Senaryo:
Eğer SonicOS Enhanced firmware’de Main Mode kullanaraktan bir site-to-site VPN tüneli konfigüre etmek istiyorsanız, kullanacağınız iki Sonicwall appliance’ıda (SiteA ve SiteB) yönlendirilebilir Static WAN IP adreslerine sahip olmalıdırlar.
Network kurulumu:
Kurulum adımları:
Adım1:VPN subnetleri için adres objeleri oluşturma.
Adım2:Site A Sonicwall’da VPN policy konfigüre etme
Adım3:Site B Sonicwall’da VPN policy konfigüre etme
Adım4:Senaryo testi
Prosedür:
Preshared Secret ile IKE kullanaraktan manuel olarak bir VPN policy konfigüre etmek için aşağıdaki stepleri izleyiniz:
Adım1:VPN subnetleri için adres objeleri oluşturma.
1.Sonicwall yönetim arayüzüne bağlanın
2.Network>Adres Objectler’e gidin ,sayfanın aşağısına inin ve ADD’e basın.
3.Adres objelerini yukarıdaki figürde gösterildiği gibi konfigüre edin. Sonra Add’e basın ve bitince Close’a basın.
Adım2:Site A Sonicwall’da VPN policy konfigüre etme1.VPN>Settings sayfasına gidin ve Add’ e tıklayın. VPN policy penceresini göreceksiniz.
2.General tabına tıklayın
- Authentication Method menu’den Preshared Secret kullanaraktan IKE’yi seçin.
- Policy’nin ismi için “name” bölgesine isim girin
- IPsec Primary Gateway Name or Address bölgesindeki uzak bağlantının WAN IP adresini girin.(Site B’nin WAN IP adresini girin.)
- Eğer Remote VPN cihazı birden çok bitiş noktası destekliyorsa , isterseniz IPec Secondary Gateway Name or Address bölümünde remote connection’a ikinci bir host name veya IP adressi girebilirsiniz.
NOT:İkincil Gatewayler IKEv2 ile desteklenmezler.
- Shared Secret şifresini girin.Bu şifre en az 4 karakter uzunluğunda olmalıdır ve hem harf hemde rakam içermelidir.
- Bu policy için Local IKE ID(opsiyonel) ve Peer IKE ID(opsiyonel) tanımlayabilirsiniz. Default olarak, IP adresi(ID_IPv4_ADDR) Main Mode görüşmelerinde(negotiation) , Sonicwall Identifier(ID_USER_FQDN) ise Aggessive mode’da kullanılır.
3.Network tabına tıklayın.
- Local networkler altında, Choose local network from list:’ten local bir network seçin ve X0 subnet adres objesini seçin.(LAN birincil subnet)
NOT:VPN üzerinden DHCP IKEv2 ile desteklenmez.
- Destination Networks altında, Choose destination network from list: ‘i seçin ve Tempe Office adres objesini seçin(Site B networkü).
4.Proposal tabına tıklayın
- IKE (Phase 1) Proposal altında , Exchange menuden Main Modu seçin. Agressive Mode genel olarak eğer WAN adresleme dinamik olarak atanmış ise kullanılır. IKEv2 ;IKE phase 1 ve phase 2 kullanmak yerine butun görüşmelerin IKE v2 protokolleri üzerinden olmasına sebep olur. Eğer IKEv2 kullanıyor iseniz VPN tunelin iki ucuda IKEv2 kullanmalıdır.
- IKE (Phase 1) Proposal altında; DH group, Encryption, Authentication, ve Life Time default değerleri çoğu VPN konfigürasyonu için uygundur. Phase 1 değerlerinin tunelin diğer tarafında eşleşecek şekilde konfigüre edildiğinden emin olun. İsterseniz gelişmiş authentication güvenliği için 3DES yerine Authentication menuden AES-128, AES-192, veya AES-256 seçebilirsiniz.
NOT: Windows 2000 L2TP client’ı ve Windows XP L2TP client’ı sadece DH group 2 ile çalışabilir.DH group 1 ve 5 ile uyumlu değillerdir.
- IPsec (Phase 2) Proposal altında, Protocol, Encryption, Authentication, Enable Perfect Forward Secrecy, DH Group, and Lifetime default değerleri çoğu VPN SA konfigürasyonu için uygundur.Phase 2 değerlerinin tunelin diğer tarafında eşleşecek şekilde konfigüre edildiğinden emin olun.
5.Advanced tabına tıklayın.
- VPN Tunelde peerlar arası heartbeatmesajlarının(yoklama mesajları) kullanılabilmesi için Enable Keep Alive’ı seçin. Eğer tunelin bir tarafı çalışmaz ise keepaliveları kullanmak tunelin otomatik olarak tekrar görüşme yapabilmesine izin verir.
