IPFire Hizmetler Sekmesi IPsec

2.4.1 Hizmetler – IPsec

İnternet Kuralı Güvenliği (IPsec), genel ve özel anahtarları olan güvenlik hizmetleri ve dijital sertifikalar kullanarak, ağ üzerinden veri güvenliği sağlamaya yardımcı olan bir kurallar grubudur (Dijital sertifika genel anahtarı bir kişiye, iş yerine veya web sitesine atar).

IPsec, tasarımı sayesinde, önceki koruma yöntemlerine göre çok daha iyi düzeyde güvenlik sağlamaya yardımcı olur. Bu güvenliği kullanan ağ yöneticilerinin her program için ayrı ayrı güvenlik yapılandırması gerekmez.

Internet üzerinden güvenli şekilde iki merkezi bağlamak için IPsec sıklıkla kullanılmaktadır. IPsec ile bir VPN ayarlamak için aşağıdakileri yapın:

  1. Sertifika yetkilisi oluşturun
  2. Genel ayarlar bölümünden seçtiğiniz arabirimler için IPSec’i aktifleştirin.
  3. Ya sunucudan ağa sanal özel ağ (Roadwarrior) bağlantısı veya ağdan ağa sanal özel ağ bağlantısı ekleyin.

2.4.1.1 Genel Ayarlar

Genel ayarlar
KIRMIZI arabirim veya <%defaultroute> için gerçek IP veya FQDN 192.168.1.33 Aktif
VPN başlamadan önce bekle 0
Sunucudan ağa sanal özel ağ (RoadWarrior)
Gerekli alan Kaydet
Eğer gerekirse, bu gecikme Dinamik DNS güncelleştirmelerini düzgün yayılmasına olanak sağlamak için kullanılabirli. 60, KIRMI dinamik IP için ortak bir değerdir.

KIRMIZI arabirim veya <%defaultroute> için gerçek IP veya FQDN

IP adresi IPsec sunucu bilgilerini, tam etki alan adını veya Kırmızı ara birimin genel IP adresini girin. Eğer bir dinamik DNS hizmeti kullanıyorsanız, burada dinamik DNS adını kullanmanız gerekir.

Aktif

Genel ayarlar grubunda oluşturduğunuz ayarların aktifleştirimesi için seçilmesi gereken seçenektir.

VPN başlamadan önce bekle

Eğer genel sabit bir IP değeri varsa kırmızı o zaman 0 değerini almalıdır. Eğer bir dinamik DNS hizmeti kullanıyorsanız, dinamik DNS kaydı tüm DNS sunucuları yayılması için yeterli zamana ihtiyacı vardır. Bu değeri bu durumda en az 60 saniye olarak kullanmalısınız.

Sunucudan ağa sanal özel ağ (RoadWarrior)

ISS’niz deki IP adresi değişikliklerinde ağdan ağa VPN tünelindeki iki ucunda yeniden başlatılması gerekebileceğini unutmayın. Roadwarriors da bu durumda kendi bağlantılarını yeniden başlatmanız gerekir.

2.4.1.2 Bağlantı Durumu ve Kontrol

Bağlantı durum ve kontrol
Ad Tür Ortak ad Açıklama Durum Eylem
Ekle

IPsec VPN bağlantısı oluşturmak için “Bağlantı durumu ve kontrol” grubundaki “Ekle” düğmesine tıklayınız. Bu durumda “Bağlantı türü” grubu açılacaktır.

2.4.1.2.1 Bağlantı türü

Bağlantı türü
Bağlantı türü
Sunucudan ağa sanal özel ağ (RoadWarrior)
Ağdan ağa sanal özel ağ
Ekle

Kullanıcılara diğer ağlara erişim izni vermek için Yeşil ağdan sunucudan ağa veya ağdan ağa seçeneklerinden birini seçin.

Sunucudan ağa sanal özel ağ (RoadWarrior): Bu seçenek ile dış istemciden sunucu (IPFire) hizmetlerine ulaşmak mümkündür.

Ağadan ağa sanal özel ağ: Bu seçenek ile internet üzerinden iki sunucunun (örneğin iki IPFire) bağlantısı yapılır.

  • İstediğiniz bağlantı türünü belirledikten sonra “Ekle” düğmesine tıklayın.
  • Bundan sonraki görüntülenecek olan sayfa iki gruptan oluşur. Bağlantı türü alanından seçtiğiniz seçeneğe göre farklı alanlar açılacaktır.

