FortiGate Client-to-Site IPSec VPN with Certificates

2012 FortiGate Client-to-Site IPSec VPN with Certificates [Bu dökümanda Fortigate sisteminlerinde sertifikalı Client-to-Site IPSec VPN uygulaması ve ne şekilde uygulanabildiği anlatılmıştır.] v400-build0513-rev.02 RZK Mühendislik ve Bilgisayar Sistemleri 0

İçerik VPN Hakkında Genel Bilgi IPSec VPN Nedir? Microsoft 2008 Certificate Authority (CA) Server FortiGate Ayarları Sertifika Ayarları Kullanıcı Ayarları VPN Ayarları FortiClient Ayarları Diagnostic v400-build0513-rev.02 1

FortiGate (IPSec VPN) with Certificates Datasheet VPN Hakkında Genel Bilgi VPN (Virtual Private Network Sanal Özel Ağ) : Internet gibi halka açık telekomünikasyon altyapılarını kullanarak kullanıcıları veya uzak ofisleri organizasyonun local bilgisayar ağına güvenli bir şekilde eriştirmeyi sağlamak için geliştirilmiş sanal bilgisayar ağı yapısıdır. Yapı genel olarak, uzak ofisler içi noktadan noktaya hatlar (lease line vb.) yerine standart bağlantılar üzerinden daha düşük sahip olma maliyetleri ile aynı hizmeti sağlar, tekil kullanıcılar için ise uzaktan (herhangi bir yerden) sanki fiziksel olarak ofis içerisindeymiş gibi çalışma imkanı sağlar. VPN aynı özel ağda bulunmayan, bir veya daha fazla network cihazı arasında güvenli bir şifreleme metodu kullanılarak kapsüllenmiş veri transferi yapar. Güvenli şifreleme metodunun kullanım amacı verinin özel yada kamusal alandaki diğer netwrok cihazlarından gizlenmesidir. Sanal özel ağ (VPN), komşu ağlar arasında gizli ve özel bir bilgi akışını sağlamaya yönelik kurulur. Paketler internet üzerinden gitse dahi, tünelleme ve kullanılan güvenlik yazılımları sayesinde ağ dinlense bile şifrelenmiş paketlere saldıran kişiye elde ettiği bilgiler hiçbir anlam ifade etmeyecektir. Buradan, büyük şirketlerin kendi aralarında internetten faydalanmaksızın, özel ağ kurmalarının çoğu yerde gereksiz olduğunu düşünebilirsiniz. v400-build0513-rev.02 2

IPSec VPN Nedir? TCP/IP protokolü geliştirilirken güvenlik üzerinde pek fazla durulmamıştı. Çünkü TCP/IP protokolünün bu denli yoğun ve standart olarak kabul edilip kullanılacağı düşünülmemişti. Bu nedenle verilerimiz ağ üzerinde savunmasız olarak ilerler ve birçok tehlikeyle karşılaşabilirler. Bu tehlikeler verilerimizin değiştirilmesi, verilerimizin kaybolması ve verilerimizin istenilen hedeflere ulaştırılmaması olabilir. IPsec protokolü sayesinde verilerimiz ağ üzerinde güvenli bir şekilde ulaşmak istedikleri hedeflere ulaştırılır. IPsec protokolü IP protokollerinin güvenlik ihtiyaçlarını karşılamak için geliştirilmiş olan bir güvenlik protokolüdür. IP kimlik doğrulaması ve veri akışı her IP paket şifreleme ile iletişim Internet Protokolü güvenlik protokolleri bir takımdır. IPsec da oturumu sırasında kullanılmak üzere ajanları arasında oturum ve şifreleme anahtarlarının müzakere başında karşılıklı doğrulama kurmak için protokolleri içerir. IPsec barındıran bir çift arasında veri akışını korumak için kullanılan, güvenlik kapı bir çift arasında bilgisayar kullanıcıları veya sunucu gibi, yönlendiriciler veya güvenlik duvarları gibi veya bir güvenlik ağ geçidi ve ev sahibi arasında. IPSec in güvenlik mimarisini oluşturan üç temel unsur vardır: 1.Bütünlük (integrity); hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığı kontrol edilir. Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı mesaj özeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj özeti değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır. Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır. 2.Kimlik doğrulama (Authentication); iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik doğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemler kullanabilirler. Bunları şöyle sıralayabiliriz: Önpaylaşımlı anahtar (preshared key) (MS-CHAP) Kerberos (Windows tabanlı ağlar için) Sertifika yetkilisi (certificate authority) 3.Gizlilik (Confidentiality); gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler bir izleyici (sniffer) aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur. Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir. Bu işlemler yapılırken veri paketi farklı algoritmalarla şifrelenir. Bu işleme Encrypiton denir. Veri paketi hedefe ulaştığında şifrelenen veri paketi açılır ve kullanılabilir hale getirilir. Bu işlemede Decryption denir. IPsec çift mod end-to-end ise, İnternet Katmanı Internet Protokolü Suite Yaklaşık Katmanı 3 OSI modelde olduğu güvenlik düzeni işletim. SSL, TLS ve SSH gibi yaygın kullanımı, bazı diğer Internet güvenlik sistemleri, bu modellerin alt katmanlara faaliyet, SSL VPN bir örnek olmaktır. Çünkü trafiği korumak için kullanılabilir. Çünkü uygulama kullanımı ise IPsec kullanmak için tasarlanmış olması gerekmez. IPsec daha yığıtın bir alt düzey olarak bir at çalışma, esnek TLS / SSL veya diğer yüksek katman protokolleri bu düzeyde uygulamaların tasarım dahil olmalıdır. v400-build0513-rev.02 2

