Önemli Uyarı: |
Makale, ZyWALL/USG cihazlarında VPN Kurulum Sihirbazı'nı kullanarak bir IPSec siteden siteye VPN tüneli kurma konusunda adım adım bir kılavuz sağlar. Bir NAT yönlendiricisinin arkasındaki bir site de dahil olmak üzere iki site arasında VPN tünelinin nasıl yapılandırılacağı ve güvenli erişimin nasıl sağlanacağı açıklanmaktadır. Süreç, varsayılan faz ayarlarıyla bir VPN kuralı oluşturmak, güvenli ağ geçidi IP'lerini yapılandırmak ve yerel ve uzak politikaları ayarlamak için VPN Ayarları sihirbazını kullanmayı içerir. Ayrıca, tünelin işlevselliğini test etmek için doğrulama adımlarını kapsar ve uyumsuz ayarlar veya güvenlik politikası yapılandırmaları gibi ortaya çıkabilecek olası sorunları ele alır.
Kurumsal Ağın (HQ) ZyWALL/USG IPSec VPN Tünelini Kurma
1. ZyWALL/USG'de FortiGate ile kullanılabilecek bir VPN kuralı oluşturmak için VPN Ayarları sihirbazını kullanın. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz
2. Varsayılan faz 1 ve faz 2 ayarlarıyla bir VPN kuralı oluşturmak ve kimlik doğrulama yöntemi olarak önceden paylaşılan bir anahtar kullanmak için Express'i seçin. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü
3. Bu VPN bağlantısını (ve VPN ağ geçidini) tanımlamak için kullanılan Kural Adını yazın. 1-31 alfanümerik karakter kullanabilirsiniz. Bu değer büyük/küçük harfe duyarlıdır. Siteden siteye olacak kuralı seçin. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü > VPN Ayarları (Senaryo)
4. Güvenli Ağ Geçidi IP'sini Şubenin WAN IP adresi olarak yapılandırın (örnekte 172.100.30.40). Ardından, güvenli bir Ön Paylaşımlı Anahtar (8-32 karakter) yazın.
Yerel Politika 'yı ZyWALL/USG'ye (Merkez) bağlı ağın IP adresi aralığı ve Uzak Politika' yı ZyWALL/USG'ye (Şube) bağlı ağın IP adresi aralığı olarak ayarlayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü > VPN Ayarları (Yapılandırma)
5. Bu ekran VPN tünelinin salt okunur bir özetini sağlar. Kaydet'e tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz > Sihirbaz Türü > VPN Ayarları (Özet)
6. Şimdi kural ZyWALL/USG üzerinde yapılandırılmıştır. Faz kuralları ayarları burada görünecektir
Aşama 1: VPN > IPSec VPN > VPN Ağ Geçidi Aşama 2: VPN > IPSec VPN > VPN Bağlantısı Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz > Sihirbaz Türü > VPN Ayarları > Sihirbaz Tamamlandı
7. ZyWALL/USG'nin uzak IPSec yönlendiricisinin kimlik içeriğini kontrol etmesine gerek kalmaması için Peer ID Type'ı Any olarak yapılandırın.
YAPILANDIRMA > VPN > IPSec VPN > VPN Ağ Geçidi > Gelişmiş Ayarları Göster > Kimlik Doğrulama > Eş Kimlik Türü
Kurumsal Ağın (Şube) ZyWALL/USG IPSec VPN Tünelini Kurma
1. ZyWALL/USG'de FortiGate ile kullanılabilecek bir VPN kuralı oluşturmak için VPN Ayarları sihirbazını kullanın. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz
2. Varsayılan faz 1 ve faz 2 ayarlarıyla bir VPN kuralı oluşturmak ve kimlik doğrulama yöntemi olarak önceden paylaşılan bir anahtar kullanmak için Express'i seçin. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü
3. Bu VPN bağlantısını (ve VPN ağ geçidini) tanımlamak için kullanılan Kural Adını yazın. 1-31 alfanümerik karakter kullanabilirsiniz. Bu değer büyük/küçük harfe duyarlıdır. Siteden siteye olacak kuralı seçin. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü > VPN Ayarları (Senaryo)
4. Güvenli Ağ Geçidi IP'sini Şubenin WAN IP adresi olarak yapılandırın (örnekte 172.100.20.30). Ardından, güvenli bir Ön Paylaşımlı Anahtar (8-32 karakter) yazın.
