Hillstone SSL-VPN Yapılandırması

hillstone

Hillstone SSL-VPN Yapılandırması (Base)

Bu makalede, Hillstone Firewall’da SSL VPN yapılandırmasını anlatacağım.

Her Firewall’da farklı yapılandırma vardır. Hillstone bu işi kolaylaştıran Firewall’ar arasındadır. Makalenin sonunda sizde bunu farketmiş olacaksınız diye düşünüyorum.

İlk olarak Network sekmesine gelelim ve sol menüden VPN -> SSL VPN bölümünü açalım.

New butonuna bastığımızda Wizard penceresi açılacaktır.

SSLVPN ismini belirledikten sonra, AAA Server seçimini yapacağız. Burada biz şimdilik local seçeceğiz. Ancak eğer Active Directory, Radius gibi bir sunucu entegrasyonu yapılırsa onları da seçebiliyor olacağız. Mevcutta ben herhangi bir entegrasyon yapmadığım için Hillstone’un Local kullanıcılarını kullanacağım.

AAA Server seçimini yaptıktan sonra sağ alt kısımdaki Add butonu ile eklme işlemini yapacağız. Eğer Radius ya da Active Directory entegrasyonu yapılmış olsaydı yine seçimi yaptıktan sonra add diyerek eklemiş olacaktık.

Next butonu ile ya da Sol bölümdeki interface bölümüne geçerek devam ediyoruz.

Interface bölümünde Eggress Interface1 için wan hattımızı seçiyoruz. Eğer iki wan hattımız var ise Eggress Interface2 ile de onu seçebiliriz. Her firewall’da olduğu gibi sslvpn için bir port belirlemek gerek ve yine her firewall’da olduğu gibi default’ta Hillstone’un default portu var, bu da 4433 olarak belirlenmiş. Bu sizin tercihinize kalmıştır, isterseniz değiştirebilirsiniz.

Tunnel Interface bölümünde ise açılır menüyü açtığımızda tunnel1 görünmekte. Tunnel1 Site to Site VPN için kullandığımız tünel interface’idir. SSLVPN için yeni bir tünel interface oluşturacağız bu nedenle New butonuna basıyoruz. Yeni bir pencere açılacaktır.

IPSec VPN’den farklı olarak IP Configuration yapacağız. Burada ip girmemizin nedeni bu tünel interface’i sslvpn için gateway pozisyonunda olacak. OK butonu ile tünel işlemi bitmiş olacak.

Interface penceresine geri dönmüş olacağız.

Şimdi sırada Address Pool eklemek var Bu işlem için ise new butonu ile yeni bir pool oluşturacağız. Bağlanacak olan kişiler bu pool üzerinden ip alacak.

yukarıdaki örneği baz alarak size ayarlamanızı yapabilirsiniz. OK dedikten sonra Inteface’in son hali aşağıdaki gibi olacaktır.

Sol menülerden Tunnel Route menüsüne geçelim ya da next butonuna basalım.

Yukarıdaki ayarları olduğu gibi bırakıyorum.

Şimdi bağlantı kuracak kullanıcıyı oluşturacağız. Bu işlem için Object -> User bölümüne geçiyoruz.


New butonu ile yeni kullanıcı oluşturacağız.

Kullanıcı ismini belirleyerek ve parolasını belirleyerek ok butonuna basıyoruz. Sonrasında web browser’a wan ip adresimizi yazarak erişebiliriz. Örnek: https://ipaddress:4433

Karşımıza yukarıdaki gibi ekran gelecektir. Login olduğumuzda ssl client indirebiliriz. Şuan için sadece Windows Makineler için client bulunmakta.

Download butonu ile client indirilebilir.

SSLClient yükleriz ve SSLVPN için oluşan kısayolu açarız.

Yukarıdaki gibi ayarlarımız gireriz. Port numarası Hillstone üzerinde belirlediğimiz port olmalıdır. Kullanıcı adı ve parolamızı girdiğimizde connect olduğuna dair uyarı gelecektir.

Şimdi Firewall’a ping atmayı deneyelim.

Ping başarılı. Ancak route ayarımızda bütün trafik fw üzerine gönderdiğimiz için sslvpn ile bağlanan bilgisayar internete çıkamıyor olacaktır.

Bunu iki şekilde çözeriz ya SSLVPN route bölümünde sadece local networke route yazacağız, ya da FW üzerinde sslvpn trafiği içinde kurallar oluşturacağız. Ben SSLVPN trafiği için Firewall üzerinde kurallar yazmayı tercih ediyorum. Çünkü client makinenin internet çıkış ip adresinin firewall wan ip adresi olmasını istiyorum.

Bu işlemler için ilk olarak Policy -> Security Policy -> New ile yeni bir policy oluşturacağım.

İşlemimiz burada bitmiyor. Şimdi sırada SNAT policy oluşturmamızda sıra.

Bu işlem için Policy -> NAT -> SNAT -> New botunu ile yeni SNAT oluşturacağız.

Şimdi testlerimizi yapalım. Öncelikle internete ping atabiliyor muyuz bakalım?

Ping atabiliyoruz ancak henüz halen dns çözümleyemiyoruz. Bu işlem için oluşturduğumuz Address pool üzerine DNS girmemiz gerekecek. DNS girişini yapabilmemiz için Network -> VPN -> SSLVPN -> Address Pool açılır.

Sonrasında Address pool’ların bulunacağı pencere açılacaktır.

Address pool seçilerek edit edilir.

DNS adresleri eklendikten sonra SSLVPN bağlantınızı koparın ve tekrardan bağlantı kurun böylece, artık internete çıkış yapabiliyor olacaksınız.

Şimdide internete çıkış ip adresimizi wimi.com üzerinden bakalım. Benim testim sonucunda ip adresimin Firewall wan ip adresi olduğunu ve tüm trafiği merkeze route ettiğini gördüm.

1,036 total views, 4 views today

About Author

Mustafa Akçin
admin@mustafaakcin.com

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir