Günümüz network altyapısı artık yükseliyor ve heryerde bir BULUT'tur gidiyor.
Özellikle Amazon ve Microsoft Azure piyasada bu konuda çok hızlı ilerliyor. Aslında bulut dedikleri yapı belirli bölgelerdeki hızlı bağlantılar ve güçlü altyapı ile hazırlanmış Data Center'ların sanallaştırmayı çok iyi kullanarak müşterilerin hizmetine açılması olayı.
Biz de eksik kalmayalım dedik, Microsoft Azure ile bir demo kurulumu yaptık, Juniper ScreenOS firewall'larında yaptığım testlerle hiçbir sıkıntı yaşamadan VPN UP duruma geldi ve gayet başarılı şekilde çalıştı.
Gelelim basit bir konfigürasyona;
JORDAN Ofisi:
Öncelikle JORDAN adında bir ofisimiz olsun.
Cihaz: SSG20
SSG20 gateway interface: adsl1/0
JORDAN Network : 172.16.77.0/24
Gateway : 77.77.77.77
AZURE Cloud:
Azure tarafında da 192.168.0.0/16 adres aralığını kullanalım.
Azure Cloud için aşağıdaki linkten bir hotmail hesabı ile login olabiliriz.
http://www.windowsazure.com/tr-tr/pricing/free-trial/
Ardından bir network yaratmamız gerekecek. Bu adımları aşağıdaki örnek bilgilere göre hazırlayabiliriz.
LocalNetworkSite : JORDANtoAZURE
VirtualNetworkSite name : JORDANnet
Address Space : 192.168.0.0/16
Subnet-1 : 192.168.66.0/24
GatewaySubnet : 192.168.6.0/24
VPNGatewayAddress(Azure): 66.66.66.66
Preshared Key : asdx1234asdx123
Yukarıdaki Azure network konfigürasyonunu hazırlayalım.
.....
.....
Bu alanı kısa süre sonra yayınlayacağım..
.....
.....
Bu konfigürasyona göre Juniper ScreenOS cihazımızda aşağıdaki komutları adım adım izlersek sıkıntısız çalışacaktır.
############# China to Azure VPN connection #############
# China Local: (Network Ekibi tarafindan doldurulacak alan)
SSG20 Lokal Ag Blogu : 172.16.77.0/24
SSG20 Public IP adresi : 77.77.77.77
baglanti tipi : adsl1/0
yeni tünel adi : tunnel.1
# Azure Cloud: (Sistem ekibi tarafindan doldurulacak alan)
LocalNetworkSite adi : JORDANtoAZURE
VirtualNetworkSite name : JORDANnet
Address Space : 192.168.0.0/16
Subnet-1 : 192.168.66.0/24
GatewaySubnet : 192.168.6.0/24
VPNGatewayAddress(Azure): 66.66.66.66
Preshared Key : asdx1234asdx123
SSG20 tarafina yapilacaklar
# Virtual tunnel interface configuration
--------------------------------------------
set interface tunnel.1 zone Untrust
set interface tunnel.1 ip unnumbered interface adsl1/0
set route 192.168.0.0/16 interface tunnel.1
# Internet Key Exchange (IKE) configuration
--------------------------------------------
set ike p1-proposal "Azure_phase1-proposal" preshare group2 esp aes128 sha-1 seconds 28800
set ike gateway "Azure_phase1" address "66.66.66.66" main outgoing-interface "adsl1/0" preshare asdx1234asdx123 proposal "Azure_phase1-proposal"
set ike gateway "Azure_phase1" dpd-liveness interval 10
# IPSec configuration
--------------------------------------------
set ike p2-proposal "Azure_phase2-proposal" no-pfs esp aes128 sha-1 seconds 3600
set vpn "Azure_phase2" gateway "Azure_phase1" tunnel idletime 0 proposal "Azure_phase2-proposal"
set vpn "Azure_phase2" monitor optimized rekey
set vpn "Azure_phase2" proxy-id local-ip 172.16.77.0/24 remote-ip 192.168.0.0/16 "ANY"
set vpn "Azure_phase2" bind interface tunnel.1
# ACL rules
---------------------------------------------
set address Trust "172.16.77.0/24" 172.16.77.0/24
set address Untrust "192.168.0.0/16" 192.168.0.0/16
set policy top from Trust to Untrust "172.16.77.0/24" "192.168.0.0/16" any permit
set policy top from Untrust to trust "192.168.0.0/16" "172.16.77.0/24" any permit
# TCPMSS clamping
----------------------------------------------
set flow vpn-tcp-mss 1350
21 Mayıs 2013 Salı
26 Mart 2013 Salı
Juniper Firewall Dinamik IP ile IPsec VPN kurulumu
Sevgili ScreenOS ve Junos dostları :p
Bu yazımda Juniper ScreenOS işletim sistemli firewall cihazlarda en güzel özelliklerden biri olan Public IP adresinin statik olmasına gerek bırakmadan Dinamik IP adresleri ile Peer ID ve Local ID kullanılarak IPsecVPN kurulabilmeyi anlatıcam;
Hatta iki cihaz arasında IPsec VPN kurulumunu adım adım anlatalım;
Senaryo şu:
2 lokasyon var.
1. lokasyon > ISG1000 cihaz, Network Bloğu : 128.128.0.0/16, Statik IP adresi : 85.85.85.85
2. lokasyon > ISG1000 cihaz, Network Bloğu : 172.101.10.0/24, Local-ID adresi : 000-Test-VPN-ID
ISG1000 konfigürasyonu:
yoruldum, yarın devam edicem ;)
Bu yazımda Juniper ScreenOS işletim sistemli firewall cihazlarda en güzel özelliklerden biri olan Public IP adresinin statik olmasına gerek bırakmadan Dinamik IP adresleri ile Peer ID ve Local ID kullanılarak IPsecVPN kurulabilmeyi anlatıcam;
Hatta iki cihaz arasında IPsec VPN kurulumunu adım adım anlatalım;
Senaryo şu:
2 lokasyon var.
1. lokasyon > ISG1000 cihaz, Network Bloğu : 128.128.0.0/16, Statik IP adresi : 85.85.85.85
2. lokasyon > ISG1000 cihaz, Network Bloğu : 172.101.10.0/24, Local-ID adresi : 000-Test-VPN-ID
ISG1000 konfigürasyonu:
- VPN için trust-vr da bir Zone yaratıyoruz
- Bir tunnel yaratıp VPN_Zone a tanımlıyoruz
- Phase1(Gateway) 'i oluşturuyoruz. Burada dikkat edilmesi gerekn nokta Dynamic IP address kısmına karşıdaki SSG20 modemin Local ID sini yazmak olacak. Bunu birazdan göreceğiz.
Advanced kısmını aşağıdaki şekilde giriyoruz. Önemli noktalar: Proposal ve Outgoing interface(daha sonra değiştirilemiyor) ve Mode kısmının aggressive olması.
- Phase2 (IKE)'yi oluşturuyoruz.
Advanced kısmını aşağıdaki şekilde giriyoruz. Önemli noktalar: Proposal ve bind to tunnel interface yarattığımız interface olacak ve VPN Monitor kısmının tikli olması.
- SSG20 cihazın tunnel IP adresini GW gösterecek şekilde bir Route yazıyoruz
- VPN zone ile Trust Zone arasındaki gerekli izinlerin olduğu Policy'leri yazıyoruz.
yoruldum, yarın devam edicem ;)
Kaydol:
Yorumlar (Atom)