracılığı ile kurulmaktadır fakat cihazların birbirlerine uyum gösteremediği durumlarda AGGRESSIVE ( Tüm algoritmaların açılması ve hangisinde uyum sağlanırsa onunla bağlanılması ) moda kullanılır.


Tabi günümüzde taşınan verinin miktarının artması ile VPN trafiği için hat hızları yetersiz kalmaya başlamıştır Metro Ethernet gibi çözümlerin ülkemizde pahalı ve sadece bölgesel olarak veriliyor olması sonucu olarak da Internet yapısı olarak gelişmemiş bölgelerimizi merkez sistemle buluşturmak buluşturulsa dahi hızlı bir trafik elde edebilmek bazı durumlarda kâbus olabilmektedir. DrayTek ve Clavister marka cihazlar gerek VPN Trunk gerekse VPN balance sistemleri ile bu gibi durumlara birden fazla hattan birden fazla hatta Balance ya da Birden fazla hattan tek bir hatta Balance sistemleri ile çözüm bulmaktadır. Merkez noktada bulunan cihazımızın da hızlı bir hatta sahip olmaması sonucu Wan Load Balance yapabilmekteyiz( BKZ. http://www.cozumpark.com/blogs/network/archive/2010/05/15/bant-geni-li-i-y-netimi-ve-wan-load-balance.aspx ) tabi DrayTek cihazları ile birden fazla hatta VPN sonlandırma ve birden çok hat üzerinden tünelleme yapabilmekteyiz.


Örnek diyagramlar alttaki gibidir.


image001


Ağdan ağa sistemi. İki ayrı VPN Router arasında kurulan VPN bağlantısıdır. İki veya daha fazla ağın sanal bir ağ üzerinde birleştirilmesi ile olur kullanılan standart VPn algoritmaları PPTP,l2TP,IPSEC dir Bu algoritmalar dışında başka algoitmalarda kullanılmaktadır fakat sisteme ya da firmaya özeldir. DrayTek cihazları 2 tünelden 200 tünele, Clavister Cihazları 2 tünel aralığından 1 milyon tünel aralığına kadar destek vermektedir. GRE tunnel sistemi şifresiz ve algoritmasızdır bu nedenle direk olarak VPN sayılmaz.


image002


İstemciden ağa yapısıdır. Dışarıda Internet omurgasına çıkışına izin verilmiş ve kullandığı ağ geçidinde bağlantıyı kuracak olduğu algoritma için izin verilmiş istemcilerin gerek Windows VPN istemcisi gerek özel programlar aracılığı ile merkez sisteme bağlanmasıdır. PPTP,L2Tp,IPSEC ve son zamanlarda SSL kullanılmaktadır. Microsoft tarafından bu yapıya özel sertifika bazlı bir sistem daha geliştirilmiş olmasına karşın ( Dünyada ilk olarak Draytek tarafından desteklenmiştir ) şu an için bu sistemden pek bir haber yoktur. Aynı sistem yüksek güvenliğin gerektiği ağlarda LAN kısmında bulunan istemcilerin Internet trafiğinin dinlenmemesi için de kullanılabilmektedir. DrayTek ve Clavister cihazları destekledikleri VPN tunnel sayısını isterseniz Lan to Lan isterseniz Host to Lan bağlantılar için kullanabilirler.


image003


Lan To Lan VPN Backup sistemi her iki noktada birden fazla hat olması yada merkezde hızlı uç noktalarda yavaş ama birden fazla hat olması durumunda, kurulu olan bağlantının kopması durumunda VPN trafiğinin devamlılığını sağlamak için kullanılan ağ dan ağa bağlantı sistemidir. Bu tür yapılarda ikinci hatlar genellikle birinci hattın omurgası dışında kullanılırlar özelliklede karasal hatlara alternatif kablosuz teknolojiler tercih edilir. Fakat bu tür bağlantıların pahalı olması sebebi ile de ağ dan ağa VPN yaparken ikinci hat ve yedek VPN tüneli ancak birinci hat ve VPN tunnelinin kopması durumunda devreye girerler.


Diyagramda görüldüğü gibi ilk yapıda tüm trafik VPn tunnelinden akmakta ikinci hat hali hazırda kuruluda olablir birinci hattın kopması durumunda da bağlanması söylenebilir durumda hazır beklemektedir.


