Check Point R76 ürünü ile IPSec Site to Site VPN yapılandırmasından bahsetmek istiyorum. Anlatımımı bir kaç başlık altında topladım.
Check Point Remote Gateway objelerinin yapılandırılması
Lokal ve Remote (Lokal) Network’lerin yapılandırılması
VPN Community ’sinin oluşturulması
VPN tüneli kullanacak network’lerin topology ile ilişkilendirilmesi
Firewall Rule’larının tasarlanması
Test!
Şimdi kullandığım lab topolojisine geçebiliriz.
GW1 isimli firewall’un internal network’ünde:
E-vault.info Active Directory domain’i hizmet vermektedir.
Exchange Server 2013 CAS ve Mailbox Server’lar ( ayrı sunucularda ) hizmet vermektedir.
Symantec Enterprise Vault 10.0.4 arşivleme sunucusu hizmet vermektedir.
Yapıda Security Information & Event Management için HP ArcSight Logger ( Selda’nın sunucusu ) hizmet vermektedir.
FW2 isimli firewall’un internal network’ünde:
Test amaçlı bir windows 7 client çalışmaktadır.
Yapılandırmaya başlayayım.
Check Point Remote Gateway objesinin yapılandırılması
Bu kısımda yapılan ayarlar lokal firewall ve remote firewall için yapılır. IPSec VPN hizmeti ile ilgili her iki firewall’da da yapılan ayarlar sonucunda IPSec VPN tüneli açılabilir.
GW1 üzerinde:
GW1’in topolajisi aşağıdaki gibidir.
GW1 objesi üzerinde IPSec VPN blade’ini devreye alalım.
Firewall özelliklerindeki alt kısımdan kutucuğu işaretlediğinizde sol kısımdaki bölgede IPSec VPN bölümü görünecektir.
Remote VPN gateway için ( remote peer için de diyebiliriz ) gateway objesini oluşturuyoruz.
Üstteki seçeneklerden “Externally Managed VPN Gateway” ile devam edeceğiz. Remote Peer, Checkpoint dışında bir cihaz ise
“Interoperable Device” ile devam edebilirsiniz.
Oluşturduğum remote vpn gateway’in özellikleri üstteki gibidir. IP adresine, yazımın ilk kısımlarında aktardığım topoloji resminden bakabilirsiniz.
Normal şartlarda Gateway objesinin topolojisi ip adresini içerir! Üstteki resimde topology tab’ına bakarsanız ( henüz yeni oluşturduğunuzdan dolayı ) topology table’ın ip adresini içermediğini görebilirsiniz.
Gateway( remote peer için oluşturulan obje) objesinin topology tab’ına ip adresni “external” olarak ekleyiniz!
Aynı yapılandırmayı diğer firewall üzerinde de yapmalısınız. Diğer firewall’daki durumu aşağıya aktarıyorum.
Karşı taraftaki Checkpoint objesinin durumu ise aşağıdaki gibidir.
Local ve Remote Local Network’lerin yapılandırılması
Her iki checkpoint üzerinde, hizmet verdiği LAN’a dair network objesi ve uzak site’daki network objesi oluşturulmalıdır.
Benim lab ortamıma uyarlarsak;
172.20.1.0/24 network’ünü ve 172.29.1.0/24 network’ünü gösteren iki network objesi oluşturulmalıdır.
Üstte görüldüğü üzere her iki firewall’da hem kendi internal network’lerini hemde karşı tarafın internal network’lerini gösterir objeleri oluşturdum.
VPN Community ’sinin oluşturulması
Community yapılandırması için IPSec VPN blade’inin tab’ını kullanıyoruz.
Mesh : Her peer’in biribirine doğrudan bağlı olduğu durum
Start: Ortada bir peer, diğer peer’ler ortaya bağlı. Klasik hub&spoke modeli
Test ortamımda mesh topoloji’yi kullandım. Meshed Community detayları aşağıdaki gibidir.
Participating gateway kısmı, bu cummunity’ye katılacak gateway’leri göstermektedir.
Şifreleme method’ları konusunda çeşitliliğe gitmek isterseniz bir sonraki tab ihtiyaçlarınızı karşılayacaktır.
Tunnel Management kısmında, tunel’in sürekli olma durumunu ve tunelin nasıl paylaştırılacağını belirliyorsunuz. Normal şartlarda varsayılan ayarlar idealdir.
