Bu Cisco PIX cihazı kendi CLI’si kullanılarak konfigüre.
Cisco PIX Phase 1’i konfigüre etmek için aşağıdaki komutları girin:
isakmp enable outside
isakmp key ******* address xx.xx.205.173 netmask 255.255.255.255
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash sha
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
Cisco PIX Phase 2’i konfigüre etmek için aşağıdaki komutları girin:
crypto ipsec transform-set fortinet esp-3des esp-sha-hmac
crypto map test 10 ipsec-isakmp
crypto map test 10 match address BGLR
crypto map test 10 set peer xx.xx.205.173
crypto map test 10 set transform-set fortinet
cryto map test interface outside
crypto map test 10 set security-association lifetime seconds 86400
Ek Cisco PIX Kuralları
Erişim kontrol listesini (access control list – ACL) istenen VPN trafiğine ayarlayın ve NAT’a
geçin:
access-list BGLR permit ip 192.192.192.0 255.255.255.0 10.1.4.0 255.255.255.0
nat (inside) 0 access-list BGLR
sysopt connection permit-ipsec
VPN’i test etme:
VPN’i uzak ağdan adresleri ping’leyerek test edebilirsiniz. Ayrıca VPN çalışmasını
onaylamak için aşağıdaki komutları kullanabilirsiniz:
diag vpn tunnel list On the FortiGate unit, lists operating VPN tunnels
show crypto isakmp sa On the Cisco PIX appliance, shows the Phase 1 security associations
show crypto ipsec sa On the Cisco PIX appliance, shows the Phase 2 security associations
Sorun Giderme
FortiGate debug komutları
11
diag debug enable
diag debug appli ike 2
Phase 1 ve phase 2 görüşmelerini görüntüleyin
Cisco PIX debug komutları
debug crypto isakmp IKE olayları hakkındaki mesajları görüntüler.
debug crypto ipsec IPSec olayları hakkındaki bilgiyi görüntülenir.
IPSec firewall policy, FortiGate birimi ardındaki ağdaki hostlar ve Cisco cihazı ardındaki
hostlar arasında her iki yönde iletişime izin verir.
Web tabanlı yönetici kullanarak konfigüre etmek için
Firewall > Policy’ e gidin ve Create New’u seçin
Source Interface/Zone :Yerel ağa bağlı arabiirm: internal.
Source Address :Yerel ağın firewall adresi: LocalLAN.
Destination Interface/Zone :Uzak ağa bağlayan arabirim: WAN1.
Destination Address :Uzak ağın firewall adresi: Site2_net.
Schedule :always
Service :ANY
Action :IPSEC
VPN Tunnel :Storix FG-PIX
Allow inbound :Enable
Allow outbound :Enable
Inbound NAT 
isable
Outbound NAT isable
Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.
config firewall policy
edit 1
set srcintf internal
set dstintf wan1
set srcaddr LocalLAN
set dstaddr Site2_net
set action ipsec
set inbound enable
set outbound enable
10
set natinbound disable
set natoutbound disable
set schedule always
set service ANY
set vpntunnel Storix FG-PIX
end
VPN’in her iki ucundaki özel ağlar için firewall adresleri oluşturun.
Web tabanlı yönetici kullanarak konfigüre etmek için:
9
Firewall > Address’e gidin ve Create New’u seçin.
Aşağıdakileri girin:
Address Name :Adres için bir isim Örneğin:FortiGate biriminin ardındaki aü için
“LocalLAN” Cisco cihazının ardındaki ağ içn “Site2_Net”
Type : Subnet / İP Range
Subnet / IP Range : Ağ Adresi ve subnet mask.Örneğin,
LocalLAN İçin “10.1.4.0 255.255.255.0″ girin.
Site2_net için “192.192.192.0 255.255.255.0 girin
CLI ile:
Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.
config firewall address
edit “LocalLAN”
set subnet 10.1.4.0 255.255.255.0
next
edit “Site2_net”
set subnet 192.192.192.0 255.255.255.0
end
Bileşenler
FortiOS v3.0 firmware tabanlı FortiGate birimi, MR5 Patch 2 veya daha ilerisi IOS versiyon
6.3(1) veya 6.3(3) tabanlı Cisco PIX
Ağ Diyagramı
Önkoşullar
FortiGate birimi NAT modunda olmalıdır.