Microsoft 2008 Certificate Authority (CA) Server IPSec VPN bağlantısında kullanacağımız sertifikaların oluşturulması ve yönetilebilmesi için öncelikle Windows 2008 Server üzerinde Microsoft CA Server kurulumunu yapmanız gerekir. Bunun için Windows 2008 Serverda aşağıdaki adımları izleyin : Start Administrative Tools Server Manager Roles Add Roles linkine tıklayınız. Gelen ekranda Next butonuna tıklayın. v400-build0513-rev.02 3

Gelen listede Active Directory Certificate Services işaretleyiniz. Gelen sayfada Next butonuna basınız. v400-build0513-rev.02 4

Certification Authority Web Enrollment seçeneğini tıklayınız. Açılan pencerede Add Required Role Services butonuna tıklayınız. Sonrasında Next butonuna basarak ilerleyiniz. v400-build0513-rev.02 5

Standalone seçerek Next butonuna basınız. Root CA seçili olacak şekilde Next butonuna basınız. v400-build0513-rev.02 6

Create a new private key seçimi ile Next butonuna basınız. Ayarları varsayılan halleriyle bırakarak Next butonuna basınız. v400-build0513-rev.02 7

Common name alanına size uygun bir isim veriniz ve Next butonuna basınız. Gelen pencerede son geçerli tarihi belirleyip Next butonuna basınız. v400-build0513-rev.02 8

Next butonuna basınız. Next butonuna basınız. v400-build0513-rev.02 9

Next butonuna basınız. Install butonuna basarak kurulumu başlatınız. v400-build0513-rev.02 10

Kurulum aşaması... Close butonuna basarak kurulum işlemini sonlandırınız. v400-build0513-rev.02 11

http://localhost/certsrv URL adresine IExplorer ile giriniz. Açılan sayfada Download a CA certificate, certificate chain, or CRL linkine tıklayınız. Encoding method alanında Base 64 seçiniz ve Download CA certificate linkine tıklayınız. v400-build0513-rev.02 12

.cer uzantılı sertifika dosyasını RootCA.cer ismiyle bilgisayarınıza kaydediniz. Bu dosyaya hem FortiGate hem de FortiClient tarafında ihtiyacımız olacak. v400-build0513-rev.02 13

FortiGate Ayarları Sertifika Ayarları System > Certificates > CA Certificates menüsünden Import butonuna basarak RootCA.cer dosyasını sertifikalara ekleyiniz. Ekleme işlemi başarılı oldu ise CA_Cert_1 ismiyle root sertifikanız eklenmiştir. v400-build0513-rev.02 14

Certificates > Local Certificates menüsünden Generate butonuna basınız. Sertifika bilgilerini yukarıdaki örneğe uygun biçimde doldurunuz. Ardından OK butonuna basınız v400-build0513-rev.02 15

