Ana Sayfa / Genel / UniFi USG VPN: Siteden Siteye VPN Nasıl Yapılandırılır

UniFi USG VPN: Siteden Siteye VPN Nasıl Yapılandırılır

admin 24 Nisan 2020 Genel, UniFi 3 Yorum 1,318 Görüntülenme

UniFi – USG VPN: Siteden Siteye VPN Nasıl Yapılandırılır?

 

Genel bakış

 

Bu makalede, UniFi USG VPN Güvenlik Ağ Geçidi’nde (USG) siteden siteye VPN’nin nasıl yapılandırılacağı açıklanmaktadır.

Giriş

Siteye VPN sitesi, arkasındaki iç ağların birbirine bağlanabileceği iki güvenlik duvarı arasında güvenli bir bağlantı kurar. UniFi kontrol panelinde bir siteden siteye VPN yapılandırılması  Ayarlar> Ağlar> Yeni Ağ Oluştur> Siteden Siteye VPN’de yapılabilir.

Kullanıcı İpuçları:
  • Auto IPsec VTI  , aynı UniFi kontrol cihazı içerisinde farklı bir sitede yönetilen başka bir USG ile siteden siteye VPN oluşturur.
  • Manuel IPsec  , harici olarak yönetilen bir USG, EdgeRouter veya IPsec’i destekleyen başka bir satıcının teklifine siteden siteye VPN tüneli oluşturur.
  • OpenVPN , manuel olarak IPsec’e benzer, çünkü harici olarak yönetilen bir aygıt için IPsec yerine OpenVPN kullanarak bir tünel oluşturur.

IPsec, performans nedenleriyle önerilir. OpenVPN boşaltılamaz ve yalnızca tek bir CPU iş parçacığında çalıştırılabilir.

Otomatik IP sec VTI,

DİKKAT:  Bu VPN tipi (Otomatik), bir ya da her iki USG de bir NAT yönlendiricisinin arkasındaysa çalışmayacaktır. Bu, her iki USG’nin de internet üzerinden yönlendirilmiş bir adrese sahip olması gerektiği anlamına gelir (RFC1918 dışı).

Ubnt UniFi’de Auto IPsec VTI konfigürasyonu, bir yöneticinin aynı denetleyiciye adapte edilmiş iki UniFi Güvenlik Ağ Geçidi arasında bir VPN oluşturmasına izin verir. UniFi gösterge panelinde bu VPN’i oluşturmak, aşağıdakileri otomatik olarak yapılandırır:

  • WAN arayüz adresi ile eşleşmesi için eş IP’yi tünelin her iki tarafına ayarlayın.
  • Her site için uzak ağları ekler.
  • VPN için kullanılacak her USG’de bir VTI arayüzü sağlar. Otomatik VPN VTI arayüzleri, vti0 ile başlar ve daha fazla otomatik VPN eklendikçe, vti1, vti2 vb.
  • WAN üzerindeki IP değişikliklerini dinamik olarak izler.
  • İki USG arasında güçlü, rastgele oluşturulmuş önceden paylaşılan bir anahtar sağlar.
NOT:  UniFi Controller sürüm 5.8’den itibaren yalnızca hub-and-konuştu topolojileri desteklenir. Kafes topolojisi henüz yapılandırılamaz.

Manuel IP sec

Etkin:  Yöneticinin, parametreleri silmeden VPN tünelini etkinleştirmesine veya devre dışı bırakmasına izin verir.

Uzak Alt Ağlar:  Bu bölüm VPN’in uzak tarafındaki ağlarla doldurulmalıdır. / 32 geçerli bir alt ağ maskesi değil.

Eş IP:  Uzak ağ geçidinin genel IP’si. Bu, yukarı akış ağ geçidi, UDP ve 500 ve 4500 bağlantı noktalarını UDP bağlantı noktası iletiyorsa, bir aşağı akış yönlendiricisinin önündeki bir ağ geçidinin genel IP’si olabilir.

Yerel WAN IP’si:  Bu VPN’in yapılandırıldığı siteye kabul edilen USG’nin IP’si. Bu USG, NAT’un arkasındaysa, WAN arayüzünde bulunan adresi yapılandırın. WAN arayüzünü bulmak için IP,  Cihazlar>  USG Özellikler Paneli> Ayrıntılar> WAN 1’e gidin . 

Önceden Paylaşılan Anahtar:  Her VPN bitiş noktasına giriş yapmak için güçlü bir paylaşılan anahtar oluşturun.

