OzzTech - SSL VPN ve IPsec VPN IP adresi atamaları

SSL VPN ve IPsec VPN IP adresi atamaları

Bir kullanıcı bir VPN tünelinden ayrıldığında, serbest bırakılan IP adresinin hemen kullanılması her zaman istenmez.

• SSL VPN'de, IP adresleri, varsayılan ilk kullanılabilir adres yöntemi yerine havuzdan sıralı olarak atanabilir.

• IPsec VPN'de IP adresleri, atama için havuza geri bırakılmadan önce belirtilen gecikme aralığı boyunca tutulabilir. İlk kullanılabilir adres atama yöntemi hala kullanılmaktadır.

Örnek topoloji

Bu örneklerde, iki bilgisayar VPN'ye bağlanır.

SSL VPN ve IPsec VPN IP adresi atamaları

SSL VPN örneği

Bu örnekte, SSL VPN, döngüsel IP adresi atamasını kullanacak şekilde yapılandırılmıştır. Çift yığın adres ataması (hem IPv4 hem de IPv6) kullanılır.

Bir tünelin bağlantısı kesildikten sonra, düşük bir IP adresini serbest bırakarak, bağlanan bir sonraki istemci, en düşük adres yerine sıralı denemede bir sonraki adresi alır.

SSL VPN'i tekrar tekrar deneme ve çift yığınla yapılandırmak için:

1. IPv4 ve IPv6 adres aralıkları oluşturun:

config firewall address

      edit "sslvpn_ipv4_pool"

            set type iprange

            set start-ip 173.10.1.1

            set end-ip 173.10.1.3

       next

end

config firewall address6

     edit "sslvpn_ipv6_pool"

           set type iprange

           set start-ip 2000::ad0a:101

           set end-ip 2000::ad0a:103

     next

end

2. SSL VPN ayarlarında adres aralıklarını IP havuzları olarak ayarlayın:

config vpn ssl settings

           set tunnel-ip-pools "sslvpn_ipv4_pool"

           set tunnel-ipv6-pools "sslvpn_ipv6_pool"

end

Round-robin kullanıldığında, web portalında tanımlanan tüm adres havuzları yok sayılır ve SSL VPN ayarlarındaki tünel IPv4 ve IPv6 havuz adresleri kullanılır. Yalnızca bir IP havuzu adresi grubu uygulanabilir.

3. SSL VPN ayarlarında tekrar tekrar ve çift yığını etkinleştirin:

config vpn ssl settings

        set dual-stack-mode enable

        set tunnel-addr-assigned-method round-robin

end

Varsayılan olarak, IP havuzu ataması mevcut ilk kuralı takip eder.

4. İki kullanıcı oluşturun ve bunları bir SSL VPN poliçesine atayın:

config user local

      edit "u1"

            set type password

           set passwd **********

      next

      edit "u2"

         set type password

        set passwd **********

     next

end

config firewall policy edit 1

            set name "sslvpnd"

            set srcintf "ssl.vdom1"

            set dstintf "link_11" "port1"

            set action accept

            set srcaddr "all"

           set dstaddr "all"

           set srcaddr6 "all"

           set dstaddr6 "all"

           set schedule "always"

           set service "ALL"

           set nat enable

          set users "u1" "u2"

    next

end

Sonuçları test etmek için:

1. u1 kullanıcısını kullanarak PC1'deki SSL VPN'de oturum açın ve ardından atanan IP adresini kontrol edin:

# get vpn ssl monitor

SSL-VPN Login Users:

  Index User Group Auth Type Timeout Auth-Timeout From

HTTP in/out HTTPS in/out Two-factor Auth

  0 u1 1(1) N/A 10.1.100.145 0/0 0/0 0

SSL-VPN sessions:

  Index User Group Source IP Duration I/O Bytes Tunnel/Dest IP

  0 u1 10.1.100.145 13 49935/35251 173.10.1.1,2000::ad0a:101

2. Kullanıcı u2'yi kullanarak PC1'deki SSL VPN'de oturum açın ve ardından atanan IP adresini kontrol edin:

# get vpn ssl monitor

SSL-VPN Login Users:

Index User Group Auth Type Timeout Auth-Timeout From

HTTP in/out HTTPS in/out Two-factor Auth

0 u1 1(1) N/A 10.1.100.145 0/0 0/0 0

1 u2 1(1) N/A 10.1.100.254 0/0 0/0 0

SSL-VPN sessions:

Index User Group Source IP Duration I/O Bytes Tunnel/Dest IP

0 u1 10.1.100.145 44 90126/70405

173.10.1.1,2000::ad0a:101

1 u2 10.1.100.254 10 10563/8158

173.10.1.2,2000::ad0a:102

3. Kullanıcı u1'i PC1'den kapatın, ardından tekrar oturum açın ve atanan IP adresinin daha önce atananla aynı olup olmadığını kontrol edin:

# get vpn ssl monitor

SSL-VPN Login Users:

  Index User Group Auth Type Timeout Auth-Timeout From

HTTP in/out HTTPS in/out Two-factor Auth

0 u1 1(1) N/A 10.1.100.145 0/0 0/0 0

1 u2 1(1) N/A 10.1.100.254 0/0 0/0 0

SSL-VPN sessions:

   Index User Group Source IP Duration I/O Bytes Tunnel/Dest IP

0 u1 10.1.100.145 10 50992/41159 173.10.1.3,2000::ad0a:103

1 u2 10.1.100.254 43 30374/21860 173.10.1.2,2000::ad0a:102

IPsec VPN örneği

Bu örnekte, serbest bırakılan bir adresin en az dört dakika boyunca yeniden kullanılmasını önlemek için IP adresi yeniden kullanım gecikme aralığı kullanılır. Aralık geçtikten sonra IP adresi tekrar istemciler tarafından kullanılabilir hale gelir. Çift yığın adres ataması (hem IPv4 hem de IPv6) kullanılır.