İkinci kısımda ilk hat ya da VPN tüneli koptuğu için VPN trafiği ikinci hatta aktarılmıştır.


image004


Ağ dan ağa VPN Load Balance, sistem temel olarak veri iletişimin hızlandırılmasına dayanmaktadır. Aktif Aktif şeklinde kurulu olan iki tünel Merkezde bulunan bir hatta yada karşılıklı hatlara sürekli bağlıdır. Algoritma olarak Round Robin kullanılır ve trafik hat sayısına göre bölünerek karşı tarafa iletilir, hatlardan birisinin kopması durumunda trafiğin hepsi otomatik olarak sağlam olan hatta taşınır.


image005


VPN Trunk ve VPn Routing, aslında VPN trunk sistemi VPN Load Balance sistemidir basit anlamda iki veyahut daha fazla VPN tunnelin birleştirilerek hızı arttırmaktır. Bazı durumlarda özellikle VPN cihazımızın VPN tunnel sayısı tüm noktalara bağlanmamıza yetmediği zamanlarda VPN Routing yaparız ve merkezimize bağlı olan diğer bir ağa gidebilmek için merkeze bir yönlendirme yaparız. Diyagramda görüldüğü gibi A ve B noktaları arasında VPN li yada VPN siz yüksek hızlı hat bulunmaktadır, A1 ve B1 noktaları birbirlerine gidebilmek için ilk önce A ve B cihazlarına gidip sonrasında birbirlerine gitmektedirler. İkinci durumda A cihazının internet bağlantısı kopmuş fakat B noktası ile olan bağlantısı devam etmektedir ve A1 cihazı VPN backup özelliği sayesinde B1 noktasına VPN tunneli oluşturmuş ve burada VPN Routing kullanarak A ve B1 noktaları ile olan iletişimine devam etmektedir. DrayTek cihazları 4 VPN tunneline kadar Clavsiter Cihazları 300 VPN tunneline kadar bu yapıyı sorunsuzca desteklemektedir. Ayrıca Clavister cihazlarında GRE tunnel sayısının bir limiti yoktur ve Routin tablonuzun sınırı ile sınırlandırılmıştır buda ortalama bir model için 1000 adet GRE tunnel demektir.


DrayTek cihazlarında PPTP VPN. Yapabilmek için izlenmesi gereken üç adımdan ve kontrol edilmesi gereken bir adımdan oluşan toplam dört adım vardır.


Windows istemcileri ile bağlanılacak ise “VPN and Remote Access >> PPP General Setup” kısmında “Dial-In PPP Encryption(MPPE) “ kısmının “ Require MPPE(40/12 bit ) olduğundan emin olunuz.


image006


VPN and Remote Access >> Remote Dial-in User kısmına gelerek boş bir index numarası seçiniz.


image007


“VPN and Remote Access >> Remote Dial-in User Index *” kısmında yapılması gerekenler sırası ile “ Enable this account “ kısmını aktifleştirin, “Username” ve “Password” kısımlarını doldurunuz. DrayTek cihazları modele göre radius ve LDAP veri tabanlarını larını kullanabilmektedir. Kullanıcının size hangi metotlar ile bağlanabileceğiniz “Allowed Dial-In Type “ kısmından seçiniz ve “ ok “ butonuna basınız.


image008


Kullanıcı istemcisi aracılığı ile doğrulamasını yaptığında “VPN and Remote Access >> Connection Management “ kısmında aktif tüneli, Alınan ve gönderilen data boyutlarını görebilirsiniz.


image009


Artık şirket dışında bulunan ve şirket içi kaynaklara ulaşması gereken personellerimiz, rahatlıkla omurgamıza dahil olabilir ve yan masamızda oturan mesai arkadaşımız kadar uzağımızdadır.


Şirketin bir başka şubesinde bulunan tüm personel bu şekilde sisteme dahil edilebilir, fakat burada bir sorun ortaya çıkacaktır ki bu sorun hem bant genişliği sorunu hem de çok fazla sayıda kullanıcı adı ve şifresi ile uğraşma sorunu. DrayTek cihazları kendi Kullanıcı depolarını kullanabildikleri gibi VPN için LDAP ( AD ) ve Radius ( IAS ile LDAP sorgusu yaptırılabilir )aracılığı ile farklı DB lerden kullanıcı tanımlaması yapabilirler. Kullanıcıların tanımlamalarını bu şekilde çözsek dahi her bir işletim sistemi her bir cihaz ve her bir kullanıcıya sorun çıkması durumunda tek tek müdahale etmek çok uzun zaman alacağı için bu gibi durumlarda şirketin diğer kısmı, şubesi LAN TO LAN şeklinde dirak ağ olarak sisteme dahil edilir. Bu gibi bir durum için Örnek cihazlarımız DrayTek 2820 ve DrayTek PRO 5500 UTM cihazları arasında VPN tüneli oluşturacağız.