IPsec Profilleri: 

  • Özelleştirilmiş:  Bir yönetici tarafından tanımlanan parametreleri kullanır.
  • Azure Dinamik Yönlendirme:  VTI kullanarak bir Microsoft Azure örneğine bağlanmak için parametreleri kullanır.
  • Azure Statik Yönlendirme:  VTI’sız ilke tabanlı IPsec kullanarak Microsoft Azure örneğine bağlanmak için parametreler kullanır.

Manuel IP sec: Gelişmiş Seçenekler

GELİŞMİŞ:  Bu ayarların ağ bilgisine sahip ileri düzey kullanıcılar tarafından yapılandırılması amaçlanmıştır. IPsec sürecinin 1. ve 2. fazlarına uygulanırlar.

Anahtar Değişimi Sürümü: IKEv1 veya IKEv2’yi seçin.

Şifreleme: AES-128, AES-256 veya 3DES şifrelemesini seçin.

Hash: SHA1 veya MD5’i seçin

DH (Diffie-Hellman) Grup:  DH Grupları 2, 5, 14, 15, 16, 19, 20, 21, 25, 26 mevcuttur.

PFS (Mükemmel İletme Gizliliği):  Etkinleştir veya devre dışı bırak. PFS etkinleştirildiğinde, 2. aşama DH grubu, DH Grubu’nda seçilen aynı gruba  kodlanır .

Dinamik Yönlendirme:  Sanal tünel arayüzünün (VTI) kullanımını etkinleştirin veya devre dışı bırakın. Bu, VPN yapılandırmasının politika bazlı (kapalı) veya rota tabanlı (açık) olduğunu belirtir. (Not: manuel VPN VTI arayüzleri, vti64 ile başlar ve daha fazla manuel VPN eklendikçe, vti65, vti66, vb.)

 

NOT:  Daha büyük algoritmaların kullanımı daha güvenlidir, ancak bir CPU ek maliyetinin yükselmesiyle birlikte gelirler. Örneğin, AES-256, AES-128’den daha fazla CPU kaynağı kullanacaktır. AES-128 çoğu kullanım durumu için önerilen şifrelemedir.

Otomatik ve Dinamik Yönlendirme için Güvenlik Duvarı Kuralları Etkin IPsec VPN

Güvenlik duvarı kuralları, VPN, VPN üzerindeki tüm trafiğe izin verecek şekilde oluşturulduktan sonra otomatik olarak yapılandırılır.

Bu tür VPN’lerin trafiğini engelleyen güvenlik duvarı kuralları,  Ayarlar> Yönlendirme ve Güvenlik Duvarı> Güvenlik Duvarı> LAN_IN’da oluşturulmalıdır . Kaynak alanı, yapılandırmakta olduğunuz USG’den uzak ağı veya adresi belirtmeli ve hedef alanı, trafiğin engellenmesini istediğiniz yerel ağı veya adresi belirtmelidir.

Politika Tabanlı Manuel VPN için Güvenlik Duvarı Kuralları (Dinamik Yönlendirme Devre Dışı)

Politika tabanlı VPN ağları için güvenlik duvarı kuralları, WAN_LOCAL üzerindeki ESP protokolüyle birlikte 500 ve 4500 numaralı UDP bağlantı noktalarına izin verecek şekilde otomatik olarak yapılandırılır. Ek olarak, VPN ağı oluşturma işleminde “Uzak Alt Ağlar” altında tanımlanan ağlardan ve ağlardan gelen trafiğe izin vermek için kurallar da oluşturulur.

Çözüm, otomatik güvenlik duvarını devre dışı bırakmak ve daha sonra WAN_LOCAL üzerine uygun kuralları manuel olarak ekleyerek ve IPsec trafiğini NAT’dan hariç tutarak kaputun altındakileri barındırmaktır.

VTI olmayan bir VPN’de “gelen” IPsec trafiğini kontrol etmek için gerekenler şunlardır:

1. Ayarlar> Yönlendirme ve Güvenlik Duvarı’na  gidin

2. ESP’yi kabul etmek için bir WAN_LOCAL kuralı ekleyin

3. UDP500 / 4500 hedef portunu kabul etmek için bir WAN_LOCAL kuralı ekleyin

4. İzin vermek istediğiniz trafiğe uyan WAN_IN kuralları ekleyin (gelen IPsec paketlerinin eşleşmesiyle eşleşir) – gelen tüm trafik varsayılan olarak kural setinin altındaki varsayılan reddetmeyi tıklatarak engellenir (örtülü).
Örneğin, Yerel LAN’ınız 192.168.150.0/24 ise ve LAN’ınıza erişmesine izin vermek istediğiniz uzak alt ağ 192.168.250.0/24 ise, “kaynak” ve 192.168.150.0 olarak 192.168.250.0/24 ekleyeceksiniz. / 24 bu kural için “hedef” olarak.