- Windows® Network Neighborhood’u browse ederekten uzak network kaynaklarına erişim vermek için Enable Windows Networking (NetBIOS) Broadcast’ı seçin.
- Local Sonicwall’u VPN tunnel üzerinden yönetmek için, HTTP, HTTPS, veya Management via this SA ‘dan ikisinide seçebilisiniz. Userların SA kullanarak login olmalarına izin vermek için ise HTTP, HTTPS, veya User login via this SA ‘dan ikisinide seçebilirsiniz.
- Eğer tunele giren ve bilinmeyen bir subnete yönlendirilmiş olan trafik için LAN’da bir router kullanmak istiyorsanız ,routerınızın IP adresini Default LAN Gateway (optional)bölmesine girmelisiniz.
- VPN Policy bound to menuden bir interface veya zone seçin. Eğer WAN Load balancing kullanıyorsanız ve iki WAN arayüzünüde kullanmak için VPN’e izin vermek istiyorsanız, bir Zone WAN seçmeniz tavsiye edilir.
- Ayarları uygulamak için OK’e tıklayın
Adım3:Site B Sonicwall’da VPN policy konfigüre etme
1.Site B Sonicwall appliance’a login olun ,VPN>Settings sayfasına gidin ve Add’ e tıklayın. VPN policy penceresini göreceksiniz.
2.General tabına tıklayın
- Authentication Method menu’den IKE using Preshared Secret’ i seçin.
- Policy’nin ismi için “name” bölgesine isim girin
- IPsec Primary Gateway Name or Address bölgesindeki uzak bağlantının WAN IP adresini girin.(Site A’nin WAN IP adresini girin.)
- Eğer Remote VPN cihazı birden çok bitiş noktası destekliyorsa , isterseniz IPec Secondary Gateway Name or Address bölümünde remote connection’a ikinci bir host name veya IP adressi girebilirsiniz.
NOT:İkincil Gatewayler IKEv2 ile desteklenmezler
- Shared Secret şifresini girin.Bu şifre en az 4 karakter uzunluğunda olmalıdır ve hem harf hemde rakam içermelidir.
- Bu policy için Local IKE ID(opsiyonel) ve Peer IKE ID(opsiyonel) tanımlayabilirsiniz. Default olarak, IP adresi(ID_IPv4_ADDR) Main Mode görüşmelerinde(negotiation) , Sonicwall Identifier(ID_USER_FQDN) ise Aggessive mode’da kullanılır.
3.Network tabına tıklayın.
- Local networkler altında, Choose local network from list:’ten local bir network seçin ve X0 subnet adres objesini seçin.(LAN birincil subnet)
NOT:VPN üzerinden DHCP IKEv2 ile desteklenmez.
- Destination Networks altında, Choose destination network from list: ‘i seçin ve Seatle Office adres objesini seçin(Site A networkü)
4.Proposal tabına tıklayın
Note: Ayarlar Site A ile aynı olmalı.
5.Advanced tabına tıklayın.
- VPN Tunelde peerlar arası heartbeat mesajlarının(yoklama mesajları) kullanılabilmesi için Enable Keep Alive’ı seçin. Eğer tunelin bir tarafı çalışmaz ise keepaliveları kullanmak tunelin otomatik olarak tekrar görüşme yapabilmesine izin verir.
- Windows® Network Neighborhood’u browse ederekten uzak network kaynaklarına erişim vermek için Enable Windows Networking (NetBIOS) Broadcast’ı seçin.
- Local Sonicwall’u VPN tunnel üzerinden yönetmek için, HTTP, HTTPS, veya Management via this SA ‘dan ikisinide seçebilisiniz. Userların SA kullanarak login olmalarına izin vermek için ise HTTP, HTTPS, veya User login via this SA ‘dan ikisinide seçebilirsiniz.
- Eğer tunele giren ve bilinmeyen bir subnete yönlendirilmiş olan trafik için LAN’da bir router kullanmak istiyorsanız ,routerınızın IP adresini Default LAN Gateway (optional)bölmesine girmelisiniz.
- VPN Policy bound to menusunden bir interface veya zone seçin. Eğer WAN Load balancing kullanıyorsanız ve iki WAN arayüzünüde kullanmak için VPN’e izin vermek istiyorsanız, bir Zone WAN seçmeniz tavsiye edilir.
- Ayarları uygulamak için OK’e tıklayın
Adım4.Senaryo Testi:
Site A’dan Site B’ye veya B ‘den A’ya ping atmayı deneyin.
NOT: VPN tunelin halen kurulduğu sırada, başarılı tepkiler almadan önce , birkaç tane “Request timed out” mesajını görebilirsiniz.
Yorumlar
Yorum Gönder