Easy VPN
Sizlere bu yazımda Easy VPN’den ve konfigürasyonundan bahsetmek istiyorum. Bilindiği üzere VPN(Virtual Private Network-Sanal Özel Ağ), mevcut internet altyapısı üserinden uzaktaki bir ağa güvenli bir şekilde erişmek ve onun kaynaklarından yararlanabilmek için kullanılan bir teknolojidir. İki router arasında VPN bağlantısı kurabilmek komplike olduğu gibi, aynı zamanda konfigürasyon açısından iki tarafta da VPN parametrelerinin girilmesiyle alakalı olarak fazlaca koordinasyon gerektiren bir iştir.
Cisco Easy VPN özelliği sayesinde iki veya daha fazla router arasında basit bir biçimde VPN bağlantısı kurma olanağını yakalıyoruz. Bunun için, bize Easy VPN özelliğini sağlayan Cisco Unity Client protokolünü içeren, VPN için tasarlanmış VPN 3000 Concentrator veya Cisco PIX Firewall veya Cisco Unity Client Protocol özelliğini destekleyen Cisco IOS’a sahip router'larımız olması yeterli.
Easy VPN bağlantısında Easy VPN Server ve Easy VPN Client olmak üzere iki tür cihaz vardır. Bunlardan birincisi; yani Easy VPN Server, Easy VPN Client tarafından bir VPN kurulum isteği geldiği zaman ona, VPN’in kurulması için gerekli olan IPSec policy’lerini yollar ve Easy VPN bağlantısını kurar.
VPN’de güvenli bağlantının kurulabilmesi için birtakım anahtar üretimi ve paylaşımı yapılmaktadır. Bu üretimin ve paylaşımın güvenli bir biçimde yapılmasını, VPN bağlantısı kuracak iki tarafın kimlik denetiminden geçmesini ve şifreleme parametrelerinin görüşülmesini sağlayan protokolün ismi IKE(Internet Key Exchange) protokolüdür. İki taraf arasında görüşülen bu parametreler security association(SA) olarak adlandırılır. IKE, VPN kurulumunda iki fazda görev almaktadır. IKE 1. Fazda SA’lar paylaşılarak iki taraf arasında kimlik denetimi yapılması ve güvenli bir bağlantı kurulması sağlanır. 2. Fazda ise veri haberleşmesi sırasında kullanılacak SA’lar paylaşılır.
Easy VPN’de de bu iki faz mevcuttur. Öncelikle Easy VPN Client, IKE Faz 1’i başlatır. Ardından ISAKMP(Internet Security Association and Key Management Protocol) SA’larının paylaşımı için Easy VPN Server’dan istekte bulunur. Easy VPN Server bunu kabul ettikten sonra client'tan kimlik denetimi için username ve password ister. Client tarafı doğru username ve password ile cevap verdiğinde kimlik denetimi sağlanmış olur. Bunun ardından server tarafı IPSEC policy’lerini client tarafına gönderir ve rotalarına uzaktaki clientler için statik rota ekler(RRI-Reverse Route Injection). Ardından iki taraf arasında IKE Faz 2 başlatılır ve IPsec SA’ları paylaşılarak veri haberleşmesine geçilir.
Önceden de belirttiğim gibi Easy VPN konfigürasyonu klasik VPN konfigürasyonuna göre komplike olmayan bir konfigürasyondur. Server tarafında yaptığımız ana bir konfigürasyonun ardından client tarafında yaptığımız basit bir konfigürasyon sayesinde koordinasyon yükünden de kurtulmuş oluyoruz. Şimdi sizlere server ve client taraflarının yukarıda gösterdiğim taslak topolojiye göre nasıl konfigüre edildiğini anlatmak istiyorum.
Easy VPN Server Konfigürasyonu:
1.Adım: AAA Kimlik ve Yetkilendirme Denetimini etkinleştirme
- AAA’yı etkinleştirilmek için
ezvpnserver(config)#aaa new model
- Network servislerine yetkilendirme verilmesi için yerel kullanıcı veri tabanından denetim yapacak bir profil oluşturmak için
ezvpnserver(config)#aaa authorization network EZVPN local
- Yerel kullanıcıları ve şifreyi belirlemek için
ezvpnserver(config)#username lab password 0 cisco
2.Adım: ISAKMP policy yaratma
- ezvpnserver(config)#crypto isakmp policy 1
- Şifreleme(encryption) algoritmasını belirlemek için
ezvpnserver(config-isakmp)#encryption {3des|des|aes}
- Hash algoritmasını belirlemek için
ezvpnserver(config-isakmp)#hash {md5|sha}
- Kimlik denetiminin nasıl gerçekleştirileceğini belirlemek için
ezvpnserver(config-isakmp)#authentication {pre-share| rsa-encr}
- Anahtar paylaşımının nasıl gerçekleştirileceğini belirlemek için
ezvpnserver(config-isakmp)#group 2
3.Adım: Grup policy profili oluşturma
- ezvpnserver(config)#crypto isakmp client configuration group EZVPN
- Anahtarı belirlemek için
ezvpnserver(isakmp-group)#key cisco
- Grup için oluşturulmuş yerel bir IP havuzunu grubun altına atamak için
ezvpnserver(isakmp-group)#pool IPPOOL
4.Adım: IPSec Transform kümesi belirleme ve crypto-map oluşturma
- Transfer kümesi belirlemek için
ezvpnserver(config)#crypto ipsec transform-set MYSET esp-des esp-md5-hmac
- Dinamik bir crypto-map profili oluşturmak için(Dinamik crypto-map oluşturmamızdaki amaç
uzak taraftaki client’ın IP adresi gibi crypto-map parametrelerini bilmememizdir. Önceden
bilinmeyen istemcilerden gelen isteklere böylece izin vermiş oluruz).
