VLAN Üzerinden Firewall-Bridge Modem Bağlantısı Nasıl Kurulur?
Bridge Mode DSL Modem ile Firewall arasında 2 adet VLAN kullanarak oluşturulan VLAN Tunnel üzerinden switch haberleştirme.
Çalışmakta olduğum kurumda geçtiğimiz günlerde şu şekilde bir istek oldu. Birimlerimizden biri kendine ait bir ADSL modem ve TTnet aboneliği almış. Ancak kurumun lokal ağına dahil olmadığı için kurum sunucularından faydalanamıyor. Hem kurum networküne dahil olmak istiyor hemde kendine ait adsl üzerinden internete çıkmak istiyor. Dolayısıyla bu alt ağın güvenli bir şekilde internete çıkması ve hemde kurum networkünden faydalanması gerekiyor.
Vlan Bridge Mode Topolojisi
Kurum networküne köprü atmak akla gelebilir ancak bu da güvenlik açığına sebebiyet vereceğinden tercih edilemez. Çünkü Firewall’ a girmeden internete bir çıkış sağlanmış olacaktır. Kağıt üzerinde bir kaç topoloji denedikten sonra “Vlan Bridge Mode topolojisi” yani ADSL modemi VLAN tüneli kullanarak switch üzerinden Firewall‘ a ulaştırmaya karar verdim. Biraz daha ayrıntıya girmekte yarar var, bu söz konusu birimin data centera uzaklığı 3,2Km mesafede. Aramızda Single Mode Fiber Optik Kablo bağlantısı mevcut. Bu nedenle o noktaya sadece 1 adet HP 2624 akıllı switch koymakla işe başlamış oldum. Aradaki single mode f/o kablodan Vlan leri trunk olarak geçireceğim.
Böylece yönetilebilir switch üzerinden Trunk fiber hat ile cihazları (modem ve firewall) haberleştireceğim. Konfigurasyonu bu topolojiye göre yapacağız. Resme tıklayarak büyük halde görebilirsiniz.
Topolojideki yapıyı kurmak için mevcut network üzerine 1 adet akıllı switch ve 1 adet VLAN destekli ADSL modem gerekiyor. Airties 5440, 5452, 5650 türünde modemlerde VLAN desteği bulunmaktadır. Elinizde modem var ise VLAN desteği için kullanma kılavuzuna bakınız.
Main Switch Konfigurasyonu ile Başlayalım.
MAIN SWITCH Konfigurasyonu:
Main switche SSH ile bağlanalım ve config moda geçerek iki adet VLAN tanımlayalım. Dikkat komutlar HP E serisi switchlere göre yazılmıştır. Benzer şekilde diğer switchlere göre uyarlayabilirsiniz.
main#> config
main(config)#> vlan 1035
main(vlan-1035)#> name modem_blok
main(vlan-1035)#> tagged a1,b1
main(vlan-1035)#> vlan 1036
main(vlan-1036)#> name ip_blok
main(vlan-1036)#> tagged a1,b2
main(vlan-1036)#> write memory
main(vlan-1036)#> exit
main(config)#>
Main switch üzerinde hem modem için VLAN hemde bu modem ile internete çıkacak kullanıcı grubu için VLAN tanımladık. Kullanıcı VLAN1036, modem ve switchler ise VLAN1035 ile haberleşecekler.
KENAR SWITCH Konfigurasyonu:
Kenar switchte 2 adet gigabit portum var. Bunlardan port25′ i Uplink için, port26’yı ise modemin 4 nolu portuna bağlayacağız. 1-24 portlar ise kullanıcı grubunun kullanımına sunulacak. Bu nedenle
port25–>VLAN1035+VLAN1036 üyesi olacak.
port26–>VLAN1035
port1-24–>VLAN1036 şeklinde untagged edilecek.
kenar#>config
kenar(config)#>vlan 1035
kenar(vlan-1035)#>name modem_blok
kenar(vlan-1035)#>tagged 25,26
kenar(vlan-1035)#>vlan 1036
kenar(vlan-1036)#>name ip_blok
kenar(vlan-1036)#>tagged 25
kenar(vlan-1036)#>untagged 1-24
kenar(vlan-1036)#>exit
kenar(config)#>write memory
kenar(config)#>
Böylelikle kenar switch üzerinde ki Vlan yapılandırmasını da gerçekleştirdik. Hem main hem kenar switchte vlan’ lere IP vermedik. Çünkü Routing işlemini Layer3te değil Firewall üzerinde yapacağız. Modem üzerindeki ayarlara geçelim.
