Zyxel Güvenlik Duvarı VPN - Zyxel Güvenlik Duvarında IPSec Site-To-Site VPN Yapılandırması (Bağımsız Mod)

Bu kılavuz, iki güvenlik duvarı arasında IKEv2 IPSec kullanarak Site-to-Site (S2S) VPN kurulumu yapmanızı adım adım gösterecektir. Hem manuel yapılandırmayı hem de yerleşik sihirbazın kullanımını ele alacağız ve aynı tünel içinde birden fazla alt ağı nasıl yapılandıracağınızı açıklayacağız.

Eğer başka VPN Senaryoları, İpuçları ve Püf Noktaları arıyorsanız, aşağıdaki makalelere göz atabilirsiniz:

Genel:

• VPN Kılavuzu - Ev Ofisiniz için Doğru VPN Türünü Seçme (+Faydalı Linkler & Eğitimler)
• USG-Güvenlik Duvarında VPN Yapılandırma Sağlama
• Zyxel Güvenlik Duvarı [VPN] - Site-to-Site VPN Sorun Giderme [Bağımsız Mod]

Nebula:

• Nebula üzerinde iki Nebula Ağ Geçidi (NSG) arasında Site-to-Site VPN Kurulumu

Bir ofis, merkezine İnternet üzerinden güvenli bir şekilde bağlanmak istiyor. Her iki ofiste de internete erişim için bir USG / ZyWall / ATP / USG FLEX bulunmaktadır.

Not: VPN yapılandırmasına başlamadan önce, her iki sitede de aynı alt ağların olmadığından emin olun. Her iki tarafta da aynı alt ağların olduğu siteler arasında VPN yapılandırmak teknik olarak mümkün olmakla birlikte, IP adreslerinin çakışması nedeniyle karmaşıklıklara yol açabilir ve kolay değildir. Her iki sitede de aynı alt ağ varsa, VPN bir IP adresini her iki konumda da gördüğünde trafiği hangi tarafa göndereceğini bilemediği için yönlendirme çakışmaları oluşabilir.

Sihirbaz Yöntemi ile VPN Kurulumu

Site-to-Site bağlantı kurmanın en basit ve uygun yöntemi yerleşik sihirbazı kullanmaktır. Bu makalenin ilk örneğinde size bu süreci adım adım göstereceğiz. Ayrıca, VPN’i manuel olarak yapılandırırken sorun yaşadıysanız, VPN’i kurmak için sihirbazı kullanabilir ve sorun giderme amacıyla ayarları karşılaştırabilirsiniz.

Merkez Site Ayarları (Sihirbaz)

• Merkez site güvenlik duvarınızın Web GUI’sine giriş yapın ve sol menüde Hızlı Kurulum Sihirbazı bölümüne gidin.
• "VPN Kurulumu" seçeneğine tıklayın

Varsayılan Değerlerle VPN için Express veya kriptografi vb. manuel ayarlama için Gelişmiş seçenekleri arasından seçim yapabilirsiniz. Bu makalenin örneğinde "Gelişmiş" seçeneğini tercih ettik.

• Güvenliği artırmak, bağlantı kurulma hızını artırmak, stabiliteyi sağlamak, hareketliliği desteklemek ve ağ değişikliklerini daha verimli yönetmek için IKEv1 yerine IKEv2 kullanmanızı şiddetle tavsiye ederiz.
• Anlaşılır bir isim verin ve Site-to-Site VPN seçeneğini işaretleyin.
• "İleri" butonuna tıklayın

1. Aşama Ayarları

• Sonraki ekranda, “Güvenli Ağ Geçidi” alanına ikinci güvenlik duvarınızın WAN adresini girin; bu durumda Şube site IP adresidir. (İkinci güvenlik duvarını yapılandırmaya başladığınızda, bu güvenlik duvarının WAN IP adresini doldurmanız gerekecektir.)
• 1. aşama tekliflerini istediğiniz gibi ayarlayın. Güvenlik nedeniyle, şifreleme için AES256, kimlik doğrulama için SHA512 ve anahtar grubu için DH14 gibi güçlü şifreler ve teklifleri tercih edin.

