Vyatta Router ile L2TP/IPsec kullanarak Remote Access VPN Kurulumu

Vyatta Router ile L2TP/IPsec kullanarak Remote Access VPN Kurulumu

Bir önceki yazımızda, Vyatta Router Site-to-Site Vpn çözümüyle  iki farklı lokasyonu birbirleriyle haberleştirdik. Remote Access Vpn çözümüylede, ofisten uzak çalışan kullanıcılarımıza şirket kaynaklarını güvenli bir şekilde kullandırtabiliriz.

Yazımız için örnek senaryomuz aşağıdadır.

1. Routerımıza gerekli ip tanımlamalarını ve lokal ağımız için NAT konfigurasyonunu aşağıdaki komutlar yardımı ile yapıyoruz.

set system host-name "RemoteSite"
set interfaces ethernet eth0 address 192.168.3.1/24
set interfaces ethernet eth0 description "Remote-Internal"
set interfaces ethernet eth1 address 192.168.28.1/28
set interfaces ethernet eth1 description "Remote-External"
set system gateway-address 192.168.28.1
set nat source rule 1 outbound-interface eth1
set nat source rule 1 source address 192.168.3.1/24
set nat source rule 1 translation address masquerade
commit
save

 

2. Routerımız dış dünyaya bakan interface ‘ini (eth1) vpn trafiğini kabul etmesi için sırasıyla aşağıdaki komutları girelim.

set vpn ipsec ipsec-interfaces interface eth1
set vpn ipsec nat-traversal enable
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
commit
save

NOT: Eğer uzak kullanıcılarımız sabit IP adreslerine sahip ise 0.0.0.0/0 yerine sabit IP network adresi girilerek güvenlik arttırılabilir.
3. L2TP için gerekli IP tanımlamasını ve uzak kullanıcılarımız için IP aralığını aşağıdaki komutlar ile gerçekleştiriyoruz.

set vpn l2tp remote-access outside-address 192.168.28.1
set vpn l2tp remote-access client-ip-pool start 192.168.3.25
set vpn l2tp remote-access client-ip-pool stop 192.168.3.75

 

4.IPSEC için gerekli olan preshared anahtarını ve kullanıcı bilgilerini aşağıdaki komutlar ile tanımlıyoruz.

 set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
 set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret KIMSEDUYMASIN
 set vpn l2tp remote-access authentication mode local
 set vpn l2tp remote-access authentication local-users username ersincan password Password1234
 

NOT: Eğer istenilirse kimlik doğrulama için radius sunucuda seçilebilir.

Routerımız remote access vpn için hazır. Şimdi kullanıcılarımızın bilgisayarlarında aşağıdaki işlemleri sırasıyla yapıyoruz.

5. Denetim masasında bulunan Ağ ve Paylaşım menüsüne girilir ve yeni bir bağlantı oluşturulur.

 

6. Connect to Workplace seçeneği ile devam edilir.

 

7. Internet ile VPN seçeneği seçilerek devam edilir.

 

8. Routerımızın IP adresi ve bağlantı adını yazıyoruz. Henüz kullanıcı adı ve şifre bilgilerini girmediğimiz için “Don’t Connect” seçeneğini seçiyoruz.

 

9. Dördüncü adımda oluşturduğumuz kullanıcı adı ve şifremizi giriyoruz.

 

10. Pencereyi kapatarak VPN bağlantımızı oluşturuyoruz.

 

11. Oluşturulan VPN bağlantısı özelliklerine giriyoruz.

12. Güvenlik penceresinden VPN tip L2TP/IPSEC seçilir ve Advenced Settings ayarlarından dördüncü adımda oluşturduğumuz preshared key girilir.

 

13. Kullanıcılarımız artık VPN bağlantısını kullanabilirler fakat internet erişimleri dahil bütün trafik artık bu bağlantı üzerinden gidecektir. Bunu önlemek için Network penceresinden Ipv4 ayarlarından default gateway ayarını devredışı bırakıyoruz.

14. Artık oluşturduğumuz bağlantıyı kullanabiliriz.

15. Kullanıcının IP yapılandırılmasına baktığımızda, üçüncü adımda belirlediğimiz havuzdan IP adresi aldığını görüyoruz.

Kullanıcımız iç network aralığından IP aldığı için artık yerel network kaynaklarına rahatlıkla erişim sağlayabilecektir.