Bu yazımda sizlere Mikrotik ile Fortigate arasında IPSec VPN kurulumunu anlatmaya çalışacağım. Mikrotik tarafında çok uygun ve doğru çözümler olabilecek ürünler olabiliyor. Bazen Merkez dışında şubeler için uygun fiyatlı cihazlar gerekebiliyor bu sebeple bu cihazlardan birtaneside fiyat ve performans açısından Mikrotik Router Serisi… Bir senaryo belirleyelim;
Merkez tarafındaki cihaz Fortigate Firewall olsun, Şube tarafındaki cihazımızda Mikrotik Routerboard olacak. Ip bilgileri de aşağıdaki gibi olsun;
Fortigate Local Ip Adres Bloğu : 192.168.1.0/24
Mikrotik Local Ip Adres Bloğu : 192.168.2.0/24
Öncelikle Mikrotik cihazımızı ayarlayalım. Mikrotik cihazlara bağlanabilmek için kendi sitesinde bulunan winbox yazılımını indiriyorum ve cihazın ip adresini yazıp bağlanıyorum. Cihazın yazılımını aşağıdaki linkten indirebilirsiniz.
Mikrotik cihazımızın arayüzünde bulunan IP sekmesine girip oradan IPsec bölümünü açalım.
Ardından sırasıyla önce proposal, Peers, Profile, kimlik bilgisi için İdentities sonra da policylerimizi yapılandıracağız.
- Proposal
Burada Mikrotik cihazımızın şifreleme methodunu seçeceğiz. Ayrıca modp1536 makalesine görede bu cihazın Fortigate ile haberleşmesini sağlayacağız. Resimde görüldüğü üzere Aut Algoritması SHA1 Encry Algoritması 3DES olacak. FPS group ise modp1536 olacak şekilde ayarlamayı yapıyoruz.
- Peers
Bir sonraki sekmede ise Peer bölümüne girip Remote cihazın yani fortigate in dış ip adresini yazıyoruz, sonra local address kısmına ise Mikrotik dış ip adresini yazıyoruz. Ardından OK butonuna basıp Identities sekmesine geçiyoruz.
- Identities
Bu bölümde Fortigate ile Mikrotik cihazlarımızın haberleşebilmesi için karşılıklı şifre belirlememiz gerekiyor her iki tarafada aynı belirlediğimiz şifreyi gireceğiz.
- Profile
Mikrotik cihazın ip sec default profilini düzeltmemiz ve fortigate cihazına göre ayarlamamız gerekiyor. Isteğe bağlı olarak yeni bir profil de ekleyebilirsiniz. Hash Algoritması SHA1, Encryp Aloritması 3DES ve DH group modp 1536 olarak seçip ok butonuna basıyoruz.
- Policies
Bu bölümde yeni bir policy ekleyip source ve destination adreslerimi belirtiyorum. Ardından Tunnel kutusunu onaylayıp ok butonuna basıyorum. Bu ayarlardan sonra IPsec ayarlarım tamamlanıyor ancak firewall tarafında policy yazıp VPN trafiğini düzenlememiz gerekiyor.
VPN trafiğini ayarlamak için önce Menünde Firewall tarafına giriş yapıyorum ardından NAT sekmesine girip yeni bir kural oluşturuyorum. Bu kuralda yine source ve destination adreslerimi belirtip action kısmında da accept seçip ok butona basıyorum.
Bu alanda dikkat edilmesi gereken nokta şu oluşturduğumuz bu kuralı masquarede kuralının üzerine taşımamız gerekiyor aksi halde VPN çalışacak fakat trafik tek yönlü ilerleyecektir veya Mikrotik Network yapılandırmasına göre hiç trafik oluşmayacaktır.
Merkez tarafı yani Fortigate tarafında ise ayarlarımız aşağıdaki şekilde olacaktır;
Öncelikle Policy & Objecy kısmından addreslerimizi tanımlayıp sonra VPN ayarlatımızı yapacağız.
Ben Şube ip adresi ve Local İp adres olarak belirttim.
VPN kurulumu için VPN menüsüne gelip IPsec wizard a geliyoruz ve burada custom olarak ayar yapıyoruz.
Ardından Mikrotik dış ip adresi yani remote ip adresimizi yazıyoruz.
Sonra Mikrotik İdentities tarafına yazdığımız şifreyi burayada yazıyoruz.
Fortigate şifreleme method olarak Mikrotik tarafında olduğu gibi burada da encryption 3DES, Authentication SHA1 olarak seçiyoruz.
Daha sonra address kısmında oluşturduğumuz ip adreslerini burada tanımlıyoruz. Local ve Remote ip adreslerini belirtiyoruz.
Şifreleme method olarak Phase 2 Proposal tarafında 3DES ve SHA1 I seçiyoruz ve Auto Negotiate seçip ok butonuna basıp kaydediyoruz.
Daha sonra static route yazmamız gerekiyor yeni bir static route ekleyip remote local adres bloğunu VPN tunnel den geçiriyoruz.
Son olarak trafiği düzenlemek için kurallarımızı aşağıdaki şekilde yazıyoruz. Önce Merkezden şube tarafına sonrada subeden Merkez tarafına gelecek şekilde kural oluşturup kaydediyoruz.
Fortigate Monitor kısmından IPsec Monitor e girip Bring Up butonuna basmanız yeterli olacaktır Bağlantı otomatik olarak kurulacak.
Başka bir yazımızda görüşmek üzere…
Merhabalar anlatımınız için teşekkür ederim ben bağlantıyı sağladım fakat 2 lan arasında ping atamıyorum. sanki görüntüde vpn var ama bağlantı sağlanmıyor. bu konuda yardımcı olabilirmisiniz.
dhcp server dc sunucum
Merhaba Ahmet Bey, Mikrotik tarafında firewall menüsüne girip 2 Farklı LAN arasında geçişlere izin verdiniz mi? Ayrıca Aynı işlemi Fortigate tarafında da yapmanız gerekli… Eğer bunları yaptıysanız Fortigate tarafındaki statik route kontrol edin.