2. Aşama Ayarları

• 2. aşama ayarlarının 1. aşama ayarları ile aynı olduğundan emin olun. (örneğin AES256, SHA512)
• Yerel Politika ve Uzak Politika - Yerel ve Uzak Politikalar, site-to-site VPN’de hangi trafiğin şifreleneceğini tanımlar, böylece ağlar arasında güvenli, verimli ve doğru yönlendirilmiş iletişim sağlanır.
  
  Not: Çift IP adresi yapılandırmasını önlemek için öncelikle uzak alt ağın IP adresinin yerel alt ağda zaten bulunmadığını kontrol edin. Uzak alt ağ yerel alt ağlardan biriyle benzerse, yalnızca yerel ağa erişebilirsiniz.

• Tüm veriler doğru girildikten sonra, “İleri” butonuna tıklayın, tüm ayarları tekrar kontrol edin, "Kaydet" tuşuna basın ve ikinci güvenlik duvarını yapılandırmaya devam edin.

Şube Site Ayarları (Sihirbaz)

İkinci ofisteki güvenlik duvarı için aynı prosedürü tam olarak uygulamanız gerekir. Ana fark sadece bazı ayarlardadır.

• Ağ Geçidi IP, Merkez Site cihazının WAN IP’si olarak belirtilmelidir.
• Yerel Politika ve Uzak Politika de farklı olacaktır. Örnek aşağıdaki gibidir:
  Merkez Site
  Yerel Politika: 192.168.40.1
  Uzak Politika: 192.168.70.1
  Şube Site:
  Yerel Politika: 192.168.70.1
  Uzak Politika: 192.168.40.1

• Her şey doğru yapılandırıldıysa ve bağlantı, diğer ayarlar veya yapıda sorun yoksa, ayarları kaydettikten hemen sonra VPN bağlantısı otomatik olarak kurulacaktır.

Manuel Yöntemle VPN Kurulumu

VPN Ağ Geçidi - Merkez Site Manuel Ayarları

• Merkez Site Güvenlik Duvarınızın Web GUI’sine giriş yapın

Yapılandırma -> VPN -> VPN Ağ Geçidi -> Ekle

• Etkinleştir kutusunu işaretleyin
• Anlaşılır bir isim verin
• IKE Sürümünü seçin

Güvenliği artırmak, bağlantı kurulma hızını artırmak, stabiliteyi sağlamak, hareketliliği desteklemek ve ağ değişikliklerini daha verimli yönetmek için IKEv1 yerine IKEv2 kullanmanızı şiddetle tavsiye ederiz.

• Benim Adresim (Arayüz) - WAN IP adresinizi ayarlar.
• Karşı Taraf Ağ Geçidi Adresi - Bu, ikinci güvenlik duvarınızın WAN adresidir; bu durumda Şube site IP adresidir. (İkinci güvenlik duvarını yapılandırmaya başladığınızda, bu güvenlik duvarının WAN IP adresini doldurmanız gerekecektir.)
• Ön Paylaşımlı Anahtar - Güçlü bir şifre oluşturun (bu anahtarı uzak cihazda da kullanacaksınız).
• 1. Aşama Ayarları - 1. aşama tekliflerini istediğiniz gibi ayarlayın. Güvenlik nedeniyle, şifreleme için AES256, kimlik doğrulama için SHA512 ve anahtar grubu için DH14 gibi güçlü şifreler ve teklifleri tercih edin. 

VPN Tüneli - Merkez Site Manuel Ayarları

Yapılandırma > VPN > IPSec VPN > VPN Bağlantısı > Ekle

İlk olarak, “Uzak Politika” için bir Nesne oluşturmanız gerekir. “Yeni Nesne Oluştur”a tıklayın ve "IPV4 Adresi" seçin.

• İsim - anlaşılır bir isim girin
• Adres Türü - “ALT AĞ”
• Ağ - uzak sitenin yerel ağ adresi
• Ağ Maskesi - uzak sitenin alt ağ maskesi
• Sonra “Tamam” butonuna tıklayın

Şimdi diğer alanları doldurmaya devam edebiliriz.

