SSL-VPN yapmak

[Murat]

Yazıdaki ayarlar SecurePlatform R65’de yapılmıştır.

Ssl-vpn ayarında dikkat edilmesi gereken konulardan biri, varsayılan (default) ayarlarla kurulumu yapılan checkpoint’te web config ve (istenirse) smart portal 443 nolu port’ta çalışmaktadır.

Yazıda kullanılan 10.10.50.0/24 ip grubu rastgele seçilmiştir sizin ağ(larda)’ınızda farklı olabilir.
Yazıda kullanılan 89.89.89.0/24 ip grubu rastgele seçilmiştir sizin ağ(larda)’ınızda mutlaka farklı olacaktır.
Yazıda kullanılan 172.16.10.0/24 ip grubu CheckPoint’te varsayılan olarak tanımlı bir gruptur, varsayılan olarak tanımlı değilse yazıda tanımlamalar anlatılmıştır.

Not: Şuan için R65 ssl-vpn modülü "x64", "ia64", "mac os 10.4 ve üzeri" işletim sistemlerini desteklemez.



Yapının haritası bu şekildedir.
Not: İsimler ve ip adresleri sizin kullandığınız yapı ile değişkenlik gösterecektir.



443 nolu portu boşaltmak için console ekranında “expert”e geçip daha sonra “webui disable” komutunu girmek gerekir. Eğer web config veya smartportal’ı farklı bir port’ta çalıştırıyorsanız bu işlemi yapmanıza gerek yok.



Daha sonra ssl-vpn ile bağlanacak kullanıcılara verilecek vpn tüneli ip adreslerini ayarlayalım.
“echo mah,addr 172.16.10.1,deneme >> /opt/CPsuite-R65/fw1/conf/ipassignment.conf”



Yaptığımız komut doğru oldu mu bakalım.
“cat /opt/CPsuite-R65/fw1/conf/ipassignment.conf”
Örnekte; Ssl-vpn ile bağlanan “deneme” kullanıcısına “172.16.10.1” ip adresinin “mah” alt ağ geçidinde verilmesini sağladık.
Bundan sonraki ayarlar SmartDashboard’dan yapılacaktır.
Not: Aşağıdaki ayarların tümünü console’dan yapmak mümkündür fakat zor görüneceğinden gui kullanmak daha doğru olacaktır diye düşündüm.



İlk olarak “deneme” adında ki kullanıcımızı yaratalım.



Kullanıcımızın adı.



Kimlik tipi ve şifresi. Eğer farklı bir kimliklendirme tipi kullanıyorsanız bu yazıya dahil değildir.



Kullanıcı grubu yaratıyoruz.



Yarattığımız yeni gruba kullanıcımızı ekliyoruz “in group”. “add” – “ok”



Kullanıcı tanımlarında son durum bu.



“Networks” sağ tık “new network”.



Lokal genel ayarlarımızı yapalım.
Not: Bu “network” ayarı CheckPoint kurulumlarında otomatik olarak yaratılmaktadır. Bu yazıda ne olur ne olmaz diyerek tekrar üstünden geçiyoruz, eğer buna benzer network ayarınız varsa tekrar yaratmanıza gerek yok. “Netwoks” altında otomatik yaratılan ve/veya daha önceden yaratılmış network ayarlarını mutlaka kontrol edin, çakışma veya hata oluşmasın.



Lokal NAT ayarlarımızı yapalım.



Tekrar “networks” sağ tık “new network”.
Ssl-vpn ağ ayarlarımızı yapalım. NAT ayarları varsayılan (default) olarak kalsın.
Not: Bu “network” ayarı CheckPoint kurulumlarında otomatik olarak yaratılmaktadır. Bu yazıda ne olur ne olmaz diyerek tekrar üstünden geçiyoruz, eğer buna benzer network ayarınız varsa tekrar yaratmanıza gerek yok. “Netwoks” altında otomatik yaratılan ve/veya daha önceden yaratılmış network ayarlarını mutlaka kontrol edin, çakışma veya hata oluşmasın.



Ağ “Networks” tanımlarında son durum bu.
Not: Sizinkinde ilave network grupları olabilir.



CheckPoint objesini ayarlıyoruz.



VPN seçeneğini seçiyoruz, seçimle beraber soldaki menüye “remote access” menüsü otomatik olarak eklenecektir.



VPN ayarında “add” – “remoteaccess“ – “ok” seçiyoruz.



“Add” – “certificate nickname, defaultCert” yazıyoruz daha sonra “generate” tıklıyoruz. Çıkan uyarı mesajında “yes” seçiyoruz.



ssl-vpn’de kullanacağımız sertifika yaratıldı.



