VPN - VPN tünelinden başka bir VPN sitesine trafik yönlendirme [VPN Yönlendirme]

Bu makalede, bir siteden siteye bağlantının arkasındaki cihazlara ulaşmak için trafiğin bir siteden siteye tünelden başka bir tünele nasıl yönlendirileceği açıklanmaktadır. Trafiğin A sitesinden B sitesine HQ güvenlik duvarı / ağ geçidi üzerinden nasıl yönlendirileceği (siteden siteye tünel aracılığıyla siteden siteye yönlendirme), sorunların / sorunların giderilmesi, istemci VPN'lerinizin başka bir Sitede bulunan bir sunucuya ulaşmasını istiyorsanız yönlendirme kuralları (siteden siteye aracılığıyla istemciden siteye), SecuExtender IPSec yapılandırması açıklanmaktadır.

Alternatif 1: Uzak VPN tünelinden gelen trafiği başka bir siteden siteye VPN'e yönlendirme

1) VPN Tünellerini Kurma

Ön koşul: Konumlar arasında sahadan sahaya bir bağlantı kurulmuş olmalıdır.

Tünel kurulduktan sonra, IPSec üzerinden L2TP kullanarak bağlayacağız.

VPN'in nasıl kurulacağına ilişkin talimatlar için lütfen bkz:

VPN - IPSec Siteden Siteye VPN Yapılandırma

IPSec üzerinden L2TP hakkında bilgi bulabilirsiniz:

VPN - PSK kullanarak IPSec VPN üzerinden L2TP yapılandırma [Tek başına mod]

Süreci basitleştirmek için, VPN tüneli ve IPSec üzerinden L2TP oluşturmak için sihirbazı kullanabilirsiniz.

2) Yönlendirme Politikalarını Yapılandırma

Ana merkez (HQ) ve Site B arasındaki trafiğe izin vermek için VPN tüneli için ilkeler ve rotalar ayarlamanız gerekir.

HQ Güvenlik Duvarında:

1. L2TP tünelinden gelen istekleri Site B tüneline yönlendiren bir ilke yolu oluşturun. Bu, L2TP tünelinden gelen istekleri HQ Güvenlik Duvarı üzerinden Site B tüneline yönlendirir

   • Kaynak: L2TP istemci alt ağı
   • Hedef: Site B alt ağı
   • Sonraki atlama noktası: VPN Tüneli "Site B tüneli"

Hedef Adresin müşterimizin adresi olduğunadikkat edin.

2. Site B'den gelen yanıtlara izin veren ve bunları Site B'ye giden tünele yönlendiren bir ilke oluşturun. Bu, Site B'den HQ'ya dönen trafik için çok önemlidir.

• • Kaynak: Herhangi bir
  • Hedef: L2TP Tüneli
  • Sonraki atlama noktası: VPN Tüneli "L2TP Tüneli"

B sitesinde:

1. Ayrıca, merkezden gelen isteklere izin veren ve bunları tünele yönlendirerek Site B'ye ileten bir ilke yolu oluşturun:

Kesintisiz bağlantı için Asimetrik Yönlendirmenin etkin olduğundan emin olun. Bu seçeneği burada bulabilirsiniz:

Yapılandırma > Güvenlik Politikası > Politika Kontrolü

Bu özelliğin etkinleştirilmesi "üçgen" rotayı etkinleştirerek güvenlik duvarının ağda asimetrik bir rota topolojisi kullanmasına izin verir ve yanıtlar geri geldiğinde bağlantının sıfırlanmasını önler.

Bu adımları izleyerek, VPN tünelleriniz arasındaki trafiği etkili bir şekilde yönlendirebilir ve HQ ile Site B arasında sorunsuz ve güvenli bir bağlantı sağlayabilirsiniz.

Alternatif 2: VPN tünelinden başka bir VPN sitesine yönlendirme

1) Trafiği A Sitesinden B Sitesine Merkez Site Üzerinden Yönlendirin

A Sitesinin B Sitesine ve tersine ulaşmasını istiyorsanız, HQ güvenlik duvarının gelen istekleri nereye göndereceğini ve yanıtları da nereye göndereceğini bilmesini sağlamak için her güvenlik duvarında ilke yolları oluşturmanız gerekir.

1.1 Politika rotaları - HQ Güvenlik Duvarı

HQ güvenlik duvarında, öncelikle Site A'dan Site B'ye giden isteklere izin veren bir kural yapılandırmanız gerekir. Bunların tünelde Site B'ye yönlendirilmesi gerekir ve bu hem ICMP istekleri (Site A'dan gelen) hem de ICMP yanıtları (Site B'den gelen ve şimdi tekrar Site B'ye geri giden) için önemlidir.

