OzzTech - SSL VPN için çift yığın IPv4 ve IPv6 desteği

SSL VPN için çift yığın IPv4 ve IPv6 desteği

SSL VPN sunucuları ve istemcileri için çift yığınlı IPv4 ve IPv6 desteği, bir istemcinin hem IPv4 hem de IPv6 trafiğinin geçmesine izin vermek için bir çift yığın tünel oluşturmasını sağlar. FortiGate SSL VPN istemcileri ayrıca diğer FortiGates'lerle ikili yığın tünelleri oluşturmasına izin veren çift yığını destekler. Web modunda bağlanan kullanıcılar, web portalına IPv4 veya IPv6 üzerinden  bağlanabilir. Web portalının tercih edilen DNS ayarına bağlı olarak, IPv4 veya IPv6'daki yer imlerine erişebilirler.

Örnek Bu örnekte FortiGate B, çift yığın etkinleştirilmiş bir SSL VPN sunucusu olarak çalışır. Tünel modunu ve web modunu SSL VPN'i desteklemek için bir test portalı yapılandırılmıştır.

SSL VPN için çift yığın IPv4 ve IPv6 desteği

FortiGate A, bir SSL VPN tünel bağlantısı kurmak için FortiGate B'ye bağlanan bir SSL VPN istemcisidir. Ayrı IPv4 ve IPv6 bağlantıları aracılığıyla www.bing.com ve www.apple.com'a erişmeye çalışır. FortiGate B'de iki adres yapılandırılmıştır:

  • bing.com , IPv4 FQDN'yi kullanır ve 13.107.21.200 ve 204.79.197.200'e çözümlenir.
  • apple_v6 , IPv6 FQDN'yi kullanır ve 2600:140a:c000:385::1aca ve

      2600:140a:c000:398::1aca'ya çözümlenir.

Kullanılan sunucu sertifikası fgt_gui_automation ve CN'si *.fos.automation.com'dur.

Bir PC, SSL VPN web modunda FortiGate B'ye bağlanmak için bir istemci görevi görür. PC, IPv4 veya IPv6 üzerinden SSL VPN sunucusuna bağlanabilir. Tercih edilen DNS ayarına bağlı olarak, hedef web sitesine IPv4 veya IPv6 üzerinden erişecektir.

Çift yığın tünel modu desteği, desteklenen bir istemci gerektirir. 7.0.0'da, SSL VPN istemci modunda bir FortiGate, çift yığın tünelleri destekleyebilir. Mevcut FortiClient 7.0.0 sürümü çift yığını desteklemiyor.

GUI'de çift yığın desteği ile tünel ve web modunda bir SSL VPN sunucusunu yapılandırmak için:

1. Yerel bir kullanıcı oluşturun:

a. Git Kullanıcı & Kimlik> Kullanıcı Tanımı ve tıklatın Yeni Oluştur . Kullanıcılar / Gruplar Oluşturma Sihirbazı açılır.

b. Set Kullanıcı Tipi için Yerel Kullanıcı ve tıklayın İleri .

c. Gir Kullanıcı Adı ( istemci2 ) ve şifreyi, ardından İleri .

d. İsteğe bağlı olarak, iletişim bilgileri yapılandırıp tıklayın İleri .

e. Gönder 'i tıklayın.

2. Adresleri yapılandırın:

a. Git Politikası ve Nesne> Adresler ve tıklayın > Adres Yeni Oluştur .

b. IPv4 adresi için aşağıdakileri girin:

SSL VPN için çift yığın IPv4 ve IPv6 desteği

c. Tıklayın Tamam.

d. Tıklayın Yeni> Adres Oluşturma ve IPv6 adresi için aşağıdaki girin:

SSL VPN için çift yığın IPv4 ve IPv6 desteği

e. Tıklayın Tamam .