“Topology” ayarında “manually defined” – “lokal” seçiyoruz.



“remote access” menüsünde “support visitor mode” açılıp varsayılan ayarlarda bırakılacak.



“office mode” ayarını “offer Office mode to group” ayarından ssl-vpn için yarattığımız (veya daha önce CheckPoint tarafından otomatik olarak yaratılmış olan) ağ’ı seçiyoruz.



“ssl clients” – “ssl network extender” – “the gateway authenticates with this certificate, defaultCert”.



“remote access” – “edit” ayarını değiştiriyoruz.



“all users” seçip “remove” tıklayarak kaldırıyoruz.



“add” tıklayıp açılan pencereden “sslvpngrup1” seçiyoruz.



“remote access” son durumu.



Güvenlik kuralımızı ekleyelim. “security” sekmesinde yeni kural ekliyoruz, “source” sağ tık “add user access…” seçiyoruz.



Açılan pencereden “sslvpngrup1” seçiyoruz.



“destination” sağ tık “add” ufak pencereden “lokal” seçiyoruz.



“vpn” sağ tık “edit cell” ufak pencereden “only connections encrypted in specific vpn communities” – “add” – “remote access” – “ok” seçiyoruz.



Tekrar “ok” seçerek pencereyi kapatıyoruz.



“action” sağ tık “accept”, bir sebepten ssl-vpn’imiz çalışmazsa görebilelim diye “track” sağ tık “log” seçiyoruz.



Yaptığımız ayarları etkinleştirmesi için firewall’a gönderiyoruz.



Yaptığımız ayarlar etkinleştirilmeden (install) önce doğrulukları kontrol ediliyor.



Doğrulukları kontrol edilen ayarlarımız etkinleştiriliyor (install).



“close” seçerek pencereyi kapatıyoruz. Artık SmartDashBoard’dan çıkabiliriz.



Internet üzerinden bağlantı yaptığımız için, CheckPoint’in dış ip adresini (https://89.89.89.89) giriyoruz.
Sertifika uyarısına “evet” diyoruz.



IE varsayılan ayarlarında “açılır pencereler” engelleyicisi (popup blocker) açıktır, CheckPoint bunu otomatik olarak kontrol eder ve çalışmasını engelleyici bir durum olduğunda uyarı verir. “tamam”



CheckPoint’in adresini “Açılır pencereler” engelleyicisine ekliyoruz böylece bir daha bloklamayacak. Bu işlemi bir defaya mahsus olarak yapacağız.
“Bu siteden açılır pencerelere her zaman izin ver…”



İzin işleminin onay penceresi. “evet”



Yukarıdaki ve aşağıdaki işlemleri bir kereye mahsus olarak yapıyoruz.
Bu menü her bağlantı isteğimizde karşımıza çıkacaktır, kullanıcı adı ve şifre.



Bir defaya mahsus olarak CheckPoint, ssl network extender yazılımını ActiveX denetimlerini kullanarak bilgisayarınıza yükler. “ActiveX denetimini yükle…”



Ssl network extender yazılımı bir defaya mahsus yüklenecek. “yükle”



Ssl network extender yazılımı bir defaya mahsus olarak yüklenmekte.



Bağlanılan CheckPoint ssl-vpn servisinin kullanacağı sertifikanın onayı.
Birden fazla CheckPoint ssl-vpn servisine bağlanıyorsanız ilk bağlantınızda bu pencereyi göreceksiniz.
Daha sonraki bağlantılarda sertifika(lar) geçerliliğini yitirene kadar bu pencere(ler) görünmeyecektir.



Yukarıdaki sertifika penceresi bir kereye mahsus onaylandıktan sonra ssl-vpn bağlantısı otomatik olarak kurulmaktadır. Bağlantı kuruldu ve görüldüğü gibi 172’li ağ’dan bu bilgisayara bir ip adresi verildi.



Bu bilgisayar artık bizim 10’lu ağ’ımıza ulaşabilmekte.
Bundan sonra her bağlantı isteğinde https://89.89.89.89 adresine girip kullanıcı adını ve şifresini girmesi yeterli olacaktır.

[powerfull]

Toshıba G900 CEP BİLGİSAYARINDA da CheckPoint SSL Network Extenderı çalıştırılabilirmi?

[Murat]

Toshıba G900 CEP BİLGİSAYARINDA da CheckPoint SSL Network Extenderı çalıştırılabilirmi?

