Revizyon No: 1.0 Tarih: 02.09.2013 Konfigürasyon Dokümanı Teknoloji Çözüm ve Hizmetleri Grubu Güvenlik Birimi Check Point Gateway ler arası VPN Dokümanı www.yigitturak.com Hazırlayan: Yiğit Turak Amaç / Kapsam: Check Point Gateway ler arası site-to-site VPN kurulum dokümanı 1. Dokümanın Amacı Dokümanın amacı, Check Point Gateway ler arası site-to-site VPN konfigürasyonu yapılması için hazırlanmıştır. 2. Dokümanın Kapsamı Dokümanı hazırlayan Uzmanlar: Dokümanın hazırlandığı donanım ve yazılımlar: Topoloji: Yiğit Turak Check Point R76 Gaia Genel Merkezi le Şube arasında site-to-site VPN kurulumu yapılacaktır. IP konfigürasyonları ve genel topoloji aşağıda yer aldığı gibidir. 1/11
3. Dokümanın İçeriği 1. Smart Dashboard üzerinden Genel Müdürlük te yer alan SmartCenter a bağlanılır. 2. Network Object->Check Point -> gw-main üzerine sağ tıklanır ve Edit seçilir. Buarada Genel Müdürlük firewall un topolojimize göre ayarları aşağıdaki gibi olmalıdır. Topology bölümünde VPN Domain kısımındaki konfigürasyon Manually defined a geçirilir ve VPN yapılması istenen network tanımlanır. 3. Network Object->Check Point üzerine sağ tıklanır ve Externally Managed Checkpoint Gateway seçilir. Buraya şubede yer alan VPN yapacağımız Checkpoint Gateway I ekliyoruz. Topolojimize göre ayarları aşağıdaki gibi olmalıdır. 2/11
Topology bölümünde VPN Domain kısımındaki konfigürasyon Manually defined a geçirilir ve VPN yapılması istenen network tanımlanır. 4. SmartDashboard içerisinde IPSec VPN tabı açılır ve gelen ekrana sağ tıklayarak New Community->Star... seçilir. 5. Açılan penceredeki General bölümünde bu VPN için bir isim verilir. Ayrıca çift taraflı tüm şifreli trafiğin gateway ler tarafından Kabul edilmesi sağlanır. Bununla birlikte otomatik olarak firewall politikalarına kural eklenir. VPN için ekstra kural yazmaya gerek kalmamaktadır. 3/11
6. Center Gateways bölümünden VPN in kurulacağı Genel Merkez deki gateway eklenir. 7. Satellite Gateways bölümünden VPN kurulması istenen Şube Gateway i eklenir. 4/11
8. Advanced Settings->Shared Secret bölümünde Use only Shared Secret for all External members işaretlenir ve iki taraf içinde aynı olması önemli olan anahtar girilir. 9. Advanced Settings->Advanced VPN Properties bölümünde Disable NAT inside the VPN community işaretlenir. 10. Network Object->Check Point -> gw-main üzerine sağ tıklanır ve Edit seçilir. IPSec-VPN bölümünde VPN in eklendiği görülür. 5/11
11. IPSec VPN->Link Selection bölümünde yer alan Always use this IP address: bölümünde Selected address from topology table dan VPN bağlantısı yapacak gateway in dış IP adresi seçilir. 6/11
12. Genel Müdürlük te yer alan gateway ve management üzerinde yaptığımız konfigürasyonun aynısını Şube de yer alan gateway ve management üzerinde de yapmamız gerekmektedir. Smart Dashboard üzerinden Şube de yer alan SmartCenter a bağlanılır. 13. Network Object->Check Point -> gw-remote üzerine sağ tıklanır ve Edit seçilir. Buarada Şube firewall un topolojimize göre ayarları aşağıdaki gibi olmalıdır. Topology bölümünde VPN Domain kısımındaki konfigürasyon Manually defined a geçirilir ve VPN yapılması istenen network tanımlanır. 14. Network Object->Check Point üzerine sağ tıklanır ve Externally Managed Checkpoint Gateway seçilir. Buraya şubede yer alan VPN yapacağımız Checkpoint Gateway I ekliyoruz. Topolojimize göre ayarları aşağıdaki gibi olmalıdır. 7/11
Topology bölümünde VPN Domain kısımındaki konfigürasyon Manually defined a geçirilir ve VPN yapılması istenen network tanımlanır. 15. SmartDashboard içerisinde IPSec VPN tabı açılır ve gelen ekrana sağ tıklayarak New Community->Star... seçilir. 16. Açılan penceredeki General bölümünde bu VPN için bir isim verilir. Ayrıca çift taraflı tüm şifreli trafiğin gateway ler tarafından Kabul edilmesi sağlanır. Bununla birlikte otomatik olarak firewall politikalarına kural eklenir. VPN için ekstra kural yazmaya gerek kalmamaktadır. 8/11
17. Center Gateways bölümünden VPN in kurulacağı Genel Merkez deki gateway eklenir. 18. Satellite Gateways bölümünden VPN kurulması istenen Şube Gateway i eklenir. 19. Advanced Settings->Shared Secret bölümünde Use only Shared Secret for all External members işaretlenir ve iki taraf içinde aynı olması önemli olan anahtar girilir. 9/11
20. Advanced Settings->Advanced VPN Properties bölümünde Disable NAT inside the VPN community işaretlenir. 21. Network Object->Check Point -> gw-remote üzerine sağ tıklanır ve Edit seçilir. IPSec-VPN bölümünde VPN in eklendiği görülür. 22. IPSec VPN->Link Selection bölümünde yer alan Always use this IP address: bölümünde Selected address from topology table dan VPN bağlantısı yapacak gateway in dış IP adresi seçilir. 10/11
Policy ler ayrı ayrı Gateway lere yüklendiğinde otomatik olarak VPN bağlantısını gerçekleştirecektir. 11/11