Modem Ayarları:
Öncelikle modem Bridge moda alınır ki bağlantı parametrelerini firewall üzerinden set edebilelim. Airties VDSL 5650 için ayarladım, benzer şekilde de VLAN desteği olan başka bir modeme uyarlayınız.
Switchlerde açtığımız VLAN1035‘ i modemde de açalım ve interface tanımlayalım. Modem default olarak tüm interfaceleri (portları) default Vlan olan VLan1 e atadığı için öncelikle 4 nolu portu vlan 1 üyeliğinden alalım. Burada dikkat edilmesi gereken nokta port4‘e karşılık gelen interface Ethernet 3 tür. Aşağıdaki resimde de görebilirsiniz.
Modem yeniden başladıktan sonra tekrar LAN>Vlan Yapılandırma kısmından Yeni VLan oluştur butonuna basalım ve açılan sayfada
Modem VLAN Ayarları
Vlan Adı: modem_blok,
Vlan Id: 1035 yazalım. Burada id kısmı switchte tanımladığımız Vlan id ile aynı olmak zorundadır. Daha sonrada sol sütundaki Ethernet-3 yada Port 4 yazan interface’ i sağ tarafa yani yeni vlan’e tanımlayalım. kaydedelim.
Vlan protokolünde switch tarafından modemin görülebilmesi için Vlan 1035‘ e tagged edelim. Bunun için LAN>Port Ayarları bölümünde Port 4 satırının sonundaki ayarı Etiketle olarak değiştirelim. Yani tagged etmiş oluyoruz.
Vlan Bridge mode çalışan modemin tanımladığımız Vlan 1035 üzerinden haberleşebilmesi için İnternet>İnternet Ayarları menusunden Bu arayüzü şu köprüye ekle kısmında tanımladığımız Vlan adını seçelim.
Modemde son olarak arayüze ulaşılabilmesi için Vlan 1035 için management ip verelim. LAN>IP ve DHCP Ayarları bölümünde yeni vlan için DHCP kapalı olacak şekilde IP verelim. 10.0.35.3/255.255.255.0 olabilir.
Modem ve Switch konfigurasyonu bitti ve şimdi firewall ayarlarımızı yapacağız.
FIREWALL KONFİGURASYONU:
Routing ve Firewall işlemini Fortigate 224B üzerinde yapacağız. Farklı modeldeki firewall’ lar için uyarlanabilir şekilde anlatacağım.
Incoming (Gelen-İç) Interface = Port15
Outcoming (Giden-Dış) Interface = Port16 olarak belirleyelim.
System>Interface
Incoming interface için IP / Mask=0.0.0.0/0.0.0.0 ve Ping=ok. ayarlayalım.
Daha sonra Port 15 için VLan1036 üyesi interface tanımlayalım. Ayarları resimdeki gibi set edelim.
Outcoming port için IP / Mask= 10.0.35.1/24 ve ping=ok tanımlayalım.
Port16 dan modem bağlantı parametrelerini girmek için Vlan 1035 üyesi interface tanımlayalım. Bağlantı parametrelerinin girilebilmesi için PPPoE seçeneğini işaretleyiniz. Resimdeki gibi set edelim.
Firewall’ da Vlan tabanlı ayarlarımız bitti. Şimdi Routing ve Webfilter ayarları kaldı.
Routing:
Resimdeki gibi incoming ve outcoming portları belirleyerek dinamik yapıda basit bir route tanımlayalım.
Web Policy:
Yine aşağıdaki resimde gösterildiği üzere tanımlayabilirsiniz. Kısıtlamalar tamamen size ait.