PENDING şeklinde bekleyen sertifikayı seçip Download butonuna basarak fgt_cert.scr ismiyle sertifika istek kodunu kaydediniz. Microsoft 2008 Server üzerinde http://localhost/certsrv portalından Request a certificate linkine tıklayınız. v400-build0513-rev.02 16

Açılan sayfada advanced certificate request linkine tıklayınız. Açılan sayfada şekilde işaretli linki tıklayınız. v400-build0513-rev.02 17

fgt_cert.scr sertifika istek kodunu kopyalayıp soldaki alana yapıştırınız ve Submit butonuna basınız. İşlem başarılı bir şekilde sonlandığında ekrandaki görüntü gelecektir. v400-build0513-rev.02 18

Start > Run bölümünden mmc yazarak Microsoft Management Console programını çalıştırınız. File menüsünden Add/Remove Snap-in... seçiniz. Sol listeden Certification Authority seçeneğini seçip sağa Add > butonuna basarak ekleyiniz. v400-build0513-rev.02 19

Sol listeden Pending Requests altından bekleyen sertifikanıza sağ tıklayarak Issue seçeneğini seçiniz. Issued Certificates menüsünden onaylanmış sertifikanızı görebilirsiniz. v400-build0513-rev.02 20

View the status of a pending certificate request linkine tıklayınız. Linke tıklayarak bir sonraki sayfaya geçiniz. v400-build0513-rev.02 21

Base 64 encoded seçerek Download certificate linkine tıklayınız. FortiGate.cer dosya adıyla sertifikayı kaydediniz. Certificates > Local Certificates menüsü altından Import butonuna basınız. FortiGate.cer dosyasını göstererek işlemi sonlandırınız. v400-build0513-rev.02 22

fgt_cert isimli sertifikanız onaylanmış olarak listede belirecektir. v400-build0513-rev.02 23

Kullanıcı Ayarları CLI (komut satırı) üzerinden yukarıdaki komutlarla PKI User tanımlayınız. Browserda F5 tuşuna basarak sayfayı yenileyiniz. User > PKI > PKI menüsü altından my_peer tanımını seçip Edit ediniz. Listeden CA_Cert_1 sertifikasını seçip OK butonuna basınız. v400-build0513-rev.02 24

User > User Group > User Group menüsünden Create New butonuna basarak yeni bir kullanıcı grubu olşturunuz. Name alanına grup ismini yazınız ve PKI Users altındaki my_peer kullanıcısını sağ tarafa ekleyiniz. OK butnuna basarak grubu oluşturunuz. v400-build0513-rev.02 25

VPN Ayarları VPN > Ipsec > Auto Key (IKE) menüsünden Create Phase 1 ve Create Phase 2 butonunlarına basarak aşağıdaki gibi ayarlayınız. v400-build0513-rev.02 26

VPN in sonlanacağı interface için System > Network > DHCP Server menüsünden DHCP Server ayarlayınız. Policy menüsünden iç ağdan internete doğru IPSec VPN kuralını yazınız. v400-build0513-rev.02 27

FortiClient Ayarları Öncelikle https://support.fortinet.com adresinden hesabınıza login olunuz. Download > Firmware Images bölümüne giriniz. Listeden FortiClient ı tıklayınız. v400-build0513-rev.02 28

İşlemci tipine göre 32bit yada 64bit versiyonu ve VPN Editor Tools dosyasını indiriniz. exe dosyasını çalıştırıp aşağıdaki adımları izleyiniz. v400-build0513-rev.02 29

FortiClientTools_4.3.3.0445.zip dosyasındaki VPNEditor klasörünü bilgisayarınıza açınız. FortiClientVPNEditor.exe dosyasını çalıştırınız. v400-build0513-rev.02 30

Certificate Authorities menüsünden Import butonuna basınız. RootCA.cer root sertifikanızı import ediniz. Dialog penceresinde No butonuna tıklayınız. v400-build0513-rev.02 31

Certificates menüsünden Generate butonuna basınız. Sertifika bilgilerinizi yukarıdaki örneğe uygun doldurunuz. v400-build0513-rev.02 32

