RUT ve CISCO arasında IPSec VPN

İnternet Protokolü Güvenliği (IPsec), bir IPv4 ağı üzerinden gönderilen veri paketlerinin kimliğini doğrulayan ve şifreleyen IPv4’ün güvenli bir ağ protokolü paketidir. IPsec, oturumun başında aracılar arasında karşılıklı kimlik doğrulamanın kurulması ve oturum sırasında kullanılacak kriptografik anahtarların müzakeresi için protokoller içerir. IPsec, bir çift ana bilgisayar (ana bilgisayardan ana bilgisayara), bir çift güvenlik ağ geçidi (ağdan ağa) veya bir güvenlik ağ geçidi ile bir ana bilgisayar (ağdan ana bilgisayara) arasındaki veri akışlarını koruyabilir. İnternet Protokolü güvenliği (IPsec), İnternet Protokolü (IP) ağları üzerinden iletişimi korumak için kriptografik güvenlik hizmetlerini kullanır. IPsec, ağ düzeyinde eş kimlik doğrulamasını, veri kaynağı kimlik doğrulamasını, veri bütünlüğünü, veri gizliliğini (şifreleme) ve yeniden oynatma korumasını destekler.

Oluşturacağımız konfigürasyonun topolojisini aşağıda görebilirsiniz;

RUT Konfigürasyonu

1-Cihazın WebUI’sine bağlanın, Hizmetler > VPN > IPsec’e gidin. IPsec örneğiniz için bir ad girin, EKLE’ye tıklayın ve IPsec Yapılandırma alanında göründüğünde Düzenle’ye tıklayın.

2-Aşağıdaki yapılandırmayı cihaza uygulayın.

1. Örneği etkinleştirin.
2. Cihazınızın kendi IP’sini ayarlayın (IPsec tüneli için cihaz tanımlayıcısı).
3. Yerel IP adresini/Alt ağ maskesini yazın (IPsec örneğinin yapılandırıldığı yönlendiricinin bir IP adresi/Alt ağ maskesi).
4. Uzak VPN uç noktası ekleyin (Cisco DIŞ IP adresi).
5. Uzak cihazın lokal IP’si
6. Uzak IP adresini/Alt ağ maskesini yazın (Cisco cihazın LAN IP adresi/Alt ağ maskesi).
7. IPsec örneğini yapılandırmanın bir sonraki adımı Faz ayarlarıdır. Bu örnek için, varsayılan RUT Aşama 1 ve Aşama 2 ayarlarını bıraktık.

Konfigürasyonu tamamladığınızda, Kaydet düğmesine tıklayın ve ardından Ön paylaşımlı anahtarı yapılandırmanız gereken IPsec penceresine yönlendirileceksiniz.

• Ekle düğmesine basın.
• Önceden paylaşılan anahtarı yazın (eşler arasında kimlik doğrulama için kullanılan paylaşılan bir parola. Bu alanın değeri her iki durumda da eşleşmelidir).
• Secret’s ID Selector kısmına Uzaktaki Cisco Cihazın Lan IP’si eklenir.
• Kaydet’e basın.

CISCO Konfigürasyonu

Router’ın WebUI’sine bağlanın, VPN > IPsec Profilleri’ne gidin ve aşağıdaki yapılandırmayı uygulayın.

• Profil Adı ekleyin (istediğiniz herhangi bir şey).
• Anahtarlama Modunu (Otomatik) seçin.
• IKE sürümünü (IKEv1) seçin.
• DH Grubu’nu (Grup 5) seçin.
• Şifreleme’yi (3DES) seçin.
• Kimlik Doğrulamayı (SHA1) seçin.
• SA Ömrünü (28800) ayarlayın.
• Protokol Seçiminde (ESP) protokolü seçin.
• Şifreleme’yi (3DES) seçin.
• Doğrulama’yı (SHA1) seçin.
• SA Ömrünü (28800) ayarlayın.
• Mükemmel İletim Gizliliğini Etkinleştirin.
• Grup’u seçin: Grup (5).

IPsec Profilleri ile işiniz bittiğinde ayarları kaydedin, SitetoSite ayarlarına gidin ve aşağıdaki yapılandırmayı uygulayın:

• Etkinleştirin.
• IPsec Profili’ni (RUT) seçin.
• Arayüzü (internet kaynağınız) ayarlayın.
• 4.Uzak Uç Nokta (statik IP) öğesini seçin.
• RUT Genel IP yazın.
• 5.Önceden Paylaşılan Anahtar ekleyin (eşler arasında kimlik doğrulama için kullanılan paylaşılan bir parola. Bu alanın değeri her iki durumda da eşleşmelidir).
• Minimum Anahtar karmaşıklığını devre dışı bırakın.
• Yerel Tanımlayıcı Türü’nü (IP Adresi) seçin.
• Yerel Tanımlayıcı Yazın (Cisco LAN IP adresi).
• Yerel IP Tipi (Alt Ağ) öğesini seçin.
• IP Adresini Yazın (Cisco yerel ağı).
• Alt Ağ Maskesi (ağ maskesi) ekleyin.
• Uzak Tanımlayıcı Türü’nü (Uzak WAN IP) seçin.
• Uzak Tanımlayıcıyı Yaz (RUT LAN IP).
• Uzak IP Tipi (Alt Ağ) öğesini seçin.
• IP Adresi (RUT yerel ağı) ekleyin.
• Alt Ağ Maskesi (RUT yerel ağ maskesi) ekleyin.

Konfigürasyonu test etme;

Bir IPsec bağlantısını test etmek için RUT WebUI’de oturum açın ve Hizmetler → CLI’ye gidin. Kullanıcı adı ile giriş yapın: root ve yönlendiricinin yönetici şifresi. Oradan, karşı örneğin LAN IP adresine ping atabilmeniz gerekir. Bir ping komutu kullanmak için ping yazın ve klavyenizdeki “Enter” tuşuna basın;