Bu yazımızda cyberoam firewallarda ipsec routa yazma konusunu ele alacağız. İki veya daha fazla şubemizi birbiriyle haberleştirirken ipsec tünel oluşturup, kural yazmamız yeterli, cyberoam cihazlarda herhangi bir route yazmamıza gerek yok. Ancak Firewall cihazımızın uçtaki bir server veya client’a erişmesi gereken durumlar oluyor. Örneğin merkezdeki log sunucuya şubedeki cyberoam’un loglarını göndermek isteyebiliriz veya merkezdeki DHCP sunucusunu kullanarak clientlarına ip dağıtmasını isteyebiliriz. Ancak bu durumda iki tane sorun karşımıza çıkıyor. Birincisi firewall source ip olarak iç bacak ip’si değil de dış bacak ip’ sine natlanarak gidiyor. Halbuki ipsec tünelde lokal iplere izin veriyoruz. Bu yüzden paket drop oluyor. İkinci olarak paketi tünelden göndermek yerine wan portundan dış dünyaya gönderiyor. Örnek topolojide 172.16.1.2 ipli cyberoam’ dan merkezdeki 192.168.111.0/24 li bloğa log göndermek isteyelim. Bu senaryoda ipsec tünel oluşturulmuş, kurallar yazılmış, iki şube arası clientların haberleştiklerini varsayıyoruz.
Öncelikle cyberoam’ a ssh ile aşağıdaki gibi bağlanıyoruz.
Gelen ekranda 4′ basarak console ekranına geçiyoruz.
Merkezdeki log server ip’miz 192.168.111.100 olsun. Aşağıdaki komutla, log servera log gönderirken ipmizi firewall’ ın iç bacağına nat’lamış olduk. Dilersek ip’den sonra netmask komutu girip, network olarak da nat’lama yapabiliriz.
Şimdi sıra log trafiğini ipsec tünele yönlendirme işine geldi. Aşağıdaki komutla, log servera giderken ipsec tüneli kullan diyoruz. Yine network yazacaksak eğer host yerine net yazarak networkümüzü ekleyebiliriz. Bu şekilde şubeden merkeze loglarımızı başarılı bir şekilde gönderebiliriz.
Eğer yazdığımız komutları silmek istersek, yukarıdaki komutta ‘add’ yerine ‘del’ yazarak silebiliriz.
Referans:
http://www.cyberoam.org/wp-content/uploads/2015/10/Network-Diagram.png
- Fortigate ADSL Hatlar için Trafik Yönlendirme - 18 Mayıs 2019
- Cyberoam İpsec Route Yazma - 23 Nisan 2019
Yorum yapan ilk sen ol.