Sertifikanızı seçip Export butonuna basarak my_notebook.csr dosya ismiyle kaydediniz. Microsoft 2008 Server üzerinde http://localhost/certsrv portalından Request a certificate linkine tıklayınız. v400-build0513-rev.02 33

Açılan sayfada advanced certificate request linkine tıklayınız. Açılan sayfada şekilde işaretli linki tıklayınız. v400-build0513-rev.02 34

my_notebook.scr sertifika istek kodunu kopyalayıp soldaki alana yapıştırınız ve Submit butonuna basınız. İşlem başarılı bir şekilde sonlandığında ekrandaki görüntü gelecektir. v400-build0513-rev.02 35

Start > Run bölümünden mmc yazarak Microsoft Management Console programını çalıştırınız. File menüsünden Add/Remove Snap-in... seçiniz. Sol listeden Certification Authority seçeneğini seçip sağa Add > butonuna basarak ekleyiniz. v400-build0513-rev.02 36

Sol listeden Pending Requests altından bekleyen sertifikanıza sağ tıklayarak Issue seçeneğini seçiniz. Issued Certificates menüsünden onaylanmış sertifikanızı görebilirsiniz. v400-build0513-rev.02 37

View the status of a pending certificate request linkine tıklayınız. Linke tıklayarak bir sonraki sayfaya geçiniz. v400-build0513-rev.02 38

Base 64 encoded seçerek Download certificate linkine tıklayınız. my_notebook.cer dosya adıyla sertifikayı kaydediniz. Certificates menüsünden Import butonuna basınız. my_notebook.cer dosyasını import ediniz. v400-build0513-rev.02 39

Sorunsuz bir işlem sonucunda sertifikanızı listede görebilmelisiniz. Tunnels menüsünden New butonuna basınız. v400-build0513-rev.02 40

VPN Type : Manual Auth. Method : X509 Certificate X509 Certificate : my_notebook - Advanced butonuna tıklayınız. - Advanced Settings bölümünde Acquire virtual IP address işaretleyiniz. OK butonuna basınız. v400-build0513-rev.02 41

Close butonuna tıklayarak VPN Editor yazılımından çıkınız. FortiClient VPN programını açarak File > Settings seçeneğini tıklayınız. v400-build0513-rev.02 42

Certificate Management bölümündeki Use Local Certificate Uploads (IPSec Only) seçimini tıklayınız. Daha sonra Apply butonuna tıklayınız. butonuna basarak ana menüye dönünüz. Ana ekranda VPN Connections simgesine tıklayınız. v400-build0513-rev.02 43

Connect butonuna tıklayarak VPN bağlantısını çalıştırınız. Bağlantı sonrasında yukarıdaki ekranları göreceksiniz. v400-build0513-rev.02 44