IPsec VPN'i bir IP adresi yeniden kullanım gecikme aralığıyla yapılandırmak için:

1. IP adresi yeniden kullanım gecikme aralığını 240 saniyeye ayarlayarak IPsec aşama 1 arabirimini yapılandırın:

config vpn ipsec phase1-interface

      edit "FCT"

          set type dynamic

          set interface "port27"

          set mode aggressive

          set peertype any

         set net-device disable

         set mode-cfg enable

        set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1

        set wizard-type dialup-forticlient

        set xauthtype auto

        set authusrgrp "local-group"

        set ipv4-start-ip 10.20.1.1

        set ipv4-end-ip 10.20.1.100

       set dns-mode auto

      set ipv4-split-include "FCT_split"

       set ipv6-start-ip 2001::1

       set ipv6-end-ip 2001::2

       set ip-delay-interval 240

       set save-password enable

       set psksecret **********

   next end

2. IPsec faz2 arayüzünü yapılandırın:

config vpn ipsec phase2-interface

    edit "FCT"

         set phase1name "FCT"

         set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305 next

       edit "FCT6"

            set phase1name "FCT"

           set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305

          set src-addr-type subnet6

          set dst-addr-type subnet6

     next

end

Sonuçları test etmek için:

1. PC1'de FortiClient 1 ile VPN'ye bağlanın ve ardından atanan IP adresini kontrol edin:

# diagnose vpn ike gateway list

vd: root/0

name: FCT_0

version: 1

interface: port27 17

addr: 173.1.1.1:4500 -> 173.1.1.2:60417

tun_id: 173.1.1.2

remote_location: 0.0.0.0

virtual-interface-addr: 169.254.1.1 -> 169.254.1.1

created: 14s ago

xauth-user: userc

2FA: no

FortiClient UID: 7C0897D80C8E4B6DAC775DD6B0F93BAA

assigned IPv4 address: 10.20.1.1/255.255.255.255

assigned IPv6 address: 2001::1/128

nat: peer

IKE SA: created 1/1 established 1/1 time 100/100/100 ms

IPsec SA: created 2/2 established 2/2 time 0/5/10 ms

      id/spi: 2 66140ba3e38b9b07/b64668f110ca4a48

     direction: responder

     status: established 14-14s ago = 100ms

     proposal: aes256-sha256

     key: 356637ee6e9a9cb5-fade432c09efb8aa-54be307fc1eeeab5-6e4b9ef19f98d5fa

     lifetime/rekey: 86400/86115

     DPD sent/recv: 00000000/00000394

2. FortiClient 1'in bağlantısını kesin ve FortiClient 2'ye bağlanın. FortiClient 1'e atanan IP adresi havuza bırakılmaz ve FortiClient 2'ye farklı bir IP adresi atanır:

# diagnose vpn ike gateway list

vd: root/0

name: FCT_0

version: 1

interface: port27 17

addr: 173.1.1.1:4500 -> 173.1.1.2:64916

tun_id: 173.1.1.2

remote_location: 0.0.0.0

virtual-interface-addr: 169.254.1.1 -> 169.254.1.1

created: 6s ago

xauth-user: usera

2FA: no

FortiClient UID: EAF90E297393456AB546A041066C0720

assigned IPv4 address: 10.20.1.2/255.255.255.255

assigned IPv6 address: 2001::2/128

nat: peer

IKE SA: created 1/1 established 1/1 time 110/110/110 ms

IPsec SA: created 2/2 established 2/2 time 0/5/10 ms

      id/spi: 3 b25141d5a915e67e/b32decdb8cf98318

      direction: responder

      status: established 6-6s ago = 110ms

      proposal: aes256-sha256

      key: 374ab753f3207ea0-83496b5cb24b5a8d-c51da1fd505cf3a4-727884839897808a

     lifetime/rekey: 86400/86123

     DPD sent/recv: 00000000/00000453

3. 240 saniye bekleyin, ardından FortiClient 2'yi ayırın ve yeniden bağlayın. Daha önce FortiClient 1'e atanan IP adresi havuza geri bırakıldı ve FortiClient 2'ye atandı:

# diagnose vpn ike gateway list

vd: root/0

name: FCT_0

version: 1

interface: port27 17

addr: 173.1.1.1:4500 -> 173.1.1.2:64916

tun_id: 173.1.1.2

remote_location: 0.0.0.0

virtual-interface-addr: 169.254.1.1 -> 169.254.1.1

created: 20s ago

xauth-user: usera

2FA: no

FortiClient UID: EAF90E297393456AB546A041066C0720

assigned IPv4 address: 10.20.1.1/255.255.255.255

assigned IPv6 address: 2001::1/128

nat: peer

IKE SA: created 1/1 established 1/1 time 100/100/100 ms

IPsec SA: created 2/2 established 2/2 time 0/0/0 ms

     id/spi: 4 fb1fbad0c12f5476/aa06a2de76964f63

    direction: responder

     status: established 20-20s ago = 100ms

     proposal: aes256-sha256

     key: af43f1bb876dc79c-16448592fe608dc3-f251746d71b2c35d-c848e8c03bf738e9

     lifetime/rekey: 86400/86109

     DPD sent/recv: 00000000/000000a9

240 saniye beklemek yerine diagnose vpn ike gateway flush, daha önce kullanılan IP adreslerini havuza geri bırakmak için komutu kullanabilirsiniz .

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.