tarafından

Vyatta Router ile Site-to-Site VPN Kurulumu

Vyatta Core, yani ücretsiz olan router versiyonu, IPSEC ve OPENVPN yardımı ile site-to-site vpn çözümüne destek vermektedir. Firmanız büyüdü ve farklı bir lokasyonda sizden şube bilgi sistem altyapınızı hazırlamanızı istediler. Fakat her zamanki gibi, en ekonomik hatta mümkünse ücretsiz bir çözüm olması şarttı.Vyatta, böyle bir isteğe cevap verebilecek ve toplamda sadece 41 komut (21+20) ile bu işlemi halledebilecek bir ürün olarak karşımıza çıkmaktadır.

Senaryomuz şekildeki gibi olsun ve daha önce sitede yayınlanan iki bölümlük makale refarans alınarak vyatta routerların kurulmuş olduğunu varsayalım.

vyatta-site-to-site-VPN-konfigurasyn (1)

Main Site ve Remote Site, Router IP konfigurasyonu aşağıdaki gibi yapılmalıdır.

Main Site :

set system host-name “MainSite”

set interfaces ethernet eth0 address 192.168.1.1/24

set interfaces ethernet eth0 description “Main-Internal”

set interfaces ethernet eth1 address 192.168.17.1/28

set interfaces ethernet eth1 description “Main-External”

set system gateway-address 192.168.17.1

set nat source rule 1 outbound-interface eth1

set nat source rule 1 source address 192.168.1.1/24

set nat source rule 1 translation address masquerade

commit

save

Remote Site :

set system host-name “RemoteSite”

set interfaces ethernet eth0 address 192.168.3.1/24

set interfaces ethernet eth0 description “Remote-Internal”

set interfaces ethernet eth1 address 192.168.28.1/28

set interfaces ethernet eth1 description “Remote-External”

set system gateway-address 192.168.28.1

set nat source rule 1 outbound-interface eth1

set nat source rule 1 source address 192.168.3.1/24

set nat source rule 1 translation address masquerade

commit

save

vyatta-site-to-site-VPN-konfigurasyn (2)

Bu işlemden sonra her iki router bir birlerinin dış interfacelerine (eth1) ping atabilmelidir.

vyatta-site-to-site-VPN-konfigurasyn (3)

Her iki router da aşağıdaki komutlar yardımı ile SSH servisini açıyoruz ve root kullanıcısa erişim yetkisi tanımlıyoruz.

set service ssh

set service ssh allow-root

set system login user root authentication plaintext-password Password1234

commit

vyatta-site-to-site-VPN-konfigurasyn (4)

Routerların, bir birlerine erişiminin de kullanılacak olan anahtarı üretiyoruz. Bu işlemi sadece MainSite da yapıyoruz.

generate openvpn key /etc/openvpn/key.psk

NOT: Anahtarın oluşturulmuş olduğu klasör upgrade işlemleri sırasında korunmaktadır. Bu işlemler öncesi anahtarın yedeği alınmalı yada farklı bir klasörde anahtar saklanmalıdır.

vyatta-site-to-site-VPN-konfigurasyn (5)

Oluşturulan anahtar WinSCP yada farklı yöntemler ile Remote-Site’a taşınmalıdır. Ben yazımda kolay olması sebebiyle WinSCP programını kullandım ve route kullanıcısı ile her iki routerda oturum açarak taşıma işlemini başlattım.

vyatta-site-to-site-VPN-konfigurasyn (6)

vyatta-site-to-site-VPN-konfigurasyn (7)

Sırasıyla routerlar da aşağıdaki komutları çalıştırıyoruz.

Main Site :

set interfaces openvpn vtun0 mode site-to-site

set interfaces openvpn vtun0 local-address 172.16.1.1

set interfaces openvpn vtun0 remote-address 172.16.1.2

set interfaces openvpn vtun0 remote-host 192.168.28.1

set interfaces openvpn vtun0 shared-secret-key-file /etc/openvpn/key.psk

commit

save

Remote Site :

set interfaces openvpn vtun0 mode site-to-site

set interfaces openvpn vtun0 local-address 172.16.1.2

set interfaces openvpn vtun0 remote-address 172.16.1.1

set interfaces openvpn vtun0 remote-host 192.168.17.1

set interfaces openvpn vtun0 shared-secret-key-file /etc/openvpn/key.psk

commit

save

vyatta-site-to-site-VPN-konfigurasyn (8)

Tüneli oluşturduktan sonra her iki routerda networkleri tanıtan static route komutu giriyoruz.

Main Site :

set protocols static route 192.168.3.0/24 next-hop 172.16.1.2

Remote Site :

set protocols static route 192.168.1.0/24 next-hop 172.16.1.1

Bu komutlar sonrası her routera bağlı olan LAN networkleri birbirleriyle sorunsuz haberleşebilecektir.

vyatta-site-to-site-VPN-konfigurasyn (10)

vyatta-site-to-site-VPN-konfigurasyn (11)

Tunelin ayakta olduğunu ve bağlantı durumunu görmek için tail -f /var/log/messages”  komutu kullanılabilir.  Vyatta önünde herhangi bir modem, firewall gibi cihazlar var ie 1194 portu vyatta dış interface ‘ine yönlendirilmelidir.

vyatta-site-to-site-VPN-konfigurasyn (12)

İki routerda yapılan komutların topluca hali aşağıdadır.

Main Site :

set system host-name “MainSite”

set interfaces ethernet eth0 address 192.168.1.1/24

set interfaces ethernet eth0 description “Main-Internal”

set interfaces ethernet eth1 address 192.168.17.1/28

set interfaces ethernet eth1 description “Main-External”

set system gateway-address 192.168.17.1

set nat source rule 1 outbound-interface eth1

set nat source rule 1 source address 192.168.1.1/24

set nat source rule 1 translation address masquerade

set service ssh

set service ssh allow-root

set system login user root authentication plaintext-password Password1234

generate openvpn key /etc/openvpn/key.psk

set interfaces openvpn vtun0 mode site-to-site

set interfaces openvpn vtun0 local-address 172.16.1.1

set interfaces openvpn vtun0 remote-address 172.16.1.2

set interfaces openvpn vtun0 remote-host 192.168.28.1

set interfaces openvpn vtun0 shared-secret-key-file /etc/openvpn/key.psk

set protocols static route 192.168.3.0/24 next-hop 172.16.1.2

commit

save

Remote Site :

set system host-name “RemoteSite”

set interfaces ethernet eth0 address 192.168.3.1/24

set interfaces ethernet eth0 description “Remote-Internal”

set interfaces ethernet eth1 address 192.168.28.1/28

set interfaces ethernet eth1 description “Remote-External”

set system gateway-address 192.168.28.1

set nat source rule 1 outbound-interface eth1

set nat source rule 1 source address 192.168.3.1/24

set nat source rule 1 translation address masquerade

set service ssh

set service ssh allow-root

set system login user root authentication plaintext-password Password1234

set interfaces openvpn vtun0 mode site-to-site

set interfaces openvpn vtun0 local-address 172.16.1.2

set interfaces openvpn vtun0 remote-address 172.16.1.1

set interfaces openvpn vtun0 remote-host 192.168.17.1

set interfaces openvpn vtun0 shared-secret-key-file /etc/openvpn/key.psk

set protocols static route 192.168.1.0/24 next-hop 172.16.1.1

commit

save

Ersin CAN
Kaynak : http://get-itlabs.com/?p=118&preview=true

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s