LAN TO LAN VPN tuneli oluşturulması sırasında dikkat edilmesi gereken birkaç konu bulunmaktadır. Bunların başında VPN kurulacak olan her iki network farklı network ID lerine sahip olmalıdır. Bunun nedeni sistemin ROUT ing ile çalışmasıdır. Bildiğiniz gibi rout tabloları her sistemde mevcuttur ve burada nereye nasıl ve hangi yolu izleyerek gideceği konusunda bilgiler bulunmaktadır, her iki network ün aynı ID de olması durumunda oluşacak sorun diğer networke gitmeye çalışan sistemin kendi routing tablosuna bakarak bilmediği bu ağa gitmek yerine kendi ağında arp sorgulaması yapacağıdır.


image010


Bu çıktı benim kullandığım netbook cihazının “route PRINT” komutunun sonucudur. Görüldüğü gibi 172.20.1.0/24 bloku kendine bağlıdır ve bu blokta olan herhangi bir pc için ağ geçidine sorgu yapmıyacaktır. Listenin başında olan 0.0.0.0 yani benim bilgisayarımda tanımlı olmayan her IP için ağ geçidim olan 172.18.1.1 cihazına gidecektir ( IP lerin karışık oldugunu biliyorum fakat sistemimde ARP Publish sistemi ili birden fazla IP ye sahip bir Gateway cihazı kullanıyorum ). O zaman benim VPN ile bağlı olan noktalarım hem birbirleri ile aynı hem de benim kendi network subnetimle aynı olmamalıdır.


LAN TO LAN bağlantı sistemlerinde doğrulama öncelikli olarak IP adresine yada ID adresine göre yapılır bizim yapacağımız örnekte ilk doğrulama IP adresine istinaden yapılmaktadır bu durumda LAN TO LAN kuracağım tüm VPN bağlantıları için noktalarımızda sabit IP adresine ihtiyaç var.


Kurulum temel bir kaç adımdan oluşmaktadır. Öncelikli olarak her iki cihazda da;


VPN and Remote Access >> LAN to LAN kısmına girerek boş bir INDEX seçelim. Doldurulması gereken ilk kısım her iki cihaz içinde Common Settings kısmıdır ve amacı VPN aramalarının yönlerini belirlemek, canlılık sürelerini belirlemek, birden çok hattımız var ise hangi hattın bu işlem için kullanılacağını belirlemektir.


image011


Cihazlarda dikkat ederseniz NETBIOS paketleri özellikle yasaklanmaktadır. Bunun başlıca sebebi çok fazla cihazdan oluşan sistemlerde BRODCAST, MULTICAST gibi hareketlerin çok sık olması ve gereksiz trafik oluşturmasıdır. Bu nedenle VPN gibi FastEthernet sisteminde göre yavaş sistemlerde istenmeyen paketlerdir. Bir çok marka bu tür paketleri kesemediği için, bu markaları kullanan kullanıcılar VPN tünel hızlarının çok yavaş olduğundan şikayet etmektedir, ama DrayTek lerde bu şekilde bir sorun bulunmamaktadır.


image012


Piyasada bulunan bir çok cihazda olmayan VPN arama yönü DrayTek cihazlarında mevcuttur. Bunun nedeni sistemin çok noktalı yapılarda kullanılması durumunda gereksiz VPN hat kontrollerinden kurtulmak ve kontrolün yönünü belirleyerek gereksiz session açılmasını önlemektir. Biz 30 ve üzeri noktalı yapılarda Merkez olarak belirlenmiş noktaların kedinlikle Dial-In şeklinde kullanılmasını tavsiye ediyoruz, bu şekilde merkezden diğer noktalara boşu boşuna VPN tetikleme için paket transferi yapılmayacak ve bent genişliğimiz korunacaktır. BOTH modu her cihaz tarafından desteklenen belli zaman aralıklarında sana bir istek gelmez ise sen bir istek de bulun anlamına gelen yapıdır. MESH topoloji tarzında bir yapı kuracaksanız kullanımı en kolay sistemdir. Fakat STAR ( Bkz. http://www.cozumpark.com/blogs/network/archive/2008/04/29/temel-a-topolojileri.aspx ) yapı şeklinde bir sistem kuracaksanız kesinlikle DialOut ve DialIn kısımlarını kullanınız.