Gelen: herhangi biri - Kaynak: "Site A alt ağı" -> Hedef: "B Sitesi alt ağı" - Sonraki atlama Tüneli - "B Sitesi VPN tüneli"

İkinci olarak, Site B'den gelen yanıtların Site A'ya gitmesine izin veren bir kural yapılandırmanız gerekir (Site A'dan bir istek gönderdiğinizde) ve bunların Site A tüneline yönlendirilmesi gerekir. Bu hem ICMP istekleri (Site B'den gelen) hem de ICMP yanıtları (Site B'den gelen ve şimdi tekrar Site A'ya geri giden) için önemlidir.

Gelen: herhangi biri - Kaynak: "Site B alt ağı" -> Hedef: "Site A alt ağı" - Sonraki atlama Tüneli - "Site A VPN tüneli"

1.2 İlke Rotaları - Site A Güvenlik Duvarı

Ardından, B Sitesinden gelen ve A Sitesine giden isteklere izin veren bir kural yapılandırmanız gerekir (B Sitesinden bir istek gönderdiğinizde). Bunların Site A tüneline"geri" yönlendirilmesi gerekir ve bu hem ICMP istekleri (Site B'den gelen) hem de ICMP yanıtları (Site B'den gelen ve şimdi tekrar Site B'ye geri giden) için önemlidir.

Gelen: herhangi biri - Kaynak: "Site B alt ağı" -> Hedef: "Site A alt ağı" - Sonraki atlama "Site A VPN tüneli"

1.3 İlke Rotaları - Site B Güvenlik Duvarı

Ardından, Site A'dan gelen ve Site B'ye giden isteklere izin veren bir kural yapılandırmanız gerekir (Site A'dan bir istek gönderdiğinizde). Bunların Site B tüneline"geri" yönlendirilmesi gerekir ve bu hem ICMP istekleri (Site A'dan gelen) hem de ICMP yanıtları (Site A'dan gelen ve şimdi tekrar Site A'ya geri giden) için önemlidir.

Gelen: herhangi biri - Kaynak: "Site A alt ağı" -> Hedef: "B Sitesi alt ağı" - Sonraki atlama "B Sitesi VPN tüneli"

2) Doğrulama / Sorun Giderme

Tüm politika rotalarını yapılandırdığınızda, yönlendirmenin gerçekten çalıştığını doğrulamak önemlidir. Belki güvenlik duvarı kurallarınızda çakışan rotalar vardır (alt ağ çakışmaları, mevcut ilke/statik rotalar vb.) veya başka bir sorun vardır.

Dikkat etmeniz gereken çok sayıda rota olduğu için bunun çok kafa karıştırıcı olabileceğini unutmayın. Bunu yapmanın en kolay yolu, tüm paket akışlarını bir kağıt üzerinde manuel olarak haritalamaktır (PC -> Ağ Geçidi A - ağ geçidinin HQ'ya yönlendirmesi gerekir, HQ'nun Site B'ye yönlendirmesi gerekir - Site B'nin yanıtı tekrar HQ'ya yönlendirmesi gerekir ... vb), kendinize "yönlendirmeden kim sorumlu ve yönlendirme yerinde mi?" diye sorun.

Aşağıda, yönlendirmenin çalışması için konfigürasyonları değiştirmeniz gerekebilecek iki senaryo bulacaksınız.

2.1 Güvenlik duvarına ping atarak test edin

Birincisi, A sitesindeki bir bilgisayardan B sitesindeki bir sunucuya veya bilgisayara ping atarak test etmektir:

Kırmızı Ok - ICMP [ping] İsteği

Yeşil Ok - ICMP [ping] Yanıt

2.2 İlke Rotaları - Site B Güvenlik Duvarı

Yapabileceğiniz ilk test güvenlik duvarına ping atmaktır, ancak şu anda oluşturduğunuz yönlendirme SADECE Gelen herhangi biri için olduğundan (Zywall hariç), ping Site A'dan gelirse, Site B Güvenlik Duvarına ulaşırsa ve ardından Güvenlik Duvarı bu isteğe yanıt vermekten sorumlu olursa yönlendirmenin uygulanmayacağı anlamına gelir. ICMP yanıtı şu şekilde görünecektir:

ICMP İsteği

PC (ICMP İsteği) -> Site A Ağ Geçidi -> HQ'ya VPN tüneli -> HQ Ağ Geçidi trafiği Site B Ağ Geçidine gönderir

ICMP Yanıtı

B Sitesi Ağ Geçidi (ICMP Yanıtı) -> B Sitesi Ağ Geçidi -> Merkeze VPN tüneli -> Merkez Ağ Geçidi A Sitesi Ağ Geçidine trafik gönderir -> A Sitesi Ağ Geçidi paketleri PC'ye geri gönderir

Bu nedenle, bu politika rotasına ihtiyaç duyulmaktadır:

Geliyor: ZyWall- Kaynak: "Site A alt ağı" -> Hedef: "Site B alt ağı" - Sonraki atlama "Site B VPN tüneli"

2.3 İlke Rotaları - Site A Güvenlik Duvarı

Site A Ağ Geçidinden Site B Ağ Geçidine ping atıyorsanız (yerleşik ICMP aracı), Site B Site A Ağ Geçidine ping atmaya çalışıyorsa, Site A'daki ilke yönlendirmesi Site B'den gelen yanıtlar için geçerli olmayacaktır.

