Merhaba, bu makalemizde pfSense güvenlik duvarı üzerinde VPN server nasıl oluşturabileceğimize değineceğim, İnternette genelde openVPN değinilmiş bizde pfSense ileL2TP/IPsec VPN server oluşturma konusuna bakacağız. İlk önce ağ yapımıza bir bakalım.
Kullanıcılar 192.168.1.0/24 ip aralığında pfsense üzerinden modem aracılığı ile internete çıkmaktadır. Pfsense içerde 192.168.1.0/24 ip dağıtmakta modem tarafında ise 10.119.5.131 ip si ile iletişim kurmaktadır. Topolojide 3 modem görünmekte biz 1 modem kullanmaktayız.
Şimdi burada yapmamız gereken işlemlerden biri Wan tarafında modemden VPN için port açmamız gerekmektedir. L2TP protokolünü kullanacağımız için 1701 UDP portunu 10.119.5.131 ipsine yönlendirmeniz yada direk dmz vererek yönlendirmeniz gerekmektedir. Tavsiyem port yönlendirmesi yapılması daha güvenilir olacaktır. Kuruluma geçelim
L2TP Yapılandırması
Üst menüden VPN->L2TP seçelim,
Resimlerde de belirttiğim gibi formu doldurun. Dikkat etmeniz gereken IP adresi belirlerken güvenlik duvarıyla aynı ip sahip olmaması, farklı bir ip adresi vermeniz gerekmektedir. Yukardaki resimde bulunan bilgileri girmeniz yeterli olacaktır. L2TP için gerekli ayarlar bu şekilde olup Save butonu ile işlemleri kaydedelim.
Kullanıcı oluşturma
Bağlantı sağlayacak kullanıcıları Radius sunucusu yada kendi oluşturacağınız kullanıcılar ile sağlayabilirsiniz, biz kendimiz kullanıcı oluşturacağız. Bunun için aynı sayfada User linkine tıklayınız. Açılan sayfada +Add butonuna tıklayınız.
Kullanıcı adı ve şifre belirleyip Save butonuna tıklayınız.
2 Adet kullanıcı oluşturduk. L2TP kısmında işlemlerimiz bu kadar, Şimdi IPsec kısmına geçelim.
IPsec Yapılanması.
Üst menüden VPN->IPsec linkine tıklayınız, açılan sayfadan Mobile Clients seçiniz.
IKA enable edip local domaini seçtikten sonra Save butonu ile kaydedelim. Kayıt işlemi sonrasında aşağıdaki gibi uyarı gelecek;
Apply Changes butonuna basarak yaptığımız değişiklikleri sisteme tanıtalım, ardından +Create Phase 1 butonuna tıklayarak 1. aşamayı oluşturalım.
Formu yukardaki gibi doldurup Save butonuna tıklayınız, ardından çıkacak olan Apply Changes butona basarak yaptığımız değişiklikleri sisteme tanıtalım.
Tunnels kısmında yukardaki gibi bir lite oluşacak +Add P2 tıklayalım.
Yukardaki gibi formu doldurup Savr butonuna çıkan sayfada Apply Changes butona basarak yaptığımız değişiklikleri sisteme tanıtalım.
Yukardaki gibi bir listemizi hazırladık, şimdi kullanıcıların bağlanması için ortak bir key oluşturmamız gerekmektedir. Bunun için aynı sayfada Pre-Shared Keys linkine tıklayınız ve açılan sayfada +Add butonuna basınız.
identifiy: allusers / Secret type olarak PSK / Pre-Shared Keys olarak kendi belirlediğiniz bir key oluşturup Save butonuna tıklayınız. Açılan sayfada Apply Changes butona basarak yaptığımız değişiklikleri sisteme tanıtalım. IPsec kısmında işlemlerimizi tamamladık, şimdi sıra DNS Resolver servisine L2TP de kaydettiğimiz ip adreslerini tanımlamaya geldi.
DNS Resolver
Dns Resolvere L2TP de belirtiğimiz ip adreslerini kaydetmemiz gerekmekte, bunun için üst menüden Services->DNS Resolver bağlantısını seçiniz. Açılan sayfadan Access Lists linkine girip +Add butonuna tıklayınız.
