Bu makalemizde şubeleri sabit ip adresine geçirmeden, sadece merkez IP adresi sabit olacak şekilde nasıl birbirine güvenli olarak bağlayabileceğimizden bahsedeceğiz. Bu sayede çok lokasyonlu yapılar kolaylıkla merkeze bağlanabilecektir.
Şubeleri birbirine bağlamak için genel olarak IPSEC VPN kullanılmaktadır. Fakat IPSEC yapılandırması için 2 lokasyonun da sabit IP de olması gerekmektedir. Bu makalemizde bahsedeceğimiz Coslat üzerindeki OpenVPN ile sadece bir lokasyonda (merkez diyebiliriz) sabit ip olması yeterlidir. Bu sayede diğer şube veya şubelerde sabit ip olması gerekmemektedir.
Kısacası Coslat üzerinde kullanılan OpenVPN’i bu bağlantıyı sağlamak amacı ile site to site VPN olarak yapılandıracağız.
Öncelikle OpenVPN client to site bağlantılar için kullanılan bir VPN uygulamasıdır. Server ve client şeklinde çalışmaktadır. Genel olarak kullanıcıların uzaktan kuruma bağlanması için tercih edilir. Bağlanılmak istenen lokasyondaki sunucu yapılandırmasına göre client tarafında kullanıcı adı parola, sertifika, paylaşım anahtarı veya hem sertifika hemde kullanıcı adı şeklinde bağlantılar gerçekleştirilebilir.
Şubeleri merkeze bağlamak için yine aynı server/client çalışma şeklini kullanacağız. Burada farklı olarak client bir kullanıcı değil karşı lokasyondaki Coslat Firewall olacaktır.
Yapılandırma öncesi kimlik doğrulama yöntemi:
OpenVPN servisi ile site to site bağlantıları yapabilmek için Coslat Firewall cihazlarımızdan birini Server diğerini de Client olarak yapılandıracağız. OpenVPN’de site to site VPN için 2 tür kimlik doğrulama yöntemi bulunur. Bunlar;
- Sertifikalı
- Paylaşımlı Anahtarı
Sertifikalı yöntemde sunucu tarafından sağlanan kullanıcı sertifikası ile kullanıcı adı ve parola kullanılarak bağlantı sağlanır. Paylaşımlı Anahtar yönteminde ise Server tarafında oluşturulan paylaşım anahtarı Client olarak yapılandırılan Firewall’a girilir.
Bizler örneğimizde paylaşım anahtarı yöntemini kullanacağız.
Örnek Yapılandırma:
Örneğimiz 2 lokasyon şeklinde olacaktır. Bu örneğimizde Server olarak yapılandıracağımız Coslat Firewall A lokasyonunda, Client olarak yapılandıracağımız Coslat Firewall ise B lokasyonunda olacaktır.
Örneğimizde WAN bağlantıları için Private IP adresleri kullanılmıştır. Günlük hayatta yapılandırmada bu adresler genel olarak Public IP adresleri olacaktır.
Örneğimiz için aşağıdaki ip adresleri kullanılmıştır. 2 adet Coslat Firewall, ek olarak test amacı ile de 2 adet istemci konulmuştur. Bu örneğimizde 172.20.10.0/24 ağı ile 172.20.20.0/24 ağını birbiri ile haberleştireceğiz.
Lokasyon A Coslat (Server) Wan : 10.11.11.11/24 (static ip)
Lan : 172.20.10.1/24
İstemci : 172.20.10.10
Lokasyon B Coslat (Client ) Wan: 10.11.11.12/24 (dynamic ip)
Lan : 172.20.20.1/24
İstemci : 172.20.20.10
OpenVPN Tünel Ağı : 10.90.0.0/24
Server Yapılandırması (Lokasyon A):
Coslat içerisinden VPN – > OpenVPN servisine tıklanır.
Sunucular içerisinde EKLE butonuna tıklayarak yeni bir sunucu oluşturulur.
Örneğimizde bir çok ayar varsayılan olarak bırakılmıştır. Dikkat etmemiz gereken ve değiştireceğimiz ayarlar aşağıdaki gibi olacaktır.
Genel Bilgiler:
Sunucu kipi : Eşler arası (Paylaşılan Anahtar)
Protokol : Yalnızca IPv4’te UDP
Aygıt modu : tun-Katman3 Tünel Modu
Yerel Port : 1194 (standart porttur bu şekilde kalabilir.)
Şifreleme Ayarları:
Bu kısımda Paylaşımlı anahtar özelliği “Otomatik olarak bir paylaşımlı anahtar oluştur” seçeceği işaretlenir. Daha sonra yine bu sayfaya girip oluşturulan anahtar istemci için kopyalanır.