5. Otomatik güvenlik duvarını devre dışı bırakın ve IPtables’ı yeniden yükleyin (yeniden başlatma)

6. Kaynak Ekleme NAT, VPN üzerinden geçirmek istediğiniz trafiğin kurallarını hariç tutun. Yerel LAN’ınız kaynak adresiniz olacaktır.

Örnek  – 192.168.150.0/24 ve uzak VPN alt ağı varış noktanız olacak – 192.168.250.0/24.

 

{ 
	"hizmet": { 
		"nat": { 
			"kural": { 
				"5500": { 
					"açıklama": "IPsec", 
					"hedef": { 
						"adres": "192.168.250.0/24" 
					}, 
					"hariç tut" : " ''", 
					"giden arayüzü", "eth0", 
					"protokol": "tüm", 
					"kaynak": { 
						"adres": "192.168.150.0/24" 
					} 
					"tipi": "maskeli" 
				} 
			} 
		} 
	}, 
	"vpn": { 
		"ipsec": { 
			"otomatik-güvenlik duvarı-nat-exclude ":" disable " 
		} 
	} 
}

NOTLAR: 

  • Bu örnek referans amaçlıdır. Uygulamayı uygularken adresleri ağlarınıza göre ayarladığınızdan emin olun.

  • Bu yapılandırma, denetleyicide config.gateway.json dosyasının kullanımını gerektirir. Daha  fazla bilgi için buradaki makalemize  bakın.

Open VPN

Etkin: Yöneticinin, parametreleri silmeden VPN tünelini etkinleştirmesine veya devre dışı bırakmasına izin verir.

Uzak Alt Ağlar: Bu bölüm VPN’in uzak tarafındaki ağlarla doldurulmalıdır. / 32, yazı sırasında geçerli bir alt ağ maskesi değil.

Uzak Ana Bilgisayar:  Uzak ağ geçidinin genel IP’si veya bir USG’nin önünde bir yukarı akış yönlendiricisinin genel IP’si.

Uzak Adres / Bağlantı Noktası: Önceden tanımlanmış ağlardan hiçbiriyle çakışmayan bir IP girin. Bu adres yalnızca uzak ağ geçidindeki OpenVPN tüneli bitiş noktası ile ilgilidir. Port girişi, uzak ağ geçidinin USG’ye bağlanmak için hangi UDP portunu kullandığını tanımlamak için kullanılır.

Yerel Adres / Bağlantı Noktası:  Önceden tanımlanmış ağlardan hiçbiriyle çakışmayan bir IP girin. Bu adres yalnızca yerel ağ geçidindeki (USG) OpenVPN tüneli bitiş noktası ile ilgilidir. Port girişi, USG’nin uzak ağ geçidine bağlanmak için hangi UDP portunu kullanacağını tanımlamak için kullanılır.

Paylaşılan Gizli Anahtar:  Bu anahtar, rastgele bir kullanıcı şifresi değildir. Oluşturulan bir 2048 bit anahtar olmalıdır. USG bunu aşağıdaki talimatlarla CLI’den yapabilir.

CLI:  Komut satırı arayüzüne (CLI) erişin. Bunu GUI’deki CLI düğmesini kullanarak veya PuTTY gibi bir program kullanarak yapabilirsiniz.

1. USG’de 2048 bitlik paylaşılan gizliliği oluşturun.

vpn oluşturmak openvpn-key / config / auth / secret
Kopyalamak için tıklayınız

2. Paylaşılan sırrı görüntüleyin ve çıktıyı bir metin dosyasına kopyalayın.

sudo cat / config / auth / secret 
# 
# 2048 bit OpenVPN statik anahtar 
# 
----- BEGIN OpenVPN Statik anahtar V1 ----- 
48fc8ac5b96655a08e041de6263a4e7b 
<çıkış kısaltılmış> 
----- END OpenVPN Statik anahtar V1 ---- -

3. Sadece BEGIN satırından sonra ve END satırından önce Pre-Shared Secret alanına karakterler ekleyin. Satır sonlarını ve boşlukları kaldırmak için çıktıyı bir metin düzenleyicisine yapıştırmanız gerekebilir.

NOT:  Bu VPN türünün, tünelin her bir tarafında uzak bağlantı noktasının iletişim kurmasına izin veren bir WAN_LOCAL güvenlik duvarı kuralına ihtiyacı olacaktır.

 

Hakkında admin

Bu habere de bakabilirisiniz

Ağ İletişimine Giriş – Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP)

Dinamik Ana Bilgisayar Yapılandırma Ağ İletişimine Giriş – Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) DHCP …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Powered by Kablosuz Dünya A.Ş. | Designed by Ubnt, Mimosa, Mikrotik, Engenius
<

© Copyright 2025, All Rights Reserved