Diagnostic FG10CH3G09609187 # diagnose debug application ike 255 FG10CH3G09609187 # diagnose debug enable ike 1: comes 192.168.5.103:500->192.168.10.56:500,ifindex=13... ike 1: IKEv1 exchange=identity Protection id=a62d2a490db7134e/0000000000000000 len=316 ike 1: in A62D2A490DB7134E000000000000000001100200000000000000013C0D00009C000000010000000100000090010100040300002001010000800B0001800C7080 800100058003000380020001800400050300002002010000800B0001800C7080800100058003000380020002800400050300002403010000800B0001800C70808 0010007800E00808003000380020001800400050000002404010000800B0001800C708080010007800E00808003000380020002800400050D0000144A131C810 70358455C5728F20E95452F0D000014CD60464335DF21F87CFDB2FC68B6A4480D00001490CB80913EBB696E086381B5EC427B1F0D0000144C53427B6D465D1B 337BB755A37A7FEF0D00001412F5F28C457168A9702D9FE274CC01000D00000C09002689DFD6B71200000014AFCAD71368A1F1C96B8696FC77570100 ike 1: cache rebuild start ike 1:fct_vpn: cached as dynamic ike 1: cache rebuild done ike 1:fct_vpn:0: responder: main mode get 1st message... ike 1:fct_vpn:0: VID RFC 3947 4A131C81070358455C5728F20E95452F ike 1:fct_vpn:0: VID draft-ietf-ipsec-nat-t-ike-02 CD60464335DF21F87CFDB2FC68B6A448 ike 1:fct_vpn:0: VID draft-ietf-ipsec-nat-t-ike-02\n 90CB80913EBB696E086381B5EC427B1F ike 1:fct_vpn:0: VID forticlient connect license 4C53427B6D465D1B337BB755A37A7FEF ike 1:fct_vpn:0: enable FortiClient license check ike 1:fct_vpn:0: VID CISCO-UNITY 12F5F28C457168A9702D9FE274CC0100 ike 1:fct_vpn:0: peer supports UNITY ike 1:fct_vpn:0: VID draft-ietf-ipsra-isakmp-xauth-06.txt 09002689DFD6B712 ike 1:fct_vpn:0: VID DPD AFCAD71368A1F1C96B8696FC77570100 ike 1:fct_vpn:0: DPD negotiated ike 1:fct_vpn:0: negotiation result ike 1:fct_vpn:0: proposal id = 1: ike 1:fct_vpn:0: protocol id = ISAKMP: ike 1:fct_vpn:0: trans_id = KEY_IKE. ike 1:fct_vpn:0: encapsulation = IKE/none ike 1:fct_vpn:0: type=oakley_encrypt_alg, val=3des_cbc. ike 1:fct_vpn:0: type=oakley_hash_alg, val=sha. ike 1:fct_vpn:0: type=auth_method, val=rsa_sig. ike 1:fct_vpn:0: type=oakley_group, val=1536. ike 1:fct_vpn:0: ISKAMP SA lifetime=28800 ike 1:fct_vpn:0: selected NAT-T version: RFC 3947 ike 1:fct_vpn:0: cookie a62d2a490db7134e/fe294738d121112e ike 1:fct_vpn:0: out A62D2A490DB7134EFE294738D121112E0110020000000000000000B40D000034000000010000000100000028010100010000002002010000800B0001800C7080 800100058003000380020002800400050D0000144A131C81070358455C5728F20E95452F0D000014AFCAD71368A1F1C96B8696FC775701000D00001412F5F28C 457168A9702D9FE274CC02040D0000144C53427B6D465D1B337BB755A37A7FEF000000148299031757A36082C6A621DE00040201 ike 1:fct_vpn:0: sent IKE msg (ident_r1send): 192.168.10.56:500->192.168.5.103:500, len=180, id=a62d2a490db7134e/fe294738d121112e ike 1: comes 192.168.5.103:500->192.168.10.56:500,ifindex=13... ike 1: IKEv1 exchange=identity Protection id=a62d2a490db7134e/fe294738d121112e len=292 ike 1: in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ike 1:fct_vpn:0: responder:main mode get 2nd message... ike 1:fct_vpn:0: NAT not detected ike 1:fct_vpn:0: out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ike 1:fct_vpn:0: sent IKE msg (ident_r2send): 192.168.10.56:500->192.168.5.103:500, len=297, id=a62d2a490db7134e/fe294738d121112e ike 1:fct_vpn:0: ISAKMP SA a62d2a490db7134e/fe294738d121112e key 24:03D2A88469F193C6087C13FAC36BD379D64772CE89D16168 ike 1: comes 192.168.5.103:500->192.168.10.56:500,ifindex=13... ike 1: IKEv1 exchange=identity Protection id=a62d2a490db7134e/fe294738d121112e len=1828 ike 1: in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v400-build0513-rev.02 45