VPN Phase 1’i Konfigüre Etme
Web-tabanlı yönetici ile konfigüre etmek için:
VPN > IPSec > Auto-Key’e gidin ve Phase 1’i seçin. Aşağıdakileri girin:
Name :VPN adı.Örneğin , Storix FG-PIX
Remote Gateway :Static IP Address
IP Address : Cisco Cihazının genel IP adresi.Örnek.203.200.216.194
Local Interface : uzak VPN’e Bağlanan arabirim: WAN1
Mode : Main (default)
Authentication Method: Preshared Key
Pre-Shared Key : Cisco Cihazında konfigüre edilen preshared key.
Advanced’i seçin ve aşağıdakileri girin:
Enable IPSec Interface Mode : Disable
P1 Proposal : 1- Encryption 3DES, Authentication SHA1 Defult proposal 2’yi Silin.
Dh Group : 2
Keylife : 86400 Defult
Nat- traversal : Disable
Dead Peer Detection : Dİsable
Ok’i Seç.
CLI Kullanarak konfigüre Etmek için .
Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.
config vpn ipsec phase1
edit “Storix FG-PIX”
set interface wan1
8
set dpd disable
set dhgrp 2
set proposal 3des-sha1
set keylife 86400
set remote-gw 203.200.216.194
set psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
end
VPN Phase 2’yi Konfigüre Etme
IPSec VPN phase 2’yi konfigüre ettiğinizde source selector’u FortiGate biriminin arkasındaki
özel ağa ve destination selector’u Cisco cihazının ardındaki özel ağa kurarsınız.
1. VPN > IPSec > Auto-Key’e gidin ve Phase 2’yi seçin.
Name : VPN Phase 2 konfigürasyonu için bir İşim Örneğin ,Tunnel Storix FG-PIX
Phase 1 : Phase 1 Konfigürasyon Adı: Storix FG-PIX
Advanced’i seçin ve aşağıdakileri girin:
P2 Proposal :1-Encryption 3DES,Authentication SHA1 Deleted Proposal 2.
Enable replay detection isable
Enable perfect forward secrecy isable
DH Group :5
Keylife :86400 seconds
Autokey Keep Alive :Enable
Source Addreess :10.1.4.0/24
Destination Address :192.192.192.0/24
CLI İle :
Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.
config vpn ipsec phase2
edit Tunnel Storix FG-PIX
set dhgrp 5
set keepalive enable
set phase1name GW-FG-PIX
set proposal 3des-sha1
set pfs disable
set replay disable
set keylife-type seconds
set keylifeseconds 86400
set src-addr-type subnet
set src-subnet 10.1.4.0 255.255.255.0
set dst-addr-type subnet
set dst-subnet 192.192.192.0 255.255.255.0
end
Konfigürasyonun güncel kopyasi TFTP sunucuda saklanabilir. copy running-config tftp
komutu kullanilarak kayit islemi gerçeklestirilir. Asagidaki adimlarda TFTP sunucuya nasil
kayit yapilacagi gösterilmektedir.
Adim 1 copy running-config tftp komutu girilir.
Adim 2 Hosta konfigürasyon dosyasinin kayit edilecegi yerin ip adresi
girilir.
Adim 3 Konfigürasyon dosyasina bir isim verilir.
Adim 4 Her seferinde seçileri evet ile onayla
Bir ag sunucusuna ruoter in o anki kullandigi ayarlar kayit edilebilir. Bunu yapmak için
asagidaki adimlar gerçeklestirilir
1. Konfigürasyon moddayken copy tftp running-config komutu girilir.
2. Sistem konsolunda ag konfigürasyon dosyasi yada host seçilir. Dosya , agdaki terminal
sunuculara ve tüm routerlara komutlarla eklenir. Sistem konsolunda dosyanin yüklenecegi
yerin ip adresi girilir. Örnek verecek olursak 123.456.7.890 adresindeki TFTP sunucudan
router ayarlanir
3. sistem konsolunda dosyaya ya bir isim girilir yada varsayilan isim uygulanir.Varsayilan
dosya ismi genelde ag konfigürasyonu için host ismi-config veya network-config tir. DOS
ortaminda , dosya isimleri sekiz karakter isim ve üç karakter dosya uzantisi ile sinirlidirlar.
Örnegin router.cfg. dosya ve TFTP sunucu adresleri sitem kaynaklarinda mevcuttur.
Router ayarlari routerda yazilar kopyalanarak diske kayit edilebilir. Daha sonra bir harddiske
yada cd ye kayit yapilabilir. Eger dosyanin routera geri kopyalanmasi ihtiyaç hissedilirse
terminal emülatör programinin edit kismina kopyala yapistir yöntemi ile roture yüklenir.