3. SSL VPN portalını yapılandırın:

a. Git VPN> SSL VPN Portalları ve tıklatın Yeni Oluştur .

b. Bir ad girin ( testportal1 ).

c. Tünel Modunu Etkinleştir ve Bölünmüş Tünel Oluşturmayı Etkinleştir için, İlke Hedefine Göre Etkinleştir'i seçin .

d. İçin kaynak IP Havuzlar , eklemek SSLVPN_TUNNEL_ADDR1 .

e. Enable IPv6 Tünel Modu ve için Bölünmüş Tünellemesini etkinleştirme seçeneğini Politikası Hedef dayanarak etkinleştirin .

f. İçin kaynak IP Havuzlar , eklemek SSLVPN_TUNNEL_IPv6_ADDR1 .

g. Web Modunu Etkinleştir'i etkinleştirin .

SSL VPN için çift yığın IPv4 ve IPv6 desteği

h. Tıklayın Tamam .

4. SSL VPN ayarlarını yapılandırın:

a. Git VPN> SSL VPN Ayarları ve aşağıdaki yapılandırın:

SSL VPN için çift yığın IPv4 ve IPv6 desteği

SSL VPN için çift yığın IPv4 ve IPv6 desteği

b. Uygula'yı tıklayın .

c. CLI'de çift yığını etkinleştirin:

        config vpn ssl settings

                set dual-stack-mode enable

        end

5. Güvenlik duvarı ilkesini yapılandırın

a. Git Politikası ve Nesneler> Güvenlik duvarı Politikası ve tıklatın Yeni Oluştur .

b. Aşağıdakileri girin:

SSL VPN için çift yığın IPv4 ve IPv6 desteği

c. Tıklayın Tamam .

FortiGate A'yı GUI'de bir SSL VPN istemcisi olarak yapılandırmak için:

1. Sunucu sertifikasını doğrulamak için bir eş oluşturun:

PKI menüsü, yalnızca CLI kullanılarak bir PKI kullanıcısı oluşturulduktan sonra GUI'de ( Kullanıcı ve Kimlik Doğrulama > PKI ) kullanılabilir ve bir CN yalnızca CLI'de yapılandırılabilir. CA bilinmiyorsa veya herkese açıksa, sunucu sertifikasını imzalayan CA'yı içe aktarın.

a. Git Kullanıcı & Yetkilendirme> PKI ve tıklatın Yeni Oluştur .

b. Set Adı için fgt_gui_automation .

c. CA'yı sunucu sertifikasını doğrulamak için kullanılan CA sertifikasına ayarlayın .

d. Tıklayın Tamam .

e. CLI'de, eşleşmesi gereken CN'yi belirtin.

config user peer

       edit "fgt_gui_automation"

             set ca "GUI_CA"

             set cn "*.fos.automation.com"

      next

end

2. SSL VPN istemcisini yapılandırın:

a. Git VPN> SSL VPN Müşteriler ve tıklatın Yeni Oluştur .

b. Arabirim açılan açılan alanında Oluştur'a tıklayın

       i. Bir Ad girin ( sslclient_port2 ).

       ii. Set Arabirimi için port2 .

       iii. Set Rol için LAN .

SSL VPN için çift yığın IPv4 ve IPv6 desteği

       iv. Tıklayın Tamam .

c. SSL VPN istemcisini yapılandırın:

SSL VPN için çift yığın IPv4 ve IPv6 desteği

d. Tıklayın Tamam .

CLI'de çift yığın desteğiyle tünel ve web modunda bir SSL VPN sunucusunu yapılandırmak için:

1. Yerel bir kullanıcı oluşturun:

config user local

         edit "client1"

                 set type password

                set passwd ******

       next

end

2. Adresleri yapılandırın:

config firewall address

      edit "bing.com"

          set type fqdn

          set fqdn "www.bing.com"

     next

end

config firewall address6

      edit "apple_v6"

           set type fqdn

          set fqdn "www.apple.com"

     next

end

3. SSL VPN portalını yapılandırın:

config vpn ssl web portal

        edit "testportal1"

              set tunnel-mode enable

              set ipv6-tunnel-mode enable

              set web-mode enable

              set ip-pools "SSLVPN_TUNNEL_ADDR1"

              set ipv6-pools "SSLVPN_TUNNEL_IPv6_ADDR1"

              set split-tunneling enable

              set ipv6-split-tunneling enable

      next

end

4. SSL VPN ayarlarını yapılandırın:

config vpn ssl settings

         set servercert "fgt_gui_automation"