2.4.1.2.1.1 Bağlı

Ad

Bu bağlantıyı tanımlamak için basit bir ad (sadece küçük harf olmalı ve boşluk kullanmayın) girilecek alan.

Aktif

Bağlantınızı aktifleştirmek için “Aktif” seçeneğini seçmelisiniz.

Uzak ana bilgisayar/IP

Uzak ağ IPSec sunucusunun statik IP adresini girin. Ayrıca uzak sunucunun tam etki alanı adını girebilirsiniz. Eğer uzak sunucu dinamik DNS hizmetini kullanıyorsa, VPN hizmetini yeniden başlatmanız gerekebilir.

Yerel alt ağ

Varsayılan YEŞİL yerel alt ağınız. İsterseniz YEŞİL ağ sizin YEŞİL ağınıza roadwarrior erişimi sınırlamak için bir alt ağ oluşturabilirsiniz.

Uzak alt ağ

Uzak makinenizin alt ağ Ip numarasını gireceğiniz alandır.

Yerel kimlik

Seçime bağlı bir seçenektir. VPN ile haberleşecek olan cihazların birbirlerini tanımalarını sağlayan IP adresi veya e-posta hesabı bilgilerinden birinin girileceği alandır.

Uzak kimlik (ID)

Seçime bağlı bir seçenektir. VPN ile haberleşecek olan cihazların birbirlerini tanımalarını sağlayan IP adresi veya e-posta hesabı bilgilerinden birinin girileceği alandır.

Açıklama

Buraya yazacağınız açıklama IPFire VPN bağlantısı açıklama alanında görünecektir. Burasını doldurmak isteğe bağlıdır.

Tanımlandığında gelişmiş ayarları düzenle

Gelişmiş ayarlar yapıldığında Ipsec’in IPFire ayarlarını değiştirmek istediğinizde bu seçeneği seçin.

2.4.1.2.1.2 Kimlik Doğrulama

Kimlik doğrulaması ile web sayfalarının anlaşması bu ikinci gruptaki ayarlarla gerçekleştirilir. IPFire hem PSKs hem de x509 sertifikalarına destek verir.

Ön paylaşımlı anahtar kullan

Tünelin diğer tarafında doğrulamak için kullanılacak ön paylaşımlı anahtarı girin. Eğer basit bir ağdan ağa isterseniz bunu seçin. Roadwarriors tünel kimlik doğrulaması için PSKs kullanmayın.

Sertifika isteği yükle

Bazı roadwarrior IPSec uygulamalarının kendi CA’ları yoktur. Bu durumda siz bir CA yükleyebilirsiniz. Bu sertifika CA tarafından imzalanmış kısmi X.509 sertifikası olmalıdır. Yükleme sertifika isteği sırasında imzalanır ve yeni bir sertifika VPN ana sayfasında kullanılabilir hale gelecektir.

Sertifika yükle

Eş IPSec kullanımı için mevcuttur CA yükleyebilirsiniz. Bu durumda her iki eşin de CA sertifikası ve ev sahibi sertifikası yüklenmesi gerekmektedir.

Sertifika oluştur

Kendiniz de bu alanı doldurarak bir sertifika oluşturabilirsiniz. IPSec eş bir X.509 sertifikası oluşturabilir ancak tam anlamıyla bir sertifika için yetersiz kalabilmektedir. Sertifika oluşturmak için gerekli alanları doldurun. Buradaki kırmızı noktalı alanlar isteğe bağlı alanlarıdır. Bir ağdan ağa bağlantısı için sertifika oluşturulacaksa tam adı veya sistem bilgisayar adı alanın tam internet etki alanı gerekebilir. Kuruluş adı bu web sayfasının bağlantısını tanımlama bölümünde Yerel Alt Ağlar tarafından IPFire tam YEŞİL ağa erişimi kuruluşun farklı bölümlerini izole etme anlamına gelir.

