Strongswan Ve Fortigate Route Based Vpn

içerik

Route Based Vpn,  IKEv2 ile birlikte gelmişti, Policy based VPN’in aksine adı üzerinde olduğu gibi rota bazlıdır ve kompleks datacenter networklerinde özellikle aktif routing kullanılıyor ise (ospf, bgp vs.) Network’un otomatik converge edebilmesi için ayrıca dizayn edilmiştir.

Temel prensibi proxy-id parametresini ortadan kaldırması ve karşılıklı kontrol gereğini azaltmasıdır. Hubn’spoke, backhaul, konfiglerinde, vxlan, nvgre gibi transfer metodların da konfig rahatlığı sebebi ile faydalı bir metoddur.

Fortigate ünitelerinde Interface mode olarak anılan bu konfig modeli başka ürünler de desteklenmeyebilir. Bu sebeple açık kaynak kodlu ürünler kullanarak vpn tünellerinizi sonlandırmak isteyebilirsiniz.

Biz bu projede Ubuntu 14.04 üzerinde StrognSwan kullanarak çözüm ürettik. Bir kere alışıldığında oldukça kolay olan bu metodu aşağıda genişçe anlatacağız.

Aşağıda da okuyabileceğiniz konfig dosyasında “left” lokalimizi “right” ise remote tarafı ifade etmektedir. Storngswan, Openswan, libreswan gibi forkları ile aynı parametreleri kullanarak çalışmaz, örnek olarak aşağıda da görebileceğiniz rightsubnet = 11.11.0.0/24, 11.12.0.0/24 parametresi OpenSwan da rightsubnets = 11.11.0.0/24 11.12.0.0/24 şeklinde ifade edilir.

3des-md5-modp1024 ifadesinde modp1024 Diffie-Hellman grubunu ifade eder strongswan wikisinde bu parametrenin matrisini bulabilirsiniz.

xxxSwan derivatiflerinde ipsec.secrets dosyası PSK kayıtlarımızı tutar ve kayıt metodu ‘ ip_adresi_Veya_id : PSK “şifreniz” ‘ şeklinde olmalıdır. örnek olarak

12.12.12.12 : PSK “buşifrehiçgüvenlideği” gibi.

root@OS:/home/mesut# cat /etc/ipsec.conf
# ipsec.conf – strongSwan IPsec configuration file
config setup
#        charonstart=yes
#        plutostart=yes

conn DC_OS
authby=psk
auto=start
esp=3des-md5!
ike=3des-md5-modp1024!
ikelifetime=86400
keyexchange=ikev2
left=KENDI_IP_ADRESINIZ
right=KARŞI_IP_ADRESI
leftsubnet=11.11.0.0/24,11.12.0.0/24,11.13.0.0/24,11.14.0.0/24,11.15.0.0/24,11.16.0.0/24,11.17.0.0/24,11.18.0.0/24
rightsubnet=10.0.0.0/24,10.20.40.128/25,10.30.30.0/24,10.0.10.0/24,10.0.20.0/24,10.0.30.0/24,10.0.31.0/24,10.0.50.0/24,10.0.100.0/24,10.1.10.0/24,10.1.20.0/24,10.1.50.0/24,10.1.200.0/24,10.2.10.0/24,10.2.20.0/24,10.2.50.0/24,10.2.80.0/24,10.0.33.0/24,172.16.22.0/24

Yukarıdaki konfig dosyasına göre

Fortigate tarafında

konfigürasyon ise aşağıdaki gibidir.

 

Strongswan için forti ayarları2016-07-21 21_19_34-FortiGate - FG200D46158048922016-07-21 21_19_22-FortiGate - FG200D4615804892