Bu yazımızda iki FortiGate arasında yapılan site-to-site IPsec VPN’de subnetlerin çakışması durumunda yapılabilecek konfigürasyonları anlatıyoruz.
Aşağıdaki topolojide FortiGate’ler (HQ ve Branch) arasında yapılan IPsec VPN sayesinde iki ağda birbirine ulaşabilmektedir fakat FortiGate’lerin arkasındaki yerel ağlarda aynı IP blokları olduğundan dolayı (192.168.1.0/24) çakışmaktadır.
Çakışan iki yerel ağ arasındaki iletişim sağlanabilmesi için eşit boyutta yeni sanal alt ağlar yapılandırılmalıdır. Her cihaz için tekrar ve yeniden IP değiştirilmesine gerek yoktur. Cihazlar ve kullanıcılar, IPsec tüneli üzerinden iletişim kurmak için uzak ağın yeni alt ağ aralığını kullanmalıdır.
HQ (Merkez) FortiGate Konfigürasyonu
IPsec VPN’i yapılandıralım:
1. Menuden VPN > IPsec Wizard’a girip Custom seçeneğini seçelim.
2. İsmini ayarlayalım. Örnek: VPN-to-Branch
3. Branch’ın dış Public IP’sini, IP Address yazan kısıma girelim.
4. Pre-shared key için şifre ayarlayalım.
5. Phase 2 Selector kısmından yeni bir subnet oluşturalım ve Local Address (Örnekte: 10.1.1.0/24) ve Remote Address’i (Örnekte: 10.2.2.0/24) ayarlayalım.
6. İsterseniz Advanced kısmına tıklayarak Auto-negotiate’i açabilirsiniz.
Static Route Ayarları
1. Network > Static Route sekmesinden Create New diyerek yeni bir static route oluşturalım.
2. Destination alanına, Remote Address kısmına girdiğimiz subnet’i (10.2.2.0/24) yazalım.
3. Interface kısmında ise yeni oluşturduğumuz VPN-to-Branch tünelini ekleyelim.
4. Tamam’a tıklayalım.
5. Aynı Destination adresine sahip başka bir static route daha oluşturalım. Bu sefer Interface yerine “Blackhole” seçelim ve Administrative Distance’ını 200 olarak ayarlayalım. Bu Route tabanlı IPsec VPN tünelleri için en iyi ayardır. Eğer IPsec tüneli çökerse uzak FortiGate’İn alt ağı için trafiğin varsayılan rota kullanılarak gönderilmemesini sağlamaktadır.
Yeni Adresler Ekleyelim
1. Policy & Objects > Addresses sekmesinden yeni adres oluşturalım.
2. İsmine HQ-original verelim.
3. IP/Netmask kısmına ise FortiGate’imizin LAN subnetini yazalım. (Örnekte: 192.168.1.0/24)
4. Interface kısmında ise LAN interface’imizi seçelim.
5. Tamam’a basalım.
6. Yeni bir adres daha oluşturup bu sefer Branch-new adını verelim ve Branch için yeni LAN subnetimizi girelim. (Örnekte: 10.2.2.0/24) Interface’imizi de VPN-to-Branch yapalım.
IP Pool Konfigürasyonu
1. Policy & Objects sekmesinden IP Pools’a girip yeni bir tane oluşturalım.
2. İsmini HQ-new koyalım.
3. Type yazan kısımda ise Fixed Port Range seçeneğini seçelim.
4. External IP address/range kısmına yeni HQ subnet’imizi girelim. (Örnekte: 10.1.1.1 – 10.1.1.254)
5. Internal IP range kısmına ise orijinal HQ subnet’imizi girelim. (Örnekte: 192.168.1.1 – 192.168.1.254)
6. Tamam’a tıklayalım.
Virtual IP Kongigürasyonu
1. Policy & Objects sekmesinden Virtual IPs kısmına girip yeni bir Virtual IP oluşturalım.
2. Adına HQ-new-to-original yazalım.
3. Interface olarak VPN-to-Branch interface’imizi seçelim.
4. External IP address/range kısmına yeni HQ subnetimizi girelim. (Örnekte: 10.1.1.1 – 10.1.1.254)
5. Mapped IP adress kısmına orijinal HQ subnetimizi girelim. (Örnekte: 192.168.1.1 – 192.168.1.254)
6. Tamam’a tıklayalım.
Firewall Policy Konfigürasyonu (HQ’dan Branch’e Trafik için)
1. Policy & Objects kısmından Firewall Policy’e girelim.
2. İsmini From-HQ-to-Branch koyalım.
3. Gelen interface için LAN’ı seçelim.
4. Giden interface için ayarladığımız VPN’i seçelim. (VPN-to-Branch)
5. Source kısmına ise oluşturduğumuz HQ-Original adresini ekleyelim.
6. Destination kısmına oluşturduğumuz Branch-new adresini ekleyelim.
7. Service kısmını ALL yapalım.
8. NAT özelliğini aktif edelim.
9. IP Pool Configuration kısmında Use Dynamic IP Pool seçeneğini seçip yeni oluşturduğumuz HQ-new isimli IP Pool’u ekleyelim.