Agin nasil davranacagi, network araçlarinda konfigürasyonda belirlenir. Araç
konfigürasyonunda gerçeklestirilen yönetim asagidaki özellikleri kapsamaktadir.
* Çalisan araçlarda konfigürasyon dosyalarinin listelenmesi ve karsilastirilmasi
* Ag sunucularindaki konfigürasyon dosyalarinin kayit edilmesi
* Program yüklemelerinin ayarlanmasi ve güncellenmesi
Konfigürasyon dosyalari problem gerçeklestigi zaman yedek dosyalardan yüklenebilir
olmalidirlar. Ag sunucularinda , TFTP sunucuda yada güvenli disk ortaminda saklanabilirler.
Dokümantasyon
Adreslere isim atarken ilk olarak global konfigürasyon moduna girilir. ip host komutu ile
hedeflenen isim ve bu isimlerin ip adresleri girilir. Bu haritalarda arayüz ip adreslerin her
birinin isimleri bulunur. Sunucuya ulasirken telnet yada ping konutlari router in ismi yada ip
adresi kullanilarak girilir.
Asagida bir sunucu tablosunun hazirlanma adimlari görülmektedir.
1. Routerda global konfigürasyon moduna girilir.
2. ip host “router ismi yada ip adresi” her bir routerda arayüz ile girilir.
3. agdaki routerlarin hepsi girilerek devam edilir.
4. NVRAM e konfigürasyon kayit edilir.
Bir bilgisayar sisteminde sunucu ismi ile ip adresleri verilirken sunucu isim çözümlemesi
gerçeklestirilir.
Diger IP ve ag araçlari ile baglantilarda sunucu isimleri kullanilir. Router lar ip adresleri ile
sunucu isimlerini iliskilendirebilmelidirler. Sunucu isimlerini listelerler ve onlari ip adresleri
ile iliskilendirerek sunucu tablosuna kayit ederler.
Asagidaki örnekte ip adresleri ve bunlarla iliskilendirilen host isimlerinin nasil yapilacagi
gösterilmektedir.
İngilizce // The Following is an example of the configuration of a host table on a router:
Turkce // Ardından bir yönlendiriciyi bir host tablosunun yapılandırmanın bir örneği
Router(config)#ip host Kocaeli 123.45.67.8
Router(config)#ip host İstanbul 234.567.8.9
Router(config)#ip host bursa 345.678.9.10
Router(config)#ip host izmir 45.678.9.10
Ag organizasyonlarinda tüm araçlara sunucu tablosu yerlestirilebilir. Her bir tekil ip adresi
kullanici ismi ile iliskilendirilir. Cisco IOS programinda komutlarda kullanabilmek için
sunucu isimlerini ve adreslerini haritalarini önbellekte korur. Isimleri adreslere çevirirken bu
önbellekte hizlica yapar.
Sunucu isimleri , DNS isimlerinden farkli olarak sadece konfigürasyon edilmis routerlarda
belirtilirler. Sunucu tablosu ag yöneticilerine izin verilmistir. Sunucuya uzaktan baglanirken
yada Telnet e sunucunun ismi yada ip adresinden birisi yazilarak ag yöneticisinin ag tablosuna
erismesine izin verilmistir
Tüm terminal baglantilarinda günün mesaji görüntülenebilir
Günün mesajini ayarlamak için global ayarlar moduna girilmelidir. Burada “ banner motd
“komutu kullanilir. Daha sonra # isareti basta ve sonda olmak üzere araya mesaj yazilir.
Asagidaki adimlarda günün mesajinin nasil görüntülenecegi ve nasil yapilacagi
gösterilmektedir.
1. Global ayar moduna , configure terminal komutu kullanilarak girilir.
2. banner motd # Günün mesaji yazilir # komutu ile günün mesaji girilmis olur.
3. Degisiklikleri kaydetmek için copy running-config startup-config komutu girilir
Tüm ag kullanicilarinin mesajlari görebilmeleri için giris mesaj bölümü görüntülenir.Giris
mesajlari herhangi birisi tarafindan görülebilir. Buyüzden giris mesajlari dikkatli
seçilir.Kisiye özel mesajlar degildirler. Routera herhangi birisi için karsilama olarak “ hos
geldiniz ” mesaji girilmesi muhtemelen uygun degildir.
Açilis mesaji , yetkisi olmayan kisilerin sisteme girmeye çalismamali için uyari nitelikli mesaj
olmalidir. “ Bu güvenli bir sistemdir sadece yetkililer girebilir “ gibi bir mesaj istenmeyen
ziyaretçilere yada geçersiz kullanicilara sunulabilir.