Yerel Politika 'yı ZyWALL/USG'ye (Merkez) bağlı ağın IP adres aralığı ve Uzak Politika 'yı ZyWALL/USG'ye (Şube) bağlı ağın IP adres aralığı olarak ayarlayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü > VPN Ayarları (Yapılandırma)
5. Bu ekran VPN tünelinin salt okunur bir özetini sağlar. Kaydet'e tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz > Sihirbaz Türü > VPN Ayarları (Özet)
6. Şimdi kural ZyWALL/USG üzerinde yapılandırılmıştır. Faz kuralları ayarları burada görünecektir
Aşama 1: VPN > IPSec VPN > VPN Gateway Aşama 2: VPN > IPSec VPN > VPN Bağlantısı Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz > Sihirbaz Türü > VPN Ayarları > Sihirbaz Tamamlandı
7. ZyWALL/USG'nin uzak IPSec yönlendiricisinin kimlik içeriğini kontrol etmesine gerek kalmaması için Peer ID Type'ı Any olarak yapılandırın.
YAPILANDIRMA > VPN > IPSec VPN > VPN Ağ Geçidi > Gelişmiş Ayarları Göster > Kimlik Doğrulama > Eş Kimlik Türü
NAT Yönlendiricisini Kurma (Bu örnekte ZyWALL USG cihazını kullanma)
Not: Bu ayarlar yalnızca güvenlik duvarlarınızdan biri bir NAT'ın arkasındaysa uygulanmalıdır. Bu ayarlar, ISP yönlendiriciniz veya ofis ağınızdaki ana yönlendirici olabilecek, güvenlik duvarınızdan önce konumlandırılmış NAT Yönlendiricisinde yapılandırılmalıdır. Aşağıda, cihazlarımızdan birini kullanarak bir örnek sunuyoruz - bu yalnızca referans amaçlıdır.
1. NAT kuralı için paketlerin alınması gereken Gelen Arayüzü seçin. Kullanıcı Tanımlı Orijinal IP alanını belirtin ve bu NAT kuralının desteklediği çevrilmiş hedef IP adresini yazın.
KONFİGÜRASYON > Ağ > NAT > Ekle
2. IP yönlendirme, aşağıdaki IP protokolleri ve UDP bağlantı noktaları için güvenlik duvarında etkinleştirilmelidir:
IP protokolü = 50 → Veri yolu (ESP) tarafından kullanılır
IP protokolü = 51 → Veri yolu (AH) tarafından kullanılır
UDP Bağlantı Noktası Numarası = 500 → IKE (IPSec kontrol yolu) tarafından kullanılır
UDP Port Numarası = 4500 → NAT-T (IPsec NAT geçişi) tarafından kullanılır
KONFİGÜRASYON > Güvenlik Politikası > Politika Kontrolü
DOĞRULAMA:
IPSec VPN Tünelini Test Edin
1. YAPILANDIRMA > VPN > IPSec VPN > VPN Bağlantısı'na gidin
üst çubuktaki Bağlan öğesine tıklayın. Arayüz bağlandığında Durum bağlantısı simgesi yanar.
2. Tünel Çalışma Süresini ve Gelen(Bayt)/Giden(Bayt) Trafiğini doğrulayın.
MONİTÖR > VPN Monitörü > IPSec
3. Tünelin çalışıp çalışmadığını test etmek için bir sitedeki bilgisayardan diğer sitedeki bilgisayara ping atın. Her iki bilgisayarın da İnternet erişimine sahip olduğundan emin olun (IPSec cihazları aracılığıyla).
ZyWALL/USG arkasındaki bilgisayar (HQ) > Window 7 > cmd > ping 192.168.20.33
ZyWALL/USG arkasındaki bilgisayar (Şube) > Pencere 7 > cmd > ping 10.10.10.33
Ne Yanlış Gidebilir?
1. Aşağıdaki [info] veya [error] günlük mesajını görürseniz, lütfen ZyWALL/USG Faz 1 Ayarlarını kontrol edin. Merkez ve Şube sitelerindeki her iki ZyWALL/USG, IKE SA oluşturmak için aynı Ön Paylaşımlı Anahtarı, Şifrelemeyi, Kimlik Doğrulama yöntemini, DH anahtar grubunu ve Kimlik Türünü kullanmalıdır.
MONİTÖR > Günlük
2. Faz 1 IKE SA işleminin tamamlandığını görüyorsanız ancak yine de aşağıdaki [info] günlük mesajını alıyorsanız, lütfen ZyWALL/USG Faz 2 Ayarlarını kontrol edin. Merkez ve Şube sitelerindeki her iki ZyWALL/USG, IKE SA'yı oluşturmak için aynı Protokol, Kapsülleme, Şifreleme, Kimlik Doğrulama yöntemi ve PFS'yi kullanmalıdır.
MONİTÖR > Günlük
3. Hem Merkez hem de Şube sitesindeki ZyWALL/USG güvenlik politikalarının IPSec VPN trafiğine izin verdiğinden emin olun. IKE UDP bağlantı noktası 500'ü, AH IP protokolü 51'i ve ESP IP protokolü 50'yi kullanır.
4. ZyWALL/USG'de varsayılan NAT geçişi etkindir, lütfen uzak IPSec cihazında da NAT geçişinin etkin olduğundan emin olun.