         set tunnel-ip-pools "SSLVPN_TUNNEL_ADDR1"

         set tunnel-ipv6-pools "SSLVPN_TUNNEL_IPv6_ADDR1"

         set port 1443

        set source-interface "port1"

        set source-address "all"

        set source-address6 "all"

        set default-portal "testportal1"

        set dual-stack-mode enable

end

5. Güvenlik duvarı ilkesini yapılandırın:

config firewall policy

       edit 1

            set name "sslvpn"

            set srcintf "ssl.root"

           set dstintf "port2"

           set srcaddr "all"

           set dstaddr "bing.com"

           set srcaddr6 "all"

           set dstaddr6 "apple_v6"

           set action accept

           set schedule "always"

           set service "ALL"

           set nat enable

           set users "client2"

    next

end

FortiGate A'yı CLI'de bir SSL VPN istemcisi olarak yapılandırmak için:

1. Sunucu sertifikasını doğrulamak için bir eş oluşturun:

config user peer

      edit "fgt_gui_automation"

            set ca "GUI_CA"

            set cn "*.fos.automation.com"

       next

end

2. Arayüzü yapılandırın:

config system interface

       edit "sslclient_port2"

             set vdom "vdom1"

            set type ssl

            set role lan

            set snmp-index 46

            set interface "port2"

     next

end

3. SSL VPN istemcisini yapılandırın. IPv4 adresi 10.1.100.9 veya IPv6 adresi 2000:10:1:100::9 kullanılabilir ve aynı sonuçları verir:

config vpn ssl client

       edit "sslclientTo9"

            set interface "sslclient_port2"

            set user "client2"

            set psk ******

            set peer "fgt_gui_automation"

            set server {10.1.100.9 | 2000:10:1:100::9}

            set port 1443

     next

end

Tünel moduyla çift yığını test etme

GUI'de SSL VPN tünel bağlantısını doğrulamak için:

1. FortiGate B'de Dashboard > Network'e gidin .

2. SSL-VPN widget'ını genişletin .

SSL VPN için çift yığın IPv4 ve IPv6 desteği

CLI'de SSL VPN tünel bağlantısını doğrulamak için:

1. FortiGate B'de istemciye hem IPv4 hem de IPv6 adresleri atandığını doğrulayın:

(root) # get vpn ssl monitor

SSL VPN Login Users:

Index User Group Auth Type Timeout Auth-Timeout From HTTP in/out HTTPS in/out Two-factor Auth

0       client2       1(1)      292      2147483647    10.1.100.2     0/0     0/0     0

SSL VPN sessions:

Index User Group Source IP Duration I/O Bytes Tunnel/Dest IP

0        client2       10.1.100.2         5427        1756/1772        10.212.134.200,fdff:ffff::1

2. FortiGate A'da yönlendirme tablolarını doğrulayın.

a. www.bing.com için çözümlenmiş adresleri olan IPv4:

(vdom1) # get router info routing-table database

...

Routing table for VRF=0

S          *> 0.0.0.0/0 [10/0] via 172.16.200.254, port1

C         *> 10.0.1.0/24 is directly connected, link_11

C         *> 10.1.100.0/24 is directly connected, port2

C         *> 10.212.134.200/32 is directly connected, sslclient_port2

S        *> 13.107.21.200/32 [10/0] is directly connected, sslclient_port2

C        *> 172.16.200.0/24 is directly connected, port1

S        *> 204.79.197.200/32 [10/0] is directly connected, sslclient_port2

b. www.apple.com için çözümlenmiş adreslerle IPv6:

(vdom1) # get router info6 routing-table database

...