Gelişmiş ayarlarda Shared Secret tanımlaması çok önemlidir!
Her iki peer’deki vpn community’sinde de aynı olmalıdır!
Community için, Gateway’lerin internal network’lerinin aynı ip bloklarında olup olmama durumuna göre NAT devre dışı bırakılabilir.
Benzer özeliklerde bir VPN community ‘si diğer Checkpoint’te de oluşturulmalıdır!
Üstte de görüldüğü gibi participating gateway’ler sağdaki iki checkpoint’tir.
VPN tüneline girmesi istenilen network’lerin topoloji ile ilişiklendirimesi
Her iki firewall objesinde ( local ve remote gateway objelerinde ) tüneli kullanacak network’ler belirlenmelidir.
GW1 için durum aşağıdaki gibidir.
GW1 ‘deki remote vpn gateway için topoloji ilişkilendirmesi aşağıdaki gibidir.
FW2’deki topoloji – vpn domain eşleşmesi durumu aşağıdaki gibidir.
FW2’de remote vpn gateway için topoloji – vpn domain eşleşmesi durumu aşağıdaki gibidir.
Topoloji ile kullanılacak vpn domain’ini yani tuneli kullanacak ip network’leri belirlerken, ip network objelerini group’landırpm o group ’u da kullanabilirsiniz.
Örneğin üstteki gibi VPN_IP_Network şekilinde bir “simple group” objesi altında ilgili ip network’lerini toplayıp vpn domain definition kısmında bunu kullanabilirsiniz.
Firewall Rule’larının tasarlanması
Firewall rule’ları haricinde üstteki aşamaları her iki (Check Point) gateway için de yaptıysanız normal şartlarda VPN tuneli açılacaktır.
Bu durumu SmartView Tracker’dan gözleyebilirsiniz.
Permanent Tunnel log’unun detayına bakarsanız,
tünelin açıldığını görebilirsiniz.
Peki firewall rule’u ne işe yarayacak ? Rule ile tunel’i “hangi portu/protokolü ve/veya hangi source’un/destination kullanımına açacağız?” sorusunu cevaplıyoruz. Yine her iki firewall’da uygun rule’lar yazılmalıdır.
FW2’deki durum aşağıdaki gibidir.
GW1’deki durum aşağıdaki gibidir.
Üstteki rule ’larda görüldüğü üzere karşılıklı internal network’lerin; ICMP echo’larının, RDP isteklerinin, DNS sorgularının ve https taleplerinin S2S_VPN community’si kapsamındaki participant gateway’ler arasında açılan IPSec VPN tüneli ile iletişimine imkan tanıdık. Artık windows 7 client ile bir kaç servisten faydalanmaya çalışalım ve SmartView Tracker ile log’larına bakalım.
Test!
Test için; client’ın Exchange Server 2013 üzerinde duran mailbox’ına Outlook Anywhere ile bağlanmasını ve Symantec Enterprise Vault üzerinde duran arşivine erişmesini sağlayıp log’a bakacağım.
Bakınız üstte görüldüğü üzere windows 7 client açıldığında Domain Controller’a DNS sorgusu yaptı ve bu sorgu olması gerektiği gibi tünele girdi.
Windows 7 client’ımda Outlook 2010’u açtım ve RPC over HTTPS trafiği DNS sorguları ile karışık olarak hemen log’a yansıdı ve 172.20.1.40 ip adresine sahip Exchange Server 2013 CAS ’ına gitti.
Outlook Anywhere bağlantısı da outlook tarafında sağlandı.
Noah@e-vault.info kullanıcısı arşivine erişmek istediğinde bu talebi, log’a aşağıdaki gibi yansıyor.
Hatırlayacağınız üzere Symantec EV’nin ip adresi 172.20.1.38 idi.
Kullanıcının outlook’u tarafında ise durum aşağıdaki gibidir.
EV’nin bütün servisleri çalışıyor görünene göre
Bir yazıda daha sona geldik. Bu yazımda Check Point R76 üzerinde Firewall ve IPSec VPN blade’lerini kullanarak Site to Site VPN yapılandırması açıklamaya çalıştım.
Herkese sorunsuz ve neşeli günler dilerim.