Yukardaki gibi formu doldurup Save butonuna tıklayınız. Açılan sayfada Apply Changes butona basarak yaptığımız değişiklikleri sisteme tanıtalım.
İp adresimizi DNS Resolver tanıttık. Buradaki işlemlerimiz de bitti, sıra dışardan erişim için firewall da kural oluşturmaya geldi.
Rules oluşturma
Bu aşamada 1701 portuna dışardan erişebilmeleri için kural oluşturacağız, İlk önce üst menüden Interfaces->Wan seçelim.
En alta inip Reserved Networks den seçili kutucukları kaldıralım. Apply Changes butona basarak işlemi kaydedelim. Kuralı tanıtmak için, Firewall->Rules gelelim.
WAN bacağı kısmında Add butonuna basalım.
Burda dikkat etmeniz gereken protokol olrarak UDP seçmeniz gerekmektedir. Save butonuna tıklayın açılan sayfada Apply Changes butona basarak işlemi kaydedelim.
Wan bacağı tarafında kuralı tanımladık, şimdi L2TP VPN ve IPsec bacaklarında kural oluşturmak. L2TP VPN linkine tıklayıp açılan sayfada Add butonuna tıklayınız.
Yukardaki gibi kuralları oluşturup, protokol olarak any seçmeyi unutmayınız, Save butonuna tıklayınız. Açılan sayfada Apply Changes butonu çıkacak tıklayarak işlemi kaydedelim.
L2TP Van bacağı tarafında kuralımızı oluşturduk, sıra IPsec bacağında kural oluşturmaya geldi, bunun için IPsec linkine tıklayınız açılan sayfada Add butonuna basınız.
Yukardaki gibi formu doldurup, protokol olarak any seçmeyi unutmayınız, Save butonuna tıklayınız, açılan sayfada Apply Changes butonu çıkacak tıklayarak işlemi kaydedelim.
IPsec bacağında da kural oluşturma işlemi tamamlandı, artık kullanıcılarımız uzaktan bağlantı sağlayabilirler.
Vpn Bağlantısı Oluşturma
Şimdi bir test edelim, bunun için bir Vpn bağlantısı ekleyelim.
Herhangi bir bağlantı ismi veriyoruz, VPN türü olarak L2TP/IPsec seçiyoruz, belirlediğimiz Pre-Shared Keys giriyoruz, oluşturduğumuz kullanıcı bilgilerini de ekledikten sonra Kaydet diyerek test edelim bağlantıyı,
Bağlantımız tamam 10.13.177.129 ip ile pfsens aracılığı ile L2TP/IPsec VPN server yardımıyla ofisimize bağlandık.
Uzak masaüstü yapalım
Uzak masa üstü ile iş yerindeki bilgisayarımızın biri ile rdp yaptık, işinize yaraması umuduyla.
Kaynak:
https://docs.netgate.com/pfsense/en/latest/recipes/l2tp-ipsec.html
Ayarları birebir aynı yaptım ancak bağlantı kuramadım. port yönlendirmede sorun yok. Acaba kullanıcı kısmında ek izinler mi gerekli, yardımcı olabilir misiniz?
Google üzerinden port sorgula yazıp dış ip adresiniz ile 1724 portunu kontrol ediniz açık görünüyor mu?
1701 portu demek istediniz herhalde. L2tp için ayarlı iken port kapalı görünüyor. Ancak bilgisayarda “port listener” gibi bir araçla ilgili portu çalıştırıp pfsense ten pc ye yönlendirince çalışıyor.
Evet pardon 1701 olacak, pptp ile karıştırdım, Eğer port arama sitelerinden modemin aldığı dış port üzerinden portun açık olmadığını görüyorsanız, modemden portunuzun dışarı açık olmadığı anlamına gelir, modemden tüm ayarları yapmanıza rağmen port aktif olmuyorsa ve tüm ayarlardan eminseniz Telekom yada hangi alt yapıyı kullanıyorsanız size port yönledirme yetkisi vermeyi isteyebilirsiniz, servis sağlayıcınız port yönlendirmeyi kapatmış olabilir. İyi çalışmalar.