Hızlı Erişim
Beyaz Bilgisayar Danışmanlık Hizmetleri Ltd. Şti.
VPN, çok sayıda alt ağ için nasıl yapılandırılmalıdır?

VPN, çok sayıda alt ağ için nasıl yapılandırılmalıdır? (23 Ekim 2009)

VPN, çok sayıda alt ağ için nasıl yapılandırılmalıdır? (SA başına bir alt ağ)
 

Açıklama Bir FortiGate birimiyle üçüncü parti tedarikçi ağ geçidi arasında site-to-site VPN’in birlikte çalışabilirliği
Bileşenler
  • FortiGate Antivirus Firewalls
  • 3rd party VPN gateway
Çözüm FortiGate birimi ve başka bir markanın VPN ağ geçidin arasında site-to-site VPN yapılandırılırken Phase 2 tünel başına sadece bir subnet konfigüre etmelisiniz. FortiGate çoklu subnetleri(“proxy IDs olarak da bilinir) tek bir phase 2 SA ile birleştirebileceği halde diğer markaların çoğu bunu desteklemez.

Ayrıca bazı markalar seçici/proxyID olarak bir IP adres aralığını desteklemezler. Firewall adresinizi adres aralığı olarak değil subnet olarak tanımladığınızdan emin olun.

Belirtiler

Sadece 1 subnet tünelden trafik gönderebilecektir.

3 parti VPN gateway’i "invalid/unsupported proxy ID" uyarısı verebilir.



Çözüm

FortiGate’in herbir müteakip subnet için ayrı bir SA kullanmasını sağlamak için:

Herbir subnet için ayrı bir Phase 2 tüneli tanımlayın.

İkinci encrypt firewall kuralında yeni Phase 2 tunnel’i işaretleyin.



Örneğin:

Subnet A & B --- FGT ---------------- VPN GW ----- Subnet C

Subnet A >> Subnet C ENCRYPT -- using Phase 2 tunnel #1

Subnet B >> Subnet C ENCRYPT -- using Phase 2 tunnel #2

Örnek

Fortigate ve Cisco PiX firewall arasında IPsec VPN

  • PiX ve/veya FortiGate ardında çeşitli altağlar (veya hostlar) barındırılır. (örneğin FortiGate ardında 10.0.0.1/32 ve 10.0.0.2/32 ve PiX ardında 192.168.1.0/24 ve 192.168.2.0/24).
  • Uzak altağlar (veya host’lar) FortiGate’de bir adres grubu olarak tanımlanır (192.168.1.0/24 ve 192.168.2.0/24).




PiX firewall erişim listesi kaydı başına bir SA (güvenlik birliği) oluştururken ve FortiGate birimi phase-2 başına bir SA oluştururken, FortiGate birimi PiX config’de her bir erişim listesi çizgisi için ayrı bir phase-2 girişine sahip olmalıdır.

access-list ipsec_vpn permit ip 192.168.1.0 255.255.255.0 host 10.0.0.1
access-list ipsec_vpn permit ip 192.168.2.0 255.255.255.0 host 10.0.0.2

Bu örnekte FortiGate iki Firewall kuralıyla konfigüre edilecektir. Herbiri özel bir Phase 2 kullanıyor ve her biri kendisine ait uzak mesafe ağlarını gösteriyor. Uzak ağla kombine edilmiş adres grubu kullanılmayacaktır.

 

Yazdir Yazdır Düzelt Hata Bildir Tavsiye Et Tavsiye Et Sayfayı Paylaş: FacebookDeliciousTechnoratiYahoo!My SpaceTwitterDiggGoogle BookmarksLink Edinmicrosoft favoritesTwShotStumbleupon Metin Boyutu Metinleri Büyüt Metinleri Küçült

Yazdir
Benzer Başlıklar :  

 


 


pordoc videolu egitim sistemi linux destek Cerevo


Beyaz Bilgisayar Danışmanlık Hizmetleri Ltd. Şti.
Burhaniye Mah. Doğu Karadeniz Cad. Selvili Evler No:26 / E (Villa 5)
Beylerbeyi / Üsküdar / İSTANBUL
T : (0216) 557 72 72    F : (0216) 422 22 90    beyaz@beyaz.net
Her hakkı saklıdır. Site içinde kullanılan tüm yazılar materyaller Beyaz Bilgisayar Ltd. Şti. aittir. İzinsiz kaynak gösterilmeden hiçbir doküman ve resim kullanılamaz. Yayınlanan yazıların izin alınmadan kopyalanması ve kullanılması 5846 sayılı Fikir ve Sanat Eserleri Yasasına göre suçtur.