BU menüde dikkat edilmesi gereken diğer husus, enable ping keep alive kısmıdır, VPN tünelleri uzun vade kullanılmadığı zaman askıda kalma gibi sorunlar ile karşılaşılır. Bu nedenden dolayı bu kısım DialOut olan kısım için aktifleştirilip datanın VPN tünelinden geçmesi için karşıda bulunan ROUTER cihazının LAN bacağı pinglenmelidir.


image013


Eğer cihazların her ikisinde de BOTH modu seçilirse her iki cihaz içinde Dialin ve DialOut menüleri tam olarak doldurulmalıdır. Tabi BOTH sistemine ihtiyacınız yok ise ve bizim yapımız gibi cihazlardan birisi DialOut diğeri Dialin ise sadece gerekli menüleri doldurmalısınız. Dial Out olacak cihaz için VPN sonlandıracak olan cihaza hangi met hot ile gideceğini söylemelisiniz. Biz yapı itibari ile IPSEC kullanmaktayız ve iki veyahut daha fazla ağ birleştirilecekse IPSEC kullanımını tavsiye ederiz. Tabi ki Bağlanacak olan cihaza bağlanacağı IP adresini de söylemeliyiz ki cihaz bu tunel için nereye gitmesi gerektiğini bilsin. Biz bu yapıda IKE şifreleme kullandık fakat istenilirse X.509 doğrulaması da kullanılabilir, X.509 mail adresi gibi tanımlamalar yapılabilen bir sistemdir. IPSEC için güvenliğin üst düzeyde olması için 3DES algoritmasını kullandık, bu şekilde verilerimizi çok yüksek bit değerlerinde şifrelemiş olduk. Tabi Draytek cihazlarında VPn tünelleri için zamanlama vermek mümkündür bu şekilde belli saat aralıklarında açılması ve tekrar kapanması sağlanabilir, bunu çok farklı amaçlar için kullanmak elbette mümkündür.


image014


VPN tüneli sonlandıracak olan cihaz için Dialin menüsü ayarlanmalıdır, Dialin menüsünde bazı farklılıklar vardır,  En başta gelen farklılık birden fazla doğrulama metodu kullanılabilir tabi bu durum birazda karşıdan gelecek olan cihazın hangi metodu kullandığını bilmiyorsak kullanılabilecek bir sistem. Cihaz IPSEC kullandığı için istek de bulunacak cihazın IP yada ID adresini giriyoruz. Cihazların her ikisinde aynı olması gereken IKE şifremizi giriyoruz, burada unutulmaması gereken karşılıklı VPN yapacak cihazlarda IKE şifresinin aynı olması gerekmektedir. Fakat farklı noktalara aynı cihazdan yaptığınız VPN tünellerinde biz farklı IKE şifreleri kullanmanızı tavsiye ederiz. DrayTek cihazları gelen bağlantıları kabul etmek için istenilirse gelen bağlantı MAIN moda dahi olsa Aggressife moda karşılama yaptırılabilir ki bu özeliği ile sonlandıramayacağı bir VPN tüneli bulunmamaktadır. Tabi güvenliği arttırmak ve karşıdan gelecek olan bağlantının şifrelemesini biliyorsak bizim gibi sadece 3DES seçebiliriz.


image015


VPN üzerinden balance yapmayan modellerimizde dördüncü menü Network menüsüdür ve ayarlanmakta olan cihaz için karşı tarafta bulunan ağın tanımlandığı kısımdır.


image016


image017


Her iki cihazda karşı tarafta olan network hakkında bilgi verilmektedir, ayrıca her iki cihazda da olan MORE kısımlarının içerisine karşı tarafta olan network bilgileri girilir ise cihaz bu VPN tuneli üzerine o networkler içinde bir ROUT yazacaktır. Bu şekilde tek bir Tunnel ile merkez cihaza bağlı olan tüm noktalara ulaşabilirsiniz. Artık VPN tünelimiz oluşturuldu cihazlarımızın VPN and Remote Access >> Connection Management kısmından VPN tünelimizin oluşup oluşmadığını kontrol edebiliriz.


image018


image019


image020


Bu diyagrama istinaden oluşturduğumuz VPN tünelimiz artık çalışmaktadır ve hostlarımız birbirleri arasında rahatlıkla veri transferi yapabilmekte ve tüm kaynakları ortak şekilde kullanabilmektedirler. Cihazlar VPN ara yüzlerinde oluşan veri trafiğini anlık olarak göstermektedir fakat bununla ilgili kayıt tutmak ve takip etmek isterseniz tüm modeller SNMP sistemi ile uyumlu ve VPN bağlantı bilgilerini SNMP aracılığı ile SNMP sunucularına gönderebilmektedirler.


Umarım noktalar arası veri transferleri ve VPN ile ilgili sorun yaşayan arkadaşlara bir nebzede olsa yararı olur.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu