Nasıl IPSEC VPN tanımı yapabilirim
Genel bakış
Site-to-Site VPN veya IPSEC VPN private network'lerin internet üzerinden güvenli, şifreli bir şekilde konuşabilmeleri için kurulur. Organizasyonunuza atanmış edge gateway, başka bir edge gateway ile farklı bir organizasyona atanmış edge gateway ile veya VMware Cloud Director dışında bir herhangi bir public cloud provider ile veya yerel'de çalışan herhangi bir güvenlik üreticisinin sanal veya kutu çözümüyle IPSEC VPN bağlantısı kurabilir.
IPSEC VPN kurabilmek için gerekli olanlar;
- Peer ip veya Endpoint ip, IPSEC VPN kuracağınız ve bunu yönetecek olan cihazın ip adresi, genelde public bir ip adresi.
- Interesting traffic denilen IPSEC VPN üzerinden erişmeye çalışacağınız karşı taraftaki network veya network'ler.
- IPSEC VPN kurulumu iki fazlı bir yapıdan oluşur, cihazların ikinci faza geçebilmesi için ilk fazdaki tüm parametrelerin birbirleri ile tutarlı olması gerekir.
- Faz 1 : Faz 2 başlamadan önce iki endpoint arasındaki mesajlaşmayı güvenli bir şekilde sağlamakla yükümlüdür. IKE Mesajlaşması.
- Faz 2 : IP Trafiğinin güvenli bir şekilde akmasını sağlamakla yükümlüdür.
IPSEC VPN Tanımı
Başlamadan önce bir kontrol listesi oluşturun ;
Pre-Shared Key (PSK) : Doğrulama için kullanılacak şifre, karşılıklı iki tarafında aynı anahtara sahip olması gerekir. Örnek : J}K6yA$)b)n~WVSh
Local Endpoint IP Address : NSX-T edge gateway'e atanan public ip aralığından ilk ip adresini veya istediğiniz bir ip adresini belirtin.
Local Networks : Tanımladığınız routed network'lerideki private ip adres bloğunuzu belirtin. Örnek : 10.9.9.0/24
Remote Endpoint IP Address : IPSEC VPN bağlantısı kuracağınız uzaktaki cihazın public ip adresi. Örnek : Karşı taraftaki firewall'ın dış public bacağının ip adresi
Remote Networks : IPSEC VPN üzerinden güvenli olarak ulaşmanız gereken uzaktaki private ip bloğu Örnek : 10.111.96.0/24
Faz 1 için gerekenler : Faz 1 için gerekli olan parametreler karşılıklı olarak belirlenir, VMware Cloud Director varsayılı olarak aşağıdaki ilgili değerleri tanımlamıştır.
Version : IKE v2
Encryption : AES 128
Digest : SHA 2 - 256
DH Group : Group 14
Association Life Time (second) : 86400
Faz 2 için gerekenler : Faz 1 için gerekli olan parametreler karşılıklı olarak belirlenir, VMware Cloud Director varsayılı olarak aşağıdaki ilgili değerleri tanımlamıştır.
Perfect Forward Secrecy (PFS) : Enabled
Defrgmentation : Copy
Encryption : AES GCM 128
Digest :
DH Group : Group 14
Association Life Time (second) : 3600
DPD Probe Interval (second) : 60
Dikkat : Buradaki değerleri farklı set etmek isteyebilirsiniz, bunun için oluşturduğunuz IPSEC konfigürasyonunu SAVE ettikten sonra değişiklik yapmanız için yeni link'ler belirecektir.
Başlayalım
Sol gezinme panelinde Services başlığı altındaki IPSEC VPN link'ine tıklayıp sol üst köşedeki NEW link'ine basın.
Sırasıyla ilgili IPSEC VPN tanımlayan anlamlı bir isim ve açıklama, varsayılı olarak IPSEC aktif olsun diye Enabled düğmesi aktif, faz 1 öncesi doğrulama için Pre-Shared Key, security profile yukarıdaki gibi bunun için Default bırakıldı, Local Endpoint altında size atanan yukarıda anlatıldığı gibi NSX-T sizin tarafınıza ait public ip adresi ve sizin sanal sunucularınızın olduğu private ip bloğu, Remote Endpoint adı altında uzaktaki firewall public ip adresi ve erişeceğiniz private network bilgisini yazıp SAVE düğmesine basın.
IPSEC tünelinin veya karşılıklı olarak iki endpoint arasından bilgi geçip geçemeyeceğini kontrol etmek için "VIEW STATISTICS" link'ine basabilirsiniz.
Bu işlemden sonra hedef ile kaynak arasında gerekli firewall kuralını yazmalısınız, isterseniz iki network arasına herhangi bir kısıtlama olmaksızın veya belli bir uygulama veya port'a doğru izin verebilirsiniz.
Önce bir ping test edelim
Şimdide istatistikleri görelim
Geri bildirim
Bu makaleyle ilgili bir sorun bulursanız ve/veya hizmetlerimizden herhangi birini nasıl iyileştirebileceğimize dair bir fikriniz varsa, info@doruk.net adresine bir e-posta gönderin.
