Fortigate Firewall’da Custom IPSEC Kurulumu’nun yapılışını bu yazıda anlatıyor olacağız. Fortigate Firewall’da Custom IPSEC yapılandırması için aşağıdaki adımlar takip edilebilir. Ekran görüntüleri ile birlikte Fortigate Firewall’da Custom IPSEC yapılandırmasını aşağıda anlatıyor olacağız.
- Firewall cihazımızda VPN>IPSEC Wizard Tab’ı takip edilerek Fortigate Firewall’da Custom IPSEC Kurulumu yapılandırılabilir;
- Firewall cihazımızda IPSEC bağlantımız için bir isim belirleyerek eğer karşı lokasyonumuzdaki cihazımız Fortigate veya Cisco değilse “Custom” seçeneğimizi işaretleyip “Next” butonuna basmamız gerekecektir.
- “Next” butonuna basıp bir sonraki adıma ilerlememizin akabinde karşımıza aşağıdaki ekran görüntüsünde de görebileceğiniz üzere karmaşık gelebilecek alanlar çıkacaktır.
- Bu alanları local ve remote network bilgilerimize istinaden doldurarak devam etmemiz gerekecektir.
- Fortigate Firewall’da Custom IPSEC Kurulumunu yapılandırırken, doldurulması gerekli alanlar hakkındaki bilgileri ekran görüntüsünün altında paylaşıyor olacağım.
- Local ağımızda Fortigate Firewall kullanıyor ancak karşı lokasyonumuzda bir başka cihaz(Checkpoint, PaloAlto, Juniper vs) kullanıyor olabiliriz. Bu durumda karşı lokasyonumuzdaki cihazımızın IPSEC bağlantısının nasıl yapıldığını da biliyor olmamız gerekecektir.
- Basitçe açıklamak gerekirse, Fortigate cihazımızda ekran görüntüsünde göreceğiniz alanlar doldurulurken, karşı lokasyonumuzdaki cihazımızda da yine aynı bilgilerin giriliyor olması gerekecektir. Özellikle “Authentication” kısmında yer alan “Pre-Shared Key” anahtarımız ve yine IPSEC bağlantılarında önemi oldukça büyük olan “Phase 1 Proposal” alanında yer alan şifreleme türlerinin karşı lokasyonumuzdaki cihazımızla aynı şekilde konfigürasyonunun yapılıyor olması beklenir.
- Genellikle “Encryption” için AES128 ve AES256 protokolleri seçilebilirken “Authentication” için ise SHA256 ve SHA1 seçilebiliyor.
- Önemli bir not olarak belirtmek gerekecektir ki bu protokoller her zaman çalışmayabilir, çalışmayabilir kısmından kastım ise AES128-SHA256 bağlantısı Fortigate cihazımız için uygun olurken, karşı lokasyonumuzdaki cihazımız için uygun olmayabilir. Bu sebeptendir ki yukarıda da belirttiğim şekilde, karşı lokasyonumuzda kullanılacak cihazımızında IPSEC bağlantı kurulumunun nasıl yapılabildiği hakkında bilgimiz olması gerekecektir.
- Gelelim ekran görüntümüzde yer alan kısımların küçük açıklamaları ile birlikte Fortigate Firewall’da Custom IPSEC Kurulumunun nasıl tamamlanabileceğine.
- Öncelikle, yine IPSEC bağlantımız için “Name” kısmına bir isim belirliyoruz.
- “Network” altında “IP Version” kısmını IPv4 olarak belirleyip “Remote Gateway” kısmını “Static IP Address” seçip hemen altındaki “IP Address” kısmına ise karşı lokasyonumuzun dış IP adresini yazmamız gerekecektir.
- Akabinde “Interface” kısmını WAN portumuz olarak seçmemiz gerekecektir. İç networkümüzü internet ortamına hangi portumuz çıkarıyorsa burada bu interface i kullanıyor olmamız beklenir.
- “Network” kısmı için diğer ayarlarda değişiklik yapmamız gerekmeyecektir ancak yine karşı lokasyonumuzdaki cihazımızın IPSEC bağlantısının kurulumuna göre “NAT Traversal” kısmını değiştirmemiz de gerekebilir.
- “Authentication” kısmında “Pre-Shared Key” seçilerek, karşı lokasyonumuzda da kullanacağımız IPSEC bağlantısı için ortak bir şifre belirleyip girmemiz gerekecektir.
- Bir çok cihaz “Main(ID Protection) modunda çalışır fakat yine “Aggressive” mod seçilmesi gereken cihazlarla çalışmanız gerekebilir. Bu durumda yine Fortigate karşısındaki cihazın IPSEC bağlantı ayarlarının da biliyor olması beklenecektir.
- “Phase 1 Proposal” kısmında “Encryption” ve “Authentication” kısımlarının ve DH yani “Diffie-Hellman Groups” ayarının da yine karşı lokasyondaki cihaz üzerinde yapılacak konfigürasyon ile aynı olması gerekmektedir. Genellikle yukarıda da belirtildiği üzere AES128-SHA256 ve DH Group 14 veya 5 veya her ikisi ile IPSEC bağlantısı kurulabiliyor fakat bunun karşı taraftaki cihazınızın konfigürasyonunun da bilinerek yapılması önem arz edecektir.
- Cihaz bazlı ekstra bir ayar yapılması gerekmiyorsa, örneğin “Key Lifetime” 86400 default olarak gelecektir fakat bu ayar Zyxel bir modem ile IPSEC bağlantısı kurulurken değişebilir yine aynı şekilde Checkpoint marka bir Firewall ile IPSEC kuruluyorsa bambaşka bir değer girmeniz de beklenebilir, “Phase 1 Proposal” ayarlamamızda bitmiş durumda olacaktır.
- Son olarak ise “Phase 2 Selectors” ayarlarımız altında IPSEC bağlantımıza dahil edip karşıdaki lokasyonumuzla konuşturacağımız networklerimizi giriyor olmamız gerekecektir. “Local Address” kısmımız için işlemleri yapmakta olduğumuz lokasyonumuzun networklerini girerken “Remote Address kısmına ise karşıdaki lokasyonumuzun iç networklerini yazıyor olmamız gerekecektir.
- “Advanced” butonuna tıkladıktan sonra karşımıza açılan “Phase 2 Proposal” kısmındaki ayarlarımızı da karşı lokasyonumuzdaki cihazımızda da aynı olacak şekilde ayarladıktan sonra alt kısımdan “OK” butonuna basarak bu taraftaki konfigürasyonumuzu bitirmiş oluruz.
- Akabinde karşı lokasyonumuzdaki cihazımızın da konfigürasyonlarını tamamladıktan sonra aşağıda da görebileceğiniz gibi IPSEC bağlantımızın “Up” olması bekleniyor olacaktır.
- Ek olarak belirtmekte fayda var ki, Fortigate Firewall’da Custom IPSEC Kurulumu yapılması sonrasında IPSEC bağlantısının “Up” olmaması durumunda, sorunun hangi aşamadan kaynaklanabileceği hakkında ki bilgilere ise “Log & Report” kısmındaki “Events” altından “VPN Events” kısmından ulaşabilirsiniz. Bu alanın örnek ekran görüntüsüde aşağıdaki gibi olacaktır.