10. Tamam’a tıklayalım.
Firewall Policy Konfigürasyonu (Branch’den HQ’ya Trafik için)
1. Policy & Objects skmesinde Firewall Policy kısmına girelim. Yeni kural oluşturalım.
2. Adını From-Branch-to-HQ koyalım.
3. Gelen interface için oluşturduğumuz VPN’i seçelim. (VPN-to-Branch)
4. Giden intreface için LAN’ı seçelim.
5. Source kısmında Branch-new adıyla oluşturduğumuz adresi ekleyelim.
6. Destination kısmına HQ-new-to-original Virtual IP’sini ekleyelim.
7. Service kısmını ALL yapalım.
8. NAT’ı devre dışı bırakalım.
9. Tamam’a basalım.
Branch (Şube) FortiGate’in Konfigürasyonu
IPsec VPN Konfigürasyonu
1. VPN > IPsec Wizard’a girelim ve Custom seçeneğini seçelim.
2. İsmini VPN-to-HQ koyalım.
3. IP adres kısmına HQ FortiGate’in dış IP’sini girelim. Interface kısmına ise WAN interface’imizi seçelim.
4. Preshared key kısmına HQ FortiGate’de ayarladığımız şifreyi girelim.
5. Phase 2 selectors kısmından Local Address yazan yere subneti girelim. (Örnekte: 10.2.2.0/24) Remote Address kısmını da yazalım. (Örnekte: 10.1.1.0/24) Yani HQ’da oluşturduğumuz Phase subnetlerinin tersini yazalım.
6. İsterseniz Advanced kısmına tıklayarak Auto-negotiate’i açabilirsiniz.
7. Tamam’a tıklayalım.
Static Route Konfigürasyonu
1. Network > Static Routes kısmına girip yeni bir route oluşturalım.
2. Destination kısmına remote address subnetimizi girelim. (Örnekte: 10.1.1.0/24)
3. Interface olarak oluşturduğumuz VPN tünelini seçelim. (VPN-to-HQ)
4. Tamam’a tıklayalım.
5. Yeni bir Static Route oluşturalım ve aynı destination’ı yazalım. (10.1.1.0/24) Interface olarak Blackhole seçelim ve Administrative Distance’ı 200 olarak ayarlayalım.
Yeni Adresler Ekleyelim
1. Policy & Objects > Addresses kısmında yeni bir adres oluşturalım.
2. Adını Branch-original yapalım.
3. IP/Netmask yazan yere Branch FortiGate’imiz için orijinal LAN subnetimizi girelim. (192.168.1.0/24)
4. Interface olarak LAN’ı seçelim
5. Tamam’a tıklayalım.
6. Yeni bir adres daha oluşturup adını HQ-new koyalım subnet’ini (10.1.1.0/24) yazalım ve interface olarak VPN-to-HQ seçelim.
IP Pool Konfigürasyonu
1. Policy & Objects > IP Pools kısmına girerek yeni bir IP Pool oluşturalım.
2. İsmini Branch-new yazalım.
3. Type kısmında Fixed Port Range seçelim.
4. External IP Address/Range kısmına yeni Branch subnetimizi yazalım. (10.2.2.1 – 10.2.2.254)
5. Internal IP Range’e ise orijinal Branch subnetimizi yazalım. (192.168.1.1 – 192.168.1.254)
6. Tamam’a tıklayalım.
Firewall Policy Konfigürasyonu (Branch’den HQ’ya trafik)
1. Policy & Objects > Firewall Policy kısmına girelim ve yeni kural oluşturalım.
2. İsmine From-Branch-to-HQ yazabiliriz.
3. Gelen interface için LAN’ı seçelim.
4. Giden interface için oluşturduğumuz VPN’i seçelim. (VPN-to-HQ)
5. Source kısmında Branch-original adında oluşturduğumuz adresi seçelim.
6. Destination kısmında HQ-new isminde oluşturduğumuz adresi seçelim.
7. Service kısmından ALL seçelim.
8. NAT’ı etkinleştirelim.
9. Use Dynamic Pool seçeneğini seçip Branch-new ismini verdiğimiz IP Pool’u ekleyelim.
10. Tamam’a tıklayalım.
Firewall Policy Konfigürasyonu (HQ’dan Branch’e Trafik)
1. Yeni kural oluşturalım ve adını From-HQ-to-Branch koyalım.
2. Gelen interface için yeni oluşturduğumuz VPN tünelini seçelim. (VPN-to-HQ)
3. Giden interface için LAN’ı seçelim.
4. Service kısmını ALL yapalım.
5. NAT’ı devre dışı bırakalım.
6. Tamam’a tıklayalım.