Merhaba arkadaşlar. Makale serimizin ikinci bölümünde, Cisco Routerlar üzerinde, uzak kullanıcıların VPN Client gibi bir yazılımla internet üzerinden merkeze bağlanmasını sağlamak üzere Cisco Easy VPN Server (Remote Access VPN) kurulumu hakkında bilgiler vermeye çalışacağız. Birinci bölümde zaten VPN Server ve çalışma şekli hakkında detaylı bilgiler vermiştim. Dolayısıyla bu bölümde ağırlıklı olarak konfigürasyon üzerinde duracağım.
Öncelikle basit bir topolojimiz olacak. 88.249.168.141 ip adresine sahip bir Router ile internet erişimine sahibiz. Bu Router üzerinde yapacağımız konfigürasyon ile Internet üzerinden uzak kullanıcılarımızın VPN ile merkeze bağlanmasını sağlayacağız. Konfigürasyon sırasında Cisco SDM’i kullanacağız. Daha önce yayınlanan bölümde de belirttiğimiz gibi adı Easy olmasına rağmen konfigürasyonu gerçekten zor olan bir uygulamadır. Fakat Cisco SDM kullanıldığında bu zorluğun çok yüksek bir ölçüde ortadan kalktığını söyleyebiliriz.

Öncelikle FastEthernet ip adresi 10.254.1.1 olan Roterımıza Cisco SDM ile bağlanıyoruz.

SDM ana menüsünde Router hakkında bilgiler alabiliyoruz. Ben ekran görüntüdünün bir kısmını buraya aldım ve burada gördüğümüz kadarıyla bu Router üzerinde IP konfigürasyonu dışında IPS ve Firewall konfigürasyonlar yapılmış durumda. Bu ekran görüntüsünü aldığımız Home kısmının yanında sıklıkla kullanacağımız Configure ve yaptığımız konfigürasyonları izleyebileceğimiz Monitor tablarıda mevcut.
Menü üzerinden Configure’ü seçip devam edeceğiz. Bundan sonra sol tarafta açılan menüden VPN’i seçtiğimizde hemen yanında açılacak pencerede yapabileceğimiz alternatif VPN bağlantılarını içeren bir menü ile karşılaşacağız. Öncelikle Easy VPN Remote kısmına dikkatinizi çekmek isterim. Buradan anlayacağımız gibi Cisco Easy VPN Server konfigürasyonu yapılmış bir Router’a başka bir Router’ı bu menüden faydalanıp Client konfigürasyonu yaparak bağlayabiliriz. Buradan Easy VPN Server’ı seçtiğimizde ise karşımıza böyle bir VPN bağlantısında bize yardımcı olacak sihirbazın ilk sayfası çıkıyor olacak. Bu sayfada daha sonra istersek tanımlanmış bir VPN ile ilgili değişiklikleri de, Edit Easy VPN Server tabını kullanarak yapabiliyor olacağız. Burada dikkat ederseniz ön hazırlık olarak AAA’ nın enable edilmesi gerektiği şeklinde bir not ile de karşılaşıyoruz.

Launch Easy VPN Server Wizard’a tıkladığımda ilk çıkacak sayfa yapacağımız işlemler hakkında bizlere bazı bilgiler veriyor olacak.

Yapılacak işlemleri şu şekilde özetleyebiliriz:
1. VPN bağnatısının yapılacağı interface’in belirlenmesi
2. IKE Policy konfigürasyonu
3. IPSec Transform Set konfigürasyonu
4. Grup Policy ve Authentication için kullanılacak veritabanının belirlenmesi. Burada Radius Server ve local veritabanı şeklinde iki farklı seçeneğimiz olacak.
5. Kullanıcıların kimlik doğrulaması için hangi yöntemin kullanılacağının belirlenmesi. Yine Radius veya local veritabanını şeklinde iki seçeneğimiz var.
6. Son olarak VPN bağlantısı yapacak kullancılar için grup bazından Policy’ lerin konfigürasyonunun yapılması.

