Free VPN Client Fortigate Entegrasyonu

Free VPN Client Fortigate Entegrasyonu

Shrew Soft VPN Client kullanılarak Fortigate cihazı üzerinden IPsec VPN bağlantısı.

Fortigate Üzerinde Yapılması Gereken Konfigürasyon:

İlk olarak Firewall Policy’ de kullanacağımız LAN ve WAN tarafları için IP tanımlamalarını yapıyoruz.

Bunun için Firewall > Address bölümünden “Create New” seçeneğine geliyoruz

.
Wan tarafı için

Address Name = IPsec_wan
Type = Subnet / IP Range
Subnet / IP Range = 81.xxx.xxx.xxx/255.255.255.255 (WAN IP adresi)
Interface = port2(wan) ( WAN interfacenin bulunduğu port )



Lan Tarafı için

Address Name = IPsec_lan
Type = Subnet / IP Range
Subnet / IP Range = 192.168.3.0/255.255.255.0 (LAN IP adres bloğu)
Interface = port1(lan) ( LAN interfacenin bulunduğu port )



DHCP Server Tanımlaması:
DHCP tanımlamaları için; System > DHCP seçeneğine geliyoruz. FortiGate cihazımızın WAN tarafına DHCP server tanımlamak için WAN portu seçili iken “Add DHCP Server” seçeneğini seçmemiz gerekiyor.



Açılan bölüme aşağıdaki tanımlamaları yapıyoruz.

Name = IPsec_dhcp
Enable = İşaterli
Type = IPSEC
IP Range = 10.10.10.50 – 10.10.10.75  (istediğiniz başka bir aralık da tanımlanabilir.)
Network Mask = 255.255.255.0
Default Gateway = 10.2.22.1
Domain = beyaz.net
Lease Time = 1 day

Tanımlamarı yaptıktan sonra “OK” diyerek değişiklikleri onaylıyoruz.

 

Tanımlamalardan sonra aşağıdakine benzer bir ekran görmeliyiz. ( Ekran görüntüsü modele göre küçük farklılıklar gösterebilir. )

 

  Bu tanımlamalardan sonra kullanıcıları oluşturmaya başlayabiliriz.

User > Local bölümünden “Create New “ seçeneğine geliyoruz.

 

User Name = Kullanıcı adı
Password   = Kullanıcı şifresi
Bu bölümler doldurularak “OK” ile onaylanır.

Birden fazla kullanıcı oluşturmak için aynı adımları izleyebiliriz.



Bu oluşturduğumuz kullanıcıyı bir User Group’ a eklememiz gerekir.
Bunun için; User > User Group kısmından “Create New” seçeneğine geliyoruz.


 

Create New dedikten sonra aşağıdaki ayarları girerek, IPsec_user isimli kullanıcıyı gruba üye etmemiz gerekiyor.  Gereken tanımlamalardan sonra “OK” diyerek değişiklikleri onaylıyoruz.
Name = IPsec_group
Type = Firewall
Protection Profile = “vpn ile baglanılacak kullanıcı profili”



Kullanıcının gruba eklenmesinden sonra VPN ayarlarını yapmaya başlayabiliriz.
VPN > IPSEC kısmından Create Phase 1’ i seçiyoruz. Açılan pencerede aşağıdaki ayarları girerek “OK” diyoruz.
Name = IPsec_vpn_ph1
Remote Gateway = Dialup User
Local Interface = port2 ( WAN olarak tanımlı port )
Mode = Aggressive
Authentication Method = Preshared Key
Preshared Key = kullanılacak şifre
Peer Options
Accept this peer ID = IPsec.beyaz.net


Advanced kısmı için:
Local Gateway IP = Main Interface IP
P1 Proposal
1 - Encryption / Authentication = 3DES / MD5
2 - Encryption / Authentication = AES256 / MD5
DH Group = 2
Keylife = 28800 seconds
Local ID = [ blank ]
XAuth = Enable as Server
Server Type = AUTO
User Group = IPsec_usergroup ( tanımlamış olduğumuz user grubu )
Nat Traversal = İşaretli
Keepalive Frequency = 10 seconds
Dead Peer Detection = İşaretli


 


Tekrar VPN > IPSEC kısmından Create Phase 2’ yi seçiyoruz. Aşağıdaki değerleri girerek “OK” ile değişiklikleri onaylıyoruz. ( Şekil – 13 )

Name = IPsec_client_ph2
Phase 1 = IPsec_vpn_ph1
Advanced
P2 Proposal
1 - Encryption / Authentication = 3DES / MD5
2 - Encryption / Authentication = AES256 / MD5
Enable replay detection = İşaretli
Enable perfect forward secrecy = İşaretlenmemiş
Keylife = 3600 seconds
Autokey Keep Alive = İşaretlenmemiş
DHCP-IPsec = İşaretli
Quick Mode Selector
Source address = 0.0.0.0/0
Source port = 0
Destination address = 0.0.0.0/0
Destination port = 0
Destination protocol = 0



İşlemler sonrasında aşağıdaki ekranı görüyoruz.

 

En son olarak kullanıcıların erişimi için “Firewall Policy” leri tanımlamamız gerekiyor.

İlk olarak dışarıdaki kullanıcıların WAN tarafındaki DHCP server’a ulaşabilmeleri için gereken tanımlamaları yapıyoruz.

Enable Policy = İşaretli
Source
Interface / Zone = port2 – wan  ( external interface )
Address Name = IPsec_wan
Destination
Interface / Zone = port2 – wan  ( external interface )
Address Name = all
Schedule = always
Service = DHCP
Action = IPSEC
VPN Tunnel = Ipsec_vpn_ph1
Allow Inbound = İşaretli
Allow Outbound = İşaretli
Inbound NAT = İşaretsiz
Outbound NAT = İşaretsiz



İkinci tanımlama; dışarıdaki kullanıcıların, FortiGate tarafından korunan iç network’e ulaşmalarına izin verir.

Bu tanımlama aşağıdaki gibi olmalıdır. Bu değişiklikleri yaptıktan sonra “OK” diyerek onaylamamız gerekmektedir.
Enable Policy = İşaretli
Source
Interface / Zone = port1 – lan  ( internal interface )
Address Name = gateway_prvnet1
Destination
Interface / Zone = port2 – wan  ( external interface )
Address Name = all
Schedule = always
Service = ANY
Action = IPSEC
VPN Tunnel = Ipsec_vpn_ph1
Allow Inbound = İşaretli
Allow Outbound = İşaretli
Inbound NAT = İşaretsiz
Outbound NAT = İşaretsiz

 

 VPN Client Ayarlari

-Access Manager programı çalıştırılır.
-Add bölümünden yeni eklenir.

General

-VPN ile bağlanılacak fortigate wan ip seçilir.
-Auto configuration bölümünde ise dhcp over ipsec seçilir.

Authentication

-The Authentication Method  Mutual PSK + XAuth olmalı.
Local Identity
   -Fully Qualified Domain Name seçilir ve FQDN String bölümüne   "beyaz.net" girilir.
Credentials
   -Pre Shared Key kısmına fortigate’ e girdiğiniz şifre girilir.

Phase 1

-The Exchange Type ---- aggressive
-DH Exchange---group 2

olarak ayarlanır.

Policy

Bu alana ulaşmak için izin verdiğiniz network girilir yada default’ta kalabilir.


Mustafa Akyel