ezvpnserver(config)#crypto dynamic-map DYNMAP 1
- Oluşturduğumuz transfer kümesini dinamik crypto-map altına atamak için
ezvpnserver(config-crypto-map)#set transform-set MYSET
- IPSec ile tünellenmiş bağlantıda uzak taraftaki ağın ip adreslerinin ve alt ağlarının dinamik
olarak öğrenilmesi için
ezvpnserver(config-crypto-map)#reverse-route - Router’ın hangi istemciden olursa olsun IP adresi isteklerine cevap vermesini sağlamak için
ezvpnserver(config)# crypto map DYNMAP client configuration address respond
- Oluşturulan dinamik crypto-map profilini yetkilendirme için oluşturduğumuz yetkilendirme grubuyla eşleştirmek için
ezvpnserver(config)# crypto map DYNMAP isakmp authorization list EZVPN
- Oluşturulan dinamik crypto-map profilini crypto-map’e atamak için
ezvpnserver(config)# crypto map DYNMAP 1 ipsec-isakmp dynamic DYNMAP
5.Adım: Oluşturulan crypto-map’in interfacelere atanması
- ezvpnserver(config)#interface Serial 0/0/0
ezvpnserver(config-if)#crypto map DYNMAP
6.Adım: Yerel IP havuzu oluşturulması
- ezvpnserver(config)#ip local pool IPPOOL 10.0.0.20 10.0.0.30
Easy VPN Client Konfigürasyonu:
1.Adım: Easy VPN profili oluşturma
- ezvpnclient(config)#crypto ipsec client ezvpn EASY
- Easy VPN profiline Easy VPN Server tarafında daha önce oluşturulmuş IPSec grubu ve IPSec anahtarını atamak için (Burada grup adı server  tarafında belirlediğimiz
crypto isakmp policy client configuration group group-name komutunda belirlediğimiz grup adı, anahtar ise aynı komut altında key key biçiminde belirlediğimiz anahtar olmalıdır).
ezvpnclient(config-crypto-ezvpn)#group EZVPN key cisco - Easy VPN profiline, Easy VPN Server’ın ip adresini atamak için
ezvpnclient(config-crypto-ezvpn)#peer 30.0.0.1
- Easy VPN profiline , Easy VPN türünü atamak için(Burada atayabileceğimiz iki mod bulunmaktadır.Bunlar ‘client’ ve ‘network-extension’ modlarıdır.  ‘client’ modunda client tarafındaki network, merkezdeki networkten izole edilmiş olur. Merkez tarafındaki cihazlar, client tarafındaki cihazlara erişemez. ‘network-extension’ modunda ise client tarafındaki network, merkez tarafın bir uzantısı gibidir ve merkez tarafından bu networke erişilebilir).
ezvpnclient(config-crypto-ezvpn)#mode {client|network-extension}
2.Adım: Easy VPN profilini interface’lere atama
- Easy VPN kuracak router’ımızın Easy VPN Server’a çıkış bacağını outside olarak, iç network’e Easy VPN bağlantı sağlayacak bacağını inside olarak atamak için
ezvpnclient(config)#interface Serial 0/1/0
ezvpnclient(config-if)#crypto ipsec client ezvpn EASY outside
ezvpnclient(config)#interface Fastethernet 0/0
ezvpnclient(config-if)#crypto ipsec client ezvpn EASY inside
Yukarıdaki adımlara göre konfigüre edilmiş server ve client router'larının son konfigürasyonlarını pdf olarak görmek için Easy VPN Konfigürasyonu linkini tıklayınız.
Easy VPN bağlantımız kurulduktan sonra aşağıdaki kontrol komutlarıyla bağlantımızı test edebiliriz.
show crypto isakmp sa -> ISAKMP SA'ları ile ilgili birtakım bilgileri gösterir.
show crypto ipsec sa -> IPSec SA'ları ile ilgili birtakım bilgileri gösterir. Burada Easy VPN Server tarafından Easy VPN Client'a, oluşuşturduğumuz yerel IP havuzundan atanmış IP'yi, VPN tünelinden geçen ve şifrelenen paketlerin sayısını görebiliriz.
sh crypto ipsec client ezvpn -> Easy VPN bağlantımızın aktif olup olmadığı, outside ve inside interfacelerimizin hangileri olduğu gibi birtakım bilgileri gösterir.
Dökümana pdf olarak olarak ulaşmak için Easy VPN linkini tıklayınız.
Taner KOÇ
Bu yazıyı beğendiniz mi?
Hakkında Taner KOÇ
Açıklama yok. Lütfen profilinizi tamamlayın.