Öncelikle VPN bağlantısının yapılacağı interface’i seçiyoruz. Bu Router üzerinde Serial1/0 interface’inden bağlantılar yapılacak. Authentication için Digital Certificates veya Pre-Shared Keys seçilebilir. Biz bu uygulama içerisinde Pre-Shared Keys’ i seçeceğiz, daha sonra yayınlanacak başka bir makalede ise Digital Certificates kullanarak authenticaion ile Easy VPN Server kurulumunu ve clientların bu servera nasıl bağlanacaklarını anlatacağız. Bununda sözünü buradan vermiş olalım. Devam ettiğimizde ise IKE Phase 1 için gerekli parametrelerin girilebileceği ekran geliyor olacağız.

uygulama içerisinde ben AES 256 Bit Encryption’ı tercih ediyorum. Hashing yani Data Integrity için kullanılacak algoritma olarak SHA_1, key exchange’i için ise Diffie Hellman Group 5’i seçip devam ediyorum. IKE Phase 1 yani ISAKMP’yi tamamladıktan sonra IKE Phase 2 için Transform Set parametrelerin belirleneceği kısıma geliyoruz.
SHA_1 ve MD5 Hashing sırasında kullanabileceğimiz iki farklı algoritmadır. Bunlarda MD5 128 bitlik hash üretirken SHA_1 160 bitlik bir hash üretir ve fakat bunlardan 96 bitini kullanır. Her iki algoritmanında çalışma şekli aynıdır ve data üzerinde transfer olduğu hat boyunca herhangi bir değişklik olup olmadığının kontrolünü sağlar.
Encryption için ise AES 256 dışında AES 128, AES 192, DES ve 3DES seçeneklerimiz mevcuttur.


Burada da yukarıdaki konfigürasyonları yapıp devam ediyoruz. Daha önce yayınlanan Site –To – Site VPN konfigürasyonu ile ilgili makalede bu kısımlar hakkında daha detaylı bilgiler bulunabilir. Bu kısmı tamamlayıp devam ettiğimizde Group Authorization ve Group Policy Lookup için kullanılacak yöntemleri belirleyeceğimiz bölüme geleceğiz.

Burada Local Database, Radius Server yada ikisi birlikte kullanılabilir. Ben Radius Server ve Local seçeneğini birlikte seçtim. Bu durumda önce Radius Server veritabanı kontrol edilecek, buradan sonuç alınamazsa veya Radius Server don olmuşsa Local veritabanına geçilecektir. Radius Server tanımlamasını yapmak için Add RADIUS Server’ a tıkladığımızda açılan penceredeki Add butonunu kullanabiliriz. Buradaki tanımlamalarımızdan sonra User tanımlamalarına geçeceğiz.

Authentication’ı içinde RADIUS veya Local veritabanları kullanılabilir (RADIUS and Local Only seçeneği). Add RADIUS Server ile Radius tanımlamaları yapılabilir veya local veritabanına Add User Credentials butonu ile kullanıcılar eklenebilir. Burada şunu belirtmekte fayda olacaktır ki; çok fazla kullanıcının VPN ile merkeze bağlanacağı bir yapı içerisinde Router üzerinde bir veritabanı oluşturmak iyi bir çözüm olmayabilir.
User Accounts kısmında bu Routera SDM ile bağlanma yetkisine sahip kullanıcıları görüyorsunuz. Bu kullanıcılar bu isim ve şifreler ile vpn bağlantısıda yapabilirler. Buradaki işimiz bittiğinde Group Authorization and User Group Policies kısmına geleceğiz. Buradan Add butonuna bastığımıza Grouplar için bir çok konfigürasyonu yapabileceğimiz menü gelecek. Şimdi adım adım bu menünün bütün tablarının konfigürasyonunu yapacağız.

Add Group Policy menüsünün General tabında oluşturucağımız Group ile ilgili isim, şifre, vpn ile bağlandıklarında alacakları ip adresleri gibi bilgileri gireceğiz. Aslında tam olarak yaptığımız şey Routerımızın VPN ile kendisine ve dolayısıyla merkezdeki networkümüze bağlanan kullancılar için DHCP Server hizmetini vermesi sağlamak. Router üzerinde tanımlanmış zaten bir ip havuzu varsa Select from an existing pool seçeneğinden bunuda seçebiliriz. Ayrıca burada bir grup için yapılabilecek maksimum bağlantı sayısınıda belirleyebiliyoruz. Bu sayı dolduktan sonra bu grubun bilgileri kullanılarak yeni bir bağlantı yapılamayacaktır.

Add Group Policy menüsü DNS/WINS tabına geldiğimizde ise az önce bahsettiğimiz DHCP Server konfigürasyonuna devam ediyor ve iç neworkümüzdeki DNS ve WINS Serverları belirtiyoruz.