2.4.1.3 IPSec ile İki IPFire Arasında VPN Bağlantısı

Buradaki örnek ile iki IPFire sistemleri arasında IPSec yöntemi kullanılarak VPN bağlantısı yapılacaktır. Örneklerde kullanılan IPFire makineler için kullanılan veriler:

Birinci Makine

  • Red: 192.168.1.249
  • Green: 192.168.11.1
  • Bağlanılan pc: 192.168.11.5

İkinci Makine

  • Red: 192.168.1.78
  • Green: 192.168.20.1
  • Bağlanılan pc: 192.168.20.5

Birinci Maikenede Yapılacaklar

  • “Hizmetler -> IPsec” adımlarını takip ederk IPSec yapılandırması sayfasının açılmasını sağlayın.
  • “Bağlantı Durumu ve Kontrol” grubundaki “Ekle” düğmesine tıklayarak “Bağlantı Türü” grubunun açılmasını sağlayın.
  • “Bağlantı Türü” grubunda “Ağdan-Ağa sanal özel ağ” seçeneğini seçip “Ekle” komutunu verin. Bu durumda “Bağlı” ve “Kimlik Doğrulama” gruplarının olduğu sayfa açılacaktır.
  • “Bağlı” grubunda
    • Ad: yenimahalle
    • Uzak ana bilgisayar/IP: 192.168.1.78 (İkinci makine kırmızı ip numarası)
    • Uzak alt ağ: 192.168.20.0/255.255.255.0
  • “Kimlik Doğrulama” grubunda
    • Ön-Paylaşımlı anahtar kullan: UgurOzanUO300 (bir anahtar oluşturun)
  • “Kadet” düğmesine tıklayın. Bu durumda ilk “IPSec yapılandırması” sayfasına yönlendirilmiş oursunuz ve eklediğiniz ayarlar “Bağlatı Durumu ve Kontrol” grubunda da görüntülenir.

İkinci Maikenede Yapılacaklar

  • “Hizmetler -> IPsec” adımlarını takip ederk IPSec yapılandırması sayfasının açılmasını sağlayın.
  • “Bağlantı Durumu ve Kontrol” grubundaki “Ekle” düğmesine tıklayarak “Bağlantı Türü” grubunun açılmasını sağlayın.
  • “Bağlantı Türü” grubunda “Ağdan-Ağa sanal özel ağ” seçeneğini seçip “Ekle” komutunu verin. Bu durumda “Bağlantı” ve “Kimlik Doğrulama” gruplarının olduğu sayfa açılacaktır.
  • “Bağlı” grubunda
    • Ad: ankara
    • Uzak ana bilgisayar/IP: 192.168.1.249 (birinci makine kırmızı ip numarası)
    • Uzak alt ağ: 192.168.11.0/255.255.255.0
  • “Kimlik Doğrulama” grubunda
    • Ön-Paylaşımlı anahtar kullan: UgurOzanUO300 (bir anahtar oluşturun)
  • “Kadet” düğmesine tıklayın. Bu durumda ilk “IPSec yapılandırması” sayfasına yönlendirilmiş oursunuz ve eklediğiniz ayarlar “Bağlatı Durumu ve Kontrol” grubunda da görüntülenir.

Her iki sistemde de:

  • “Hizmetler -> IPSec” adımlarını takip ederek açılan “IPSec yapılandırması” sayfasındaki “Genel Ayarlar” grubu içerisindeki “KIRMIZI arabirim veya <%defaultroute> için gerçek IP veya FQDN” seçeneğini karşısındaki “Aktif” seçeneğini seçip “Kaydet” düğmesine tıklayın.
  • Bir süre bekledikten sonra “Bağlantı Durumu ve Kontrol” grubundaki “BAĞLANTI YOK” yazısı “BAĞLI” olarak görüntülenecektir. Eğer “BAĞLI” yazısını göremiyorsanız “Durum” sütunu altındaki “Yeniden Başlat” simgesine tıklayın.

Her iki sistemde de:

“Durum -> Hizmetler” adımlarını takip ederek açılan “Durum bilgisi” sayfası “Hizmetler” grubu içerisndeki “VPN” seçeneği karşısında “ÇALIŞIYOR” uyarısı görülmelidir.

Birinci sistem altında bağlı olan bir bilgisayarda (Örneğin 192.168.11.5)

ping 192.168.20.1” komutu ile bağlantıyı test edebilirsiniz.

İkinci sistem altında bağlı olan bir bilgisayarda (Örneğin 192.168.20.5)

ping 192.168.11.1” komutu ile bağlantıyı test edebilirsiniz.

Bir Cevap Yazın