• Etkinleştir kutusunu işaretleyin
• Anlaşılır bir isim verin
• Site-to-Site VPN seçin
• VPN Ağ Geçidi - Önceki adımda oluşturulan VPN Ağ Geçidini seçin
• Yerel Politika ve Uzak Politika farklı olacaktır.
• 2. Aşama Ayarları - 2. aşama tekliflerini istediğiniz gibi ayarlayın. Güvenlik nedeniyle, şifreleme için AES256, kimlik doğrulama için SHA512 ve anahtar grubu için DH14 gibi güçlü şifreler ve teklifleri tercih edin. 
• Tamam" butonuna tıklayın

Şimdi Şube sitesini yapılandırmaya başlayabiliriz. Bunu yapmak için, Merkez site için yaptığınız adımları aynı şekilde uygulayın ancak bazı veri değişiklikleri ile.

VPN Ağ Geçidi - Şube Site Manuel Ayarları

Yapılandırma > VPN > IPSec VPN > VPN Ağ Geçidi

VPN Ağ Geçidini yapılandırmak için Merkez Site adımlarını tekrarlayın

• Merkez site güvenlik duvarında VPN Ağ Geçidi yapılandırırken, "Karşı Taraf Ağ Geçidi Adresi Statik Adres” alanına Şube site WAN IP’sini girdiniz. Şube siteyi yapılandırırken, "Karşı Taraf Ağ Geçidi Adresi Statik Adres” alanına Merkez site WAN IP’sini girmeniz gerekir.
• Ön Paylaşımlı Anahtar her iki site için aynı olmalıdır.

VPN Tüneli - Şube Site Manuel Ayarları

Yapılandırma > VPN > IPSec VPN > VPN Bağlantısı

VPN Tünelini yapılandırmak için Merkez Site adımlarını tekrarlayın

• Merkez siteyi yapılandırırken, Şube sitesinin ağı Uzak Politika olarak belirtildi. Şube sitesini yapılandırırken, Merkez sitesinin ağı Uzak Politika alanına girilmelidir.

"Sürekli Bağlı (Nailed-Up)" seçeneğini işaretleyerek VPN tünelinin otomatik olarak kurulmasını ve bağlanmasını sağlayın.

Sonucu Test Edin

• İlk kez VPN tünelini manuel olarak bağlayın. Daha sonra bağlantı otomatik olarak taranacak ve yeniden bağlanacaktır.
• VPN Tünelinin bağlı olduğunu, dünya simgesinin yeşil olmasıyla görebilirsiniz.

Not: Lütfen güvenlik duvarı kurallarınızı kontrol edin ve varsayılan IPSec-to-Device ve IPSec-to-Any kurallarının mevcut olduğundan emin olun.
Aksi takdirde, tüneller arasındaki trafik engellenebilir.

Sınırlama - Birden Fazla Alt Ağ Kullanımı

Zyxel güvenlik duvarlarında, bir VPN tünelinde birden fazla alt ağ seçme sınırlaması vardır. Yerel politika (alt ağ) ve uzak politika (alt ağ) yalnızca birer alt ağ olarak yapılandırılabilir.

Yapılandırma -> VPN -> IPSec VPN -> VPN Bağlantısı -> Politika

Bu sorunu aşmak için, başka alt ağları manuel olarak tünel içine yönlendirmek için politika rotası yapılandırabilirsiniz.

Bu politika rotasını oluşturun:

Not! Uzak sitede yanıt paketlerinin tünel üzerinden geri yönlendirilmesi gerekebilir.

Sorun Giderme

Yaygın Sorunlar ve Çözümleri:

• Yanlış Ön Paylaşımlı Anahtar: Her iki cihazdaki ön paylaşımlı anahtarı tekrar kontrol edin.
• Yanlış Alt Ağ Yapılandırması: VPN ayarlarında doğru yerel ve uzak alt ağların yapılandırıldığından emin olun.
• 1. ve 2. Aşama Ayarları:

Her iki sitede de aynı olduğundan emin olunması gereken temel ayarlar

• Kimlik Doğrulama Yöntemi: Genellikle ön paylaşımlı anahtar kullanılır.
• Şifreleme Algoritması: Yaygın seçenekler AES (128/256 bit), 3DES.
• Özet (Hash) Algoritması: Genellikle SHA-256, SHA-512 veya SHA-1.
• DH Grubu (Diffie-Hellman Grubu): Güvenli anahtar değişimi sağlar (ör. Grup 2, Grup 14).
• Ömür Süresi:

Daha ayrıntılı sorun giderme talimatları için linke bakabilirsiniz:

Zyxel Güvenlik Duvarı [VPN] - Site-to-Site VPN Sorun Giderme [Bağımsız Mod]