Split Tunneling tabında ise protected subnetleri seçebileceğimiz bir alana geliyoruz. Aslında önemli noktalardan biriside budur. VPN bağlantısını yapan kullanıcılar aslında bütün trafiği tünel üzerinden merkeze gönderirler. Yani aslında biz burada bir konfigürasyon yapmadığımız sürece VPN Clientlarımız internet bağlantıları içinde tüneli kullanacak ve dolayısıyla merkez üzerinden internete erişeceklerdir.
Split Tunneling’ i enable ettiğimizde ise sade Protected Subnets kısmında belirttiğimiz networklere erişim sırasında tüneli kullanacaklardır. Burada istersek Add butonuna basarak açılan pencerede direkt olarak istediğimiz networkleri ekleyebilir ya da Select yhe Split tunneling ACL kısmına geçip bir ACL tanımlayabiliriz.
Tabi burada hemen akla böyle bir özelliğin neden default olarak disable olduğu şeklinde bir soru geliyor. Zira kullanıcıların VPN bağlantısı üzerinden internete erişmesi ve merkezin internet bağlantısını meşgul etmesi sanki mantıksız gibi duruyor. Belki bu noktada internet erişimi sırasında kullanılan ve çeşitli filtreler içeren şirket policylerinin VPN bağlantısı sırasında da kullanılabileceğinden bahsedilebilir. Ayrıca VPN Clientımızın internet erişimini localinde yaptığı durumda, bilgisayarına bulaşabilecek sözgelimi bir wormun tunnel üzerinden merkeze ulaşmasını da önlemiş olmak gibi bir düşünceden de bahsedilebilir.
Buraya ilgili bilgileri girdiğikten sonra tekrar Split Tunneling ana menüsüne dönmüş olacağız.
Enter the list of Domain names kısmına ise az önce DNS tabında belirlediğimiz DNS tarafından çözümlenmesini istediğimiz domain isimlerini giriyoruz. Burada belirtmediğimiz isimler local internet bağlantımız üzerinden yani ISP tarafından çözümlenecektir. Bunada Split DNS diyebiliriz.

Client Settings tabına geldiğimizde grubumuz için belirleyebileceğimiz güvenlik ilkelerini belirleyebileceğimiz görüyoruz. Burada ilk olarak Backup Servers kısmına geliyoruz. Benim yaptığım çalışma içerisinde herhangi bir Backup Server olmadığı için bir bilgi girişi yapmadım ama ihtiyaç halinde Add butonuna basarak eklenebilir. Buraya eklenen Serverlar Cisco VPN Client ile Servera bağlantı yapıldığı anda Server tarafında Cliente aktarılacaktır ve client bu server down olduğu zaman Backup Serverlardan biri ile bağlantı kurmaya çalışacaktır. Resime baktığınızda Backup Server dışında 3 farklı kuralın daha bu pencere üzerinden tanımlanabileceğini göreceksiniz.
Firewall Are-U-There özelliği Split Tunneling ile birlikte kullanılır. VPN ile merkeze bağlı kullanıcılar aynı anda internetide kullanacaklarsa Firewall’larının açık olması güzel bir kuraldır aslında. Firewall’u olmayan yada disable durumda olacak kullanıcılar bu seçeneği işaretlediğimizde VPN bağlantısı yapamayacaklardır. Ben bilgisayarımda herhangi bir Firewall kullanmadığım için burayı işaretlemeden geçiyorum. Zira VPN bağlantısını test ettiğimiz aşamada sorun yaşamak istemiyorum.
Include Local LAN seçenği işaretlenmediğinde VPN bağlantısı yapacak istemciler bağlantıyı kurduktan sonra VPN dışında başka bir networke erişemezler. Örneğin ben evimden şirkete dizüstü bilgisayarım ile VPN bağlantısı yaptığımda, bu seçenek işaretlenmemişse, sözgelimi masaüstü bilgisayarımda buluna bazı dosyalara ulaşmam gerekse bile local networkümü kullanamayacağım için başarısız olurum. Tabi bunun sakıncalı olduğu noktalarda olacaktır. Özellikle güvensiz bir ortamdan internet erişimine sahip olan kullanıcıların VPN ile şirkete bağlandığı bir durumu buna örnek olarak verebiliriz.
Perfect Forward Secrecy (PFS) extra bir güvenlik önlemi olarak seçilebilir. Hiç bir zaman daha önceden belirlenmiş veya kullanmış keyler üzerinde oluşturulmuş yeni keyler olmasına izin vermez.
Buraya kadar yaptıklarımız Group bazlı konfigürasyonlardı. Xauth Options tabına geldiğimizde ise User seviyesinde Policy’ leri belirleyebileceğiz.