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ike 1:fct_vpn:0: responder: main mode get 3rd message... ike 1:fct_vpn:0: dec A62D2A490DB7134EFE294738D121112E05100201000000000000072406000022090000003018311630140603550403130D3139322E3136382E352E3130330900 05BA04308205B130820499A003020102020A61F96314000000000004300D06092A864886F70D0101050500306A31123010060A0992268993F22C640119160274 7231133011060A0992268993F22C6401191603636F6D31133011060A0992268993F22C6401191603727A6B31163014060A0992268993F22C64011916066D7974 65737431123010060355040313096D79746573742D4341301E170D3132303230313038353535335A170D3133303230313039303535335A301831163014060355 0403130D3139322E3136382E352E31303330820122300D06092A864886F70D01010105000382010F003082010A0282010100C0597B775B805455A39B034FD1CF 9D2908AF3F745475C5F5FB60F5E29B83C45AAB48451A2DC0EE17E1326261E6F25BAB69EB074672DD5C12D26616228AEAE7BD816D1F20FCD9A24041402EB3F6 A525CC5229F6BC553AE48FB5C54623EEDF9B578C103804C53539331484D3DF7071A70550E5ACE3480E3FCAE87492AA9A35412E9F40863E9242B6CDDB104BDB C587F66B1B225A3B3BA2762C2D617AC54BB75FB10DDFEE26951567C7027DD67C24E855CA7DF017DD54994DE6E67964C747D3A5DB4330A2FA66E5E1793B6C9 EDE1BFF3BF294197F44E9D63F8086F1D5F4A8C7762C46B49717CC549FB4D0F6C52AA8BECB3F6C7F8540819DEAA0F4AA6979163C79EB0203010001A38202A930 8202A5301D0603551D0E04160414219B3605A07177DF682A74B93DA8DBE69B93D7F9301F0603551D23041830168014A63F140F59168B3CE76019DC72463CF35 5D49545308201230603551D1F0482011A3082011630820112A082010EA082010A8681C46C6461703A2F2F2F434E3D6D79746573742D43412C434E3D57494E2D 4F475A30485843514741582C434E3D4344502C434E3D5075626C69632532304B657925323053657276696365732C434E3D53657276696365732C434E3D436F6E 66696775726174696F6E2C44433D6D79746573742C44433D727A6B2C44433D636F6D2C44433D74723F63657274696669636174655265766F636174696F6E4C69 73743F626173653F6F626A656374436C6173733D63524C446973747269627574696F6E506F696E748641687474703A2F2F77696E2D6F677A30687863716761782 E6D79746573742E727A6B2E636F6D2E74722F43657274456E726F6C6C2F6D79746573742D43412E63726C3082013A06082B060105050701010482012C3082012 83081B406082B060105050730028681A76C6461703A2F2F2F434E3D6D79746573742D43412C434E3D4149412C434E3D5075626C69632532304B657925323053 657276696365732C434E3D53657276696365732C434E3D436F6E66696775726174696F6E2C44433D6D79746573742C44433D727A6B2C44433D636F6D2C44433 D74723F634143657274696669636174653F626173653F6F626A656374436C6173733D63657274696669636174696F6E417574686F72697479306F06082B060105 050730028663687474703A2F2F77696E2D6F677A30687863716761782E6D79746573742E727A6B2E636F6D2E74722F43657274456E726F6C6C2F57494E2D4F47 5A30485843514741582E6D79746573742E727A6B2E636F6D2E74725F6D79746573742D43412E637274300D06092A864886F70D010105050003820101007EC62 BF5A2229AFF9BBB10A92A648B17F9957C3CEF0F450388557F0E6F495B5716446E720373F27BEA89377FAF82152F227B7461F6854DD1BAFF14688E25A5628100F 1F0672FD762B38D83F01D731947519F7B928C98E2DA42A1BB44E762155AC51FCC47C18FDAAEC0E03B04DC6D24F1B939615F0B85DDF80678A4A4CD67242A9B0 1C197C6E0092EFDFC25002B519E3E2873A0DAB409569D11B12E169AC61F423189F56FED17B5FBCA1588C03BC910F233DFB36FE54EE72601D4ED77DE3BDBEDA B9782B6D3C0C9BD84421B94510F716596157A1E63F6C22202C1F15E99F42FBF5107369EB0DF1982A16BEACCDA08AAEE3099D15F1A60EFF23D640CDCFCE908D D0700010414A7BC4AA52AF3D509C4BB09A2E2640415CA567CAE8E0C51B6C3BDB342C603415AA0FFDC09F1B6012D61D79CF86B650FA18CFE092EBA8E7034017 C1E779BA304E287FACB57E2621317F387B9E79BF4486E60982FD431D2AA71CC1ED62BDBF3616AC3BAF49FBF236D15FF7793ECAAD6D7808E6D6FFB99463A8A8 C892B3FCB4FBAEC44DA116A0B00BC7DB995D868ECC1F2D47EE2A6A30217DBF5B47E5480C06EAA9B73B31CDDBFDE8C817D4A3C2160CCA5A4405A29DD1136A 0B90B909A6EA6AB89779B41F32FE36979D6C59329C569AE38477278CC97AFDA6DCDF9084F2A9B8070E8ACD1FD7B69470078475D9DB5F5B4372A33B85623CEE 2DAD8EE51152A3705E70B000005040000001C0000000101106002A62D2A490DB7134EFE294738D121112EFDFED4BAC0F606 ike 1:fct_vpn:0: received notify type 24578 ike 1:fct_vpn:0: Validating X.509 certificate ike 1:fct_vpn:0: building fnbam peer candidate list ike 1:fct_vpn:0: FNBAM_GROUP_NAME candidate 'my_peer' ike 1:fct_vpn:0: certificate validation pending ike 1:fct_vpn:0: fnbam reply 'my_peer' ike 1:fct_vpn:0: fnbam matched peer 'my_peer' ike 1:fct_vpn:0: responder: main mode get 3rd message... ike 1:fct_vpn:0: dec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v400-build0513-rev.02 46