Bu nedenle, aşağıdaki gibi görünen bir politika rotasına ihtiyacımız var:

Geliyor: ZyWall- Kaynak: "Site B alt ağı" -> Hedef: "Site A alt ağı" - Sonraki atlama "Site A VPN tüneli"

2.4 Bir sunucuya / PC'ye Ping atarak test edin

Bilgisayar 192.168.20.0/24 ağında ve Sunucu 192.168.30.0/24 ağında bulunduğundan, sunucu 192.168.20.0/24 ağını tanımaz ve bu nedenle sunucu bilinmeyen alt ağlardan gelen ICMP paketlerini büyük olasılıkla engelleyecektir. Bu nedenle, testleri gerçekleştirirken her zaman:

• Herhangi bir yerleşik güvenlik duvarını devre dışı bırakın (örn. Windows Defender / Güvenlik Duvarı)
• Sunucuda / PC'de yüklü diğer anti-virüs ve uç nokta güvenlik yazılımlarını devre dışı bırakın.

İstemciden Siteye Trafiği Siteden Siteye Tünel Üzerinden Yönlendirme

Dikkat! Bu, Dinamik VPN ile çalışmadı! Lütfen sadece Site2Site VPN'i seçin!

1) SecuExtender IPSec VPN'i Yapılandırma

IPSec VPN istemcilerini başka bir tünele yönlendirmek için sabit IP adresleri kullanmaları gerekir.

Birçok farklı istemcinin yönlendirilmesi gerekiyorsa, bir aralık oluşturulabilmesi için birbirine yakın IP'lerin kullanılması önerilir. Bu, gerekli rota sayısını azaltır.

IP adreslerinin bulunduğu alt ağın güvenlik duvarında mevcut olması gerekmez.

IPSec VPN İstemcisinde sabit IP adresini girin

2) Güvenlik Duvarı Yönlendirmesini Yapılandırma

Güvenlik duvarında, şu adrese gidin

ve üzerine tıklayın

Add

IPSec VPN İstemcisi IP adresleri aralığını oluşturmak için.

Şimdi gerekli rotaları şuraya ekleyebiliriz

Configuration > Network > Routing

üzerine bir tıklama ile

Add

2.1 Yerinde A Güvenlik Duvarı

İki rota oluşturmamız gerekiyor:

• Bir tanesi giden trafik için, yani dinamik VPN-istemci tünelinden siteden siteye tünel üzerinden uzak alt ağa.

• Bir tanesi gelen trafik için, yani uzak alt ağdan siteden siteye tünel üzerinden VPN-istemci tüneline.

Yeni rotalar buna benzer görünmelidir:

Uzak VPN tüneli üzerinden uzak alt ağdan gelen trafiğin geçmesi için başka bir yol olarak "asimetrik rotayı" etkinleştirebilirsiniz:

Bu, güvenlik duvarının ağda asimetrik rota topolojisinin kullanımına izin vermesini ve yanıt geri geldiğinde bağlantıyı sıfırlamamasını sağlayan "üçgen" rotayı etkinleştirecektir.

2.2 B Sahası Güvenlik Duvarı

Uzak sitede, ana sitedeki cihazın şube sitesinden gelen VPN istemcilerinden gelen trafiği nasıl işleyeceğini bilmesi için benzer rotaların oluşturulması gerekebilir.

Merkez sitede, uzak VPN istemcileri için IP aralığı oluşturuyoruz, böylece trafiği yönlendirmek için kullanabiliyoruz.

Şimdi HQ sitesinde de ilgili rotaları oluşturuyoruz.

Bir giden rota, yani HQ alt ağından siteden siteye tünel üzerinden uzak VPN istemcilerine.

Ve bir gelen rota, yani uzak VPN-istemci aralığından siteden siteye tünel üzerinden HQ'nun yerel LAN'ına. Trafik yerel bir alt ağa yönlendirilirse, next-hop olarak "Auto" seçeriz, USG bunu otomatik olarak yönetir.

Rotalar aşağıdaki gibi görünmelidir:

+++ Zyxel VPN istemcileriniz (SSL VPN, IPsec) için lisansları tek tıkla hemen teslim olarak satın alabilirsiniz: Zyxel Webstore +++