Tünel Ayarları:
IPv4 Tünel Ağ : 10.90.0.0/24 (buradaki ağ Coslat’lar arasındaki sanal bağlantı için kullanılacak ağdır.)
IPv4 Uzak Ağ(lar): 172.20.20.0/24 (Site to Site VPN yapılandırdığımız için B lokasyonun ağ adresi yazılır.)
Eş zamanlı bağlantılar: 1 (Server’a bağlantı kurabilecek eş zamanlı bağlantı sayısını belirtir. Örneğimizde tek lokasyon merkeze bağlanacağı için 1 diyebiliriz.)
Sunucu tarafındaki ayarlamalar sonrası en alt kısımda KAYDET butonu ile ayarlar kaydedilir.
İstemci Yapılandırması (Lokasyon B) :
Coslat içerisinden VPN – > OpenVPN servisine tıklanır.
İstemciler(clients) sekmesinde EKLE butonu ile yeni bir istemci oluşturulur.
Örneğimizde bir çok ayarı varsayılan olarak bırakıyoruz. Dikkat etmemiz gereken ve değiştireceğimiz ayarlar aşağıdaki gibi olacaktır.
Genel Bilgi:
Sunucu kipi : Eşler arası (Paylaşılan Anahtar)
Sunucu host ya da adresi : 10.11.11.11 (server konumundaki Lokasyon A Coslat WAN ip adresi girilir.)
Sunucu portu : 1194 Suncu tarafında servisin çalıştığı port girilir.
Şifreleme ayarı:
Bu bölümünde ise Sunucu tarafında oluşturduğumuz paylaşım anahtarını girebilmek için Otomatik üretmek işareti kaldırılır. Bu bölüm kaldırılınca ise hemen altında Paylaşımlı anahtar bölümü aktifleşir.
Paylaşımlı Anahtar : Sunucuda oluşturulan anahtar girilir. Bu anahtara sunucu tarafındaki kaydedilen OpenVPN düzenlenerek ulaşılabilir. (Lokasyon A daki Coslat OpenVPN ayarlarında ilgili sunucu ayarları içerisinde Şifre Ayarları bölümündedir.)
Şifreleme Algotritması : Sunucu tarafında seçilen algoritma ile aynı seçilmesi gerekir.
Tünel Ayarları:
IPv4 Tünel Ağ : 10.90.0.0/24 (sunucuya girilen tünel ağı ile aynı ağ girilir.)
IPv4 Uzak ağ(lar) : 172.20.10.0/24 (Site to Site VPN yapılandırdığımız için A lokasyonun ağ adresi yazılır.)
İstemci tarafındaki ayarlamalar sonrası en alt kısımda KAYDET butonu ile ayarlar kaydedilir.
İstemcinin bağlanabilmesi ve lokasyonlar arasında trafiğin geçebilmesi için güvenlik duvarından ilgili izinlerin tanımlanması gerekmektedir.
İlk olarak Sunucu tarafında (Lokasyon A Coslat Firewall) istemcilerin bağlanabilmesi için OpenVPN’de ayarlanan 1194 UDP portuna izin verilmesi gerekmektedir.
Daha sonrasında da OpenVPN arabirimi üzerinde ilgili ağların geçişi için izin kuralları eklemelidir.
Bu kuralların eklenmesi kısmına burada değinilmeyecektir. Bunun için detaylı bilgiye http://belgeler.coslat.com adresinden ulaşabilir.
Yapılandırma sonrası bağlantı, örneğimizde A lokasyonundaki 172.20.10.10 bilgisayarından karşı taraftaki B lokasyonunda 172.20.20.10 bilgisayarına ping atarak test edilir. Burada TTL değiri 126 çıkmaktadır, bu değer paketin 2 adet yönlendiriciden geçmiş olduğunu gösterir.
Makalemizde 2 lokasyonu OpenVPN ile bağlamış olduk. Bu örneğimizdeki gibi merkezi bir yapıda sadece merkezin ip adresi sabit kalarak diğer lokasyonlar kolaylıkla merkeze bağlanabilir, hatta gerekli yönlendirmeleri girerek şubeler arası bağlantılar da gerçekleştirebilir.
Eline sağlık, çok yararlı bir makale oldu.
Güzel bir çözüm olmuş çoklu lokasyonlarda internet servis sağlayıcılara yığınla para vermeye gerek kalmadan kurumun hem VPN çözümünü hemde güvenliğini sağlamış oluyorsunuz. Elinize sağlık.