Kullandığınız Toshiba G900 pockect pc telefonu Windows Mobile 6 kullanmakta bu bakımdan eğer SecureMobile yazılımını kullanırsanız cevap evet.
SecureMobile, windows mobile 2003 ve üzeri işletim sistemlerinde çalışmakta.
Detaylı bilgi için tıklayın.


Tabi bu durumda CheckPoint objesinin özelliklerine girip secureclient mobile ayarını açmanız gerekmekte.

[yilmazbarcin]

merhaba,
benzer şekilde SSL VPN yapmak istedim fakat başarısız oldum. Dışarıdan https://xxx.xxx.xxx.xxx girilemiyor. fakat checkpoint'in vpn client yazılımı ile bağlantı kurulabiliyor. Ordaki sorunda vpn connection'a verdiği IP adresi içerde kullanılan bir IP adresi. Sanırım firewall'in ozelliklerinden Remote Access altında Office Mode altından bu sorun giderilebilir, fakat içerdeki DHCP sunucumu gösterdiğimde de bu sefer hic ip adresi almıyor..

Bu iki sorunu nasıl giderebilirim ?

Not: CheckPoint NGX R65 124 VPN-1 Power. web gui portunu 4433 olarak degistirdim ve https://192.168.2.1:4433/ olarak sorunsuz çalışıyor...

[Murat]

merhaba,
benzer şekilde SSL VPN yapmak istedim fakat başarısız oldum. Dışarıdan https://xxx.xxx.xxx.xxx girilemiyor. fakat checkpoint'in vpn client yazılımı ile bağlantı kurulabiliyor. Ordaki sorunda vpn connection'a verdiği IP adresi içerde kullanılan bir IP adresi. Sanırım firewall'in ozelliklerinden Remote Access altında Office Mode altından bu sorun giderilebilir, fakat içerdeki DHCP sunucumu gösterdiğimde de bu sefer hic ip adresi almıyor..

Bu iki sorunu nasıl giderebilirim ?

Not: CheckPoint NGX R65 124 VPN-1 Power. web gui portunu 4433 olarak degistirdim ve https://192.168.2.1:4433/ olarak sorunsuz çalışıyor...

Anladığım kadarıyla 1. sorunun;
https://xxx.xxx.xxx.xxx olarak girebilmek için checkpoint'in web config servisini kapatmak veya portunu değiştirmek gerekli. Dışarıdan girmeye çalıştığında web config servisinin ekranı veya checkpoint'le ilgili bir hata mesajı geliyorsa (access denied gibi) bu durumda rule tanımlarından bir göz atmakta fayda var.

2. sorunu anladık (sanırız).
VPN için iç networkten ip grubu yaratıp assign edilmesi mümkündür. Bunun en basit yolu, ön tanımlı olarak gelen dashboardda network kısmında görebileceğiniz "office mode" ip networkünün kullanılmasıdır.

Bunun için dhcp server özelliğinin aktif edilmesi gerekmemektedir.
İhtiyaca bağlı olarak isterseniz bu networkü değiştirmeniz mümkündür.

Hatta yetkilendirilen kullanıcıya özel ip atamasıda yapılabilir, yukardaki yazıda bu gösterilmiştir.

[Murat.Ozcan]

Murat Bey,
VPN seçeneği seçtiğim zaman "Remote Access" kısmı geliyor ancak burada "Office Mode ve Clientless VPN" seçenekleri geliyor. 3 ncü seçenek olan "Ssl client" gelmiyor.
Fikriniz var mı?

[Murat]

Murat Bey,
VPN seçeneği seçtiğim zaman "Remote Access" kısmı geliyor ancak burada "Office Mode ve Clientless VPN" seçenekleri geliyor. 3 ncü seçenek olan "Ssl client" gelmiyor.
Fikriniz var mı?

Murat bey ssl-vpn lisansınız olmayabilir?
Araştırayım.

[Murat.Ozcan]

Murat Bey,

Öğrenmek için 15 günlük deneme süresi kullanıyorum, bütün uygulamaları 15 gün kullanabileceğim diye biliyordum

[Murat]

Murat Bey,

Öğrenmek için 15 günlük deneme süresi kullanıyorum, bütün uygulamaları 15 gün kullanabileceğim diye biliyordum

Hotfix'leri (hfa) kurmanı önermekteyim. En son hfa sürümü 3.

[shadow]

1. dogru. 15 gunluk eval tum fonskiyonlarin kullanilmasini mumkun kilar.
2. HFA 4 cikti
3. gui nizin versiyonu nedir acaba... help about ta gozuken bilgiyi paylasabilir misiniz.

tsk