S          *> ::/0 [10/0] via 2000:172:16:200::254, port1, 01:57:23, [1024/0]

C         *> ::1/128 via ::, vdom1, 06:12:54

C         *> 2000:10:0:1::/64 via ::, link_11, 06:12:54

C        *> 2000:10:1:100::/64 via ::, port2, 06:12:54

C        *> 2000:172:16:200::/64 via ::, port1, 06:12:54

S        *> 2600:140a:c000:385::1aca/128 [10/0] via ::, sslclient_port2,

01:33:08, [1024/0]

S        *> 2600:140a:c000:398::1aca/128 [10/0] via ::, sslclient_port2, 01:33:08, [1024/0]

C         *> fdff:ffff::/120 via ::, sslclient_port2, 01:33:08

C         *> fe80::/64 via ::, port2, 06:12:54

Ping kullanarak adres bağlantılarını test etmek için:

1. FortiGate A'da IPv4 ping kullanarak www.bing.com'a ping atın:

# execute ping www.bing.com

PING www-bing-com.dual-a-0001.a-msedge.net (13.107.21.200): 56 data bytes

64 bytes from 13.107.21.200: icmp_seq=0 ttl=117 time=1.8 ms ...

2. FortiGate B'de IPv4 ICMP paketlerini koklayın ve sonuçları gözlemleyin:

# diagnose sniffer packet any icmp 4

interfaces=[any]

filters=[icmp]

9.675101 ssl.root in 10.212.134.200 -> 13.107.21.200: icmp: echo request

9.675219 port2 out 172.16.200.9 -> 13.107.21.200: icmp: echo request

9.676698 port2 in 13.107.21.200 -> 172.16.200.9: icmp: echo reply

9.676708 ssl.root out 13.107.21.200 -> 10.212.134.200: icmp: echo reply

...

3. FortiGate A'da IPv6 pingini kullanarak www.apple.com'a ping atın:

# execute ping6 www.apple.com

PING www.apple.com (2600:140a:c000:385::1aca): 56 data bytes

64 bytes from 2600:140a:c000:385::1aca: icmp_seq=1 ttl=52 time=1.88 ms

...

4. FortiGate B'de IPv6 ICMP paketlerini koklayın ve sonuçları gözlemleyin:

# diagnose sniffer packet any icmp6 4

interfaces=[any]

filters=[icmp6]

3.564296 ssl.root in fdff:fff::1 -> 2600:140a:c000:385::1aca: icmp6: echo

request seq 1

3.564435 port2 out 2000:172:16:200::9 -> 2600:140a:c000:385::1aca: icmp6:

echo request seq 1

3.565929 port2 in 2600:140a:c000:385::1aca -> 2000:172:16:200::9: icmp6: echo

reply seq 1 [flowlabel 0x1fdff]

3.565953 ssl.root out 2600:140a:c000:385::1aca -> fdff:fff::1: icmp6: echo

reply seq 1 [flowlabel 0x1fdff]

...

Web moduyla çift yığını test etme

SSL VPN web modunda, kullanıcılar portaldaki hem IPv4 hem de IPv6 yer imlerine erişebilir. Öznitelik, prefer-ipv6-dnsönce IPv6 DNS'yi sorgulamayı tercih etmek için etkinleştirilebilir veya IPv4'ü sorgulamayı tercih etmek için devre dışı bırakılabilir.

Web portalına bir IPv4 bağlantısını test etmek ve IPv6 üzerinden www.bing.com'a erişmek için:

1. FortiGate B'de IPv6 adreslerini çözümlemeye öncelik verin:

config vpn ssl web portal

      edit "testportal1"

           set prefer-ipv6-dns enable

     next

end

2. IPv4 adresi 10.1.100.9 üzerinden tarayıcıdan web portalına giriş yapın.

3. www.bing.com URL'si için bing adında yeni bir HTTP/HTTPS yer imi oluşturun .

4. bing yer işaretini tıklayın . Bing sayfası IPv6 üzerinden açılacaktır.

SSL VPN için çift yığın IPv4 ve IPv6 desteği

Web portalına bir IPv6 bağlantısını test etmek ve IPv4 üzerinden www.apple.com'a erişmek için:

1. FortiGate B'de IPv4 adreslerini çözümlemeye öncelik verin:

config vpn ssl web portal

     edit "testportal1"

          set prefer-ipv6-dns disable

    next

end

2. IPv6 adresi [2000:10:1:100::9] üzerinden tarayıcıda web portalında oturum açın.

3. www.apple.com URL'si için apple adında yeni bir HTTP/HTTPS yer imi oluşturun

4. Elma yer işaretini tıklayın . Apple sayfası IPv4 üzerinden açılacaktır.

SSL VPN için çift yığın IPv4 ve IPv6 desteği

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.