657276696365732C434E3D53657276696365732C434E3D436F6E66696775726174696F6E2C44433D6D79746573742C44433D727A6B2C44433D636F6D2C44433 D74723F634143657274696669636174653F626173653F6F626A656374436C6173733D63657274696669636174696F6E417574686F72697479306F06082B060105 050730028663687474703A2F2F77696E2D6F677A30687863716761782E6D79746573742E727A6B2E636F6D2E74722F43657274456E726F6C6C2F57494E2D4F47 5A30485843514741582E6D79746573742E727A6B2E636F6D2E74725F6D79746573742D43412E637274300D06092A864886F70D010105050003820101007EC62 BF5A2229AFF9BBB10A92A648B17F9957C3CEF0F450388557F0E6F495B5716446E720373F27BEA89377FAF82152F227B7461F6854DD1BAFF14688E25A5628100F 1F0672FD762B38D83F01D731947519F7B928C98E2DA42A1BB44E762155AC51FCC47C18FDAAEC0E03B04DC6D24F1B939615F0B85DDF80678A4A4CD67242A9B0 1C197C6E0092EFDFC25002B519E3E2873A0DAB409569D11B12E169AC61F423189F56FED17B5FBCA1588C03BC910F233DFB36FE54EE72601D4ED77DE3BDBEDA B9782B6D3C0C9BD84421B94510F716596157A1E63F6C22202C1F15E99F42FBF5107369EB0DF1982A16BEACCDA08AAEE3099D15F1A60EFF23D640CDCFCE908D D0700010414A7BC4AA52AF3D509C4BB09A2E2640415CA567CAE8E0C51B6C3BDB342C603415AA0FFDC09F1B6012D61D79CF86B650FA18CFE092EBA8E7034017 C1E779BA304E287FACB57E2621317F387B9E79BF4486E60982FD431D2AA71CC1ED62BDBF3616AC3BAF49FBF236D15FF7793ECAAD6D7808E6D6FFB99463A8A8 C892B3FCB4FBAEC44DA116A0B00BC7DB995D868ECC1F2D47EE2A6A30217DBF5B47E5480C06EAA9B73B31CDDBFDE8C817D4A3C2160CCA5A4405A29DD1136A 0B90B909A6EA6AB89779B41F32FE36979D6C59329C569AE38477278CC97AFDA6DCDF9084F2A9B8070E8ACD1FD7B69470078475D9DB5F5B4372A33B85623CEE 2DAD8EE51152A3705E70B000005040000001C0000000101106002A62D2A490DB7134EFE294738D121112EFDFED4BAC0F606 ike 1:fct_vpn:0: already have certificate (type=4) ike 1:fct_vpn:0: received notify type 24578 ike 1:fct_vpn:0: certificate validation succeeded ike 1:fct_vpn:0: signature verification succeeded ike 1:fct_vpn:0: authentication OK ike 1:fct_vpn:0: enc......... Ek Kaynaklar : http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-system-admin-40-mr3.pdf http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-cli-40-mr3.pdf http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-ipsec-40-mr3.pdf http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-authentication-40-mr3.pdf RZK Mühendislik ve Bilgisayar Sistemleri 1326. Sokak (Eski 71. Sk.) No:5 / 2 06460 Öveçler Ankara / Türkiye Tel:+90 (312) 472 15 30 Fax:+90 (312) 472 15 40 v400-build0513-rev.02 47