Bu yazımda Juniper ScreenOS işletim sistemli firewall cihazlarda en güzel özelliklerden biri olan Public IP adresinin statik olmasına gerek bırakmadan Dinamik IP adresleri ile Peer ID ve Local ID kullanılarak IPsecVPN kurulabilmeyi anlatıcam;
Hatta iki cihaz arasında IPsec VPN kurulumunu adım adım anlatalım;
Senaryo şu:
2 lokasyon var.
1. lokasyon > ISG1000 cihaz, Network Bloğu : 128.128.0.0/16, Statik IP adresi : 85.85.85.85
2. lokasyon > ISG1000 cihaz, Network Bloğu : 172.101.10.0/24, Local-ID adresi : 000-Test-VPN-ID
ISG1000 konfigürasyonu:
- VPN için trust-vr da bir Zone yaratıyoruz
- Bir tunnel yaratıp VPN_Zone a tanımlıyoruz
- Phase1(Gateway) 'i oluşturuyoruz. Burada dikkat edilmesi gerekn nokta Dynamic IP address kısmına karşıdaki SSG20 modemin Local ID sini yazmak olacak. Bunu birazdan göreceğiz.
Advanced kısmını aşağıdaki şekilde giriyoruz. Önemli noktalar: Proposal ve Outgoing interface(daha sonra değiştirilemiyor) ve Mode kısmının aggressive olması.
- Phase2 (IKE)'yi oluşturuyoruz.
Advanced kısmını aşağıdaki şekilde giriyoruz. Önemli noktalar: Proposal ve bind to tunnel interface yarattığımız interface olacak ve VPN Monitor kısmının tikli olması.
- SSG20 cihazın tunnel IP adresini GW gösterecek şekilde bir Route yazıyoruz
- VPN zone ile Trust Zone arasındaki gerekli izinlerin olduğu Policy'leri yazıyoruz.
yoruldum, yarın devam edicem ;)
