Fortigate IPSec-VPN Policy NAT

Bu yazıyı yazmaya neden ihtiyaç duydum kısaca sebebini yazayım,

Diyelimki bir şirketiniz var ve bu şirket iki şubeden oluşmakta, her bir şubede birer sunucunuz mevcut, bu sunucuları bir hat üzerinden (TTVPN,Metro, GHSDL v.s.) konuşturuyorsunuz bir sıkıntınız yok.

Şirket yönetimi bu iki şube arasındaki bağlantının hiç kopmaması, kopukluk olsa bile bunun minimize indirmeyi sizden istedi, çözüm için aklınıza muhtemelen ilk gelen şey yedek hat olacaktır.

Çözüm yollarından biri olarak ben IPSEC-VPN hakkında kısa bir trik belirteceğim,

Aşağıda paylaştığım linkte IPSec-VPN nasıl yapılır arkadaşlar anlatmış, zaten arama motorlarında arasanızda birçok kaynak var,

http://www.cozumpark.com/blogs/fortigate/archive/2008/03/30/fortigate-firewall-_3101_psec-vpn-ba-lant-s-fortigate-firewall-_3101_psec-vpn-connections.aspx

http://www.beyaz.net/tr/dokumanlar/ipsec-vpn-interface-mode-kurulumu-ve-konfigur.html

fg_natFakat problem şu ki sunucularınız tek olduğundan ve bunlar için route tanımlamalarını aktif hat yani TTVPN,GHSDL v.s. üzerinden yapmıştınız, IP’ler aynı olduğundan tekrar bir route tanımı yapamıyorsunuz…

Çözüm yollarından birini kısaca yazacağım;

Belirlenecek networkler arasında IPSec – VPN tüneli kurduktan sonra(yukarıda IPSec-VPN tünel kurulumundan arkadaşlar bahsetmişti) sonrasında aşağıdaki basamakları uyguluyoruz,

1. VPN kurulan networkte daha önce kullanılmamış bir IP belirliyoruz,

2. Virtual IP(Static Nat) tanımı yapıyoruz, bu tanımı yaparken External IP olarak 1.basamakta belirlediğimiz IP’y, yazıp Mapped IP olarakta sunucu reel IP’sini yazıyoruz.

3.sonra bu Virtual IP için bir policy yazıyoruz. Bu policy source IP’si karşı şubeden gelen lokal IP, destination IP olarakta belirlediğimiz virtual IP tanımlamasını giriyoruz.

İşlem tamamdır,

Önemli Not: bu policy’i yazarken dikkat etmemiz gereken durum hangi portlar arasında policy yazacağımızdır?

Bu portları belirlerken karşı şubenin IPSec VPN ile sizin networkünüze (Phase2 de belirttiğiniz network ve porta) dahil olduğunuzu kaçırmamanız ve policy tanımını buna göre yapmanız işinizi çözecektir. Yani IPSec VPN kurduğunuzda artık karşı şubeniz sizin internet portunda değiller… 

Written by 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.