Category: NETWORKING

Netmask ; Maximum Subnet Hosts değerleri

No Comments

Netmask Address Prefix Length Hosts / Class C’s / Class B’s / Class A’s
255.255.255.255 /32 1
255.255.255.254 /31 2
255.255.255.252 /30 4
255.255.255.248 /29 8
255.255.255.240 /28 16
255.255.255.224 /27 32
255.255.255.192 /26 64
255.255.255.128 /25 128
255.255.255.0 /24 (Class C) 256 / 1
255.255.254.0 /23 512 / 2
255.255.252.0 /22 1,024 / 4
255.255.248.0 /21 2,048 / 8
255.255.240.0 /20 4,096 / 16
255.255.224.0 /19 8,192 / 32
255.255.192.0 /18 16,384 / 64
255.255.128.0 /17 32,768 / 128
255.255.0.0 /16 (Class B) 65,536 / 256 / 1
255.254.0.0 /15 131,072 / 512 / 2
255.252.0.0 /14 262,144 / 1024 / 4
255.248.0.0 /13 524,288 / 2048 / 8
255.240.0.0 /12 1,048,576 / 4096 / 16
255.224.0.0 /11 2,097,152 / 8129 / 32
255.192.0.0 /10 4,194,304 / 16,384 / 64
255.128.0.0 /9 8,388,608 / 32,768 / 128
255.0.0.0 /8 (Class A) 16,777,216 / 65,536 / 256 / 1
254.0.0.0 /7 33,554,432 / 131,072 / 512 / 2
252.0.0.0 /6 67,108,864 / 262,144 / 1,024 / 4
248.0.0.0 /5 134,217,728 / 524,288 / 2,048 / 8
240.0.0.0 /4 268,435,456 / 1,048,576 / 4,096 / 16
224.0.0.0 /3 536,870,912 / 2,097,152 / 8,192 / 32
192.0.0.0 /2 1,073,741,824 / 4,194,304 / 16,384 / 64
128.0.0.0 /1 2,147,483,648 / 8,388,608 / 32,768 / 128
0.0.0.0 /0 (The Internet) 4,294,967,296 / 16,777,216 / 65,536 / 256

0 – 256 Hosts or Subnets
128 – 128 Hosts or Subnets
192 – 64 Hosts or Subnets
224 – 32 Hosts or Subnets
240 – 16 Hosts or Subnets
248 – 8 Hosts or Subnets
252 – 4 Hosts or Subnets
254 – 2 Hosts or Subnets
255 – 1 Host or Subnet

Fortigate 60 D ve Draytek 2760 üzerinde ipsec vpn kurulumu

No Comments

Merhaba , bu makalede fortinet ve draytek cihazları arasında ipsec vpn yapılandırmasıdan bahsedeceğim.Vpn,noktadan noktaya güvenli bir şekilde bağlanmanızı sağlar.Birden fazla vpn metodu mevcuttur,pptp ,lt2p/ipsec,ssl vpn sahada en çok karşılaşılan vpn türleri olarak karşımıza gelmekte.Ipsec vpn neden kullanılır diye düşünürsek şubelerinizi biribirine bağlamak ve ya şubenizi merkeze bağlamak için ipsec kullanırsınız.Ipsec layer 3 katmanında çalışır , yani uygulama bağımsızdır.Vpn ipsec destekleyen tüm network cihazlarınızla kurulum yapabiliyorsunuz.Ipsec vpn dezavantajı olarak cihaz üzerinde aşırı bir cpu yükü (trafik üzerinde encryption,decryption ve uyumsuzluk sorunları) farklı ürünlerle ipsec vpn yaparken problem yaşayabiliyorsunuz,(phase1 ve phase2’nin stabil olamaması gibi.)Bunun dışında ipsec vpn size ; kimlik doğrulama,veri bütünlüğü,doğruluğu ve gizliği sağlar.Verilerinizi kapsulleyerek bir tünelleme yoluyla noktadan noktaya güvenilir bir şekilde ulaştırır.

Senaryoda bir adet fortigate 60d ve draytek 2760 ürünleri arasında ipsec vpn kurulumu yapılandırılacak ve merkez kaynaklarına erişim sağlanacak.

Fortigate 60 D v5.2.1,build618 (GA) – Merkez ofis – local subnet 192.168.1.0/24 ( kullanıcı ve cihaz sayısı fazla olmadığı için subnet yeterli , büyük yapılarda ciddi bir subnet hesaplaması gereklidir.Böyle bir network de en fazla 254 cihaza ip sağlayabilirsiniz.

Draytek 2760 ver 3.7.5.4 – şube – local subnet 10.0.1.0/24

Şunu da belirtmek istiyorum , ürünlere ve tercihlere göre bir çok kurulum ve konfigurasyon olabilir.Fortigate ve draytek arasında saha deneyimlerime göre en stabil olduğunu düşündüğüm kurulumu yapacağım.

Öncelikle draytek tarafında kurulumu yapacağım.

Draytek web gui üzerinde “vpn and remote acess”bölümüne gelip, “lan to lan” sekmesine geliyoruz.profile bölümünde boşta olan ve ya ilk sıradaki 1.profile tıklıyoruz.

draytek1

İp security method kısmında “3des with authentication” ı seçip “advanced”kısmına geliyoruz.

draytek2

Mode olarak aggressive mode’u seçtikten sonra phase1 ve phase2 kısımlarını tanımlıyoruz.Bu kısımlar önemlidir.Phase1 kısmında hem draytek tarafında hem de fortigate üzerinde iki adet proposal tanımlayacağız.Phase2 kısmında tek proposal kullanacağız.

Key life time değerleri iki tarafda da aynı olmak zorunda.

draytek3

3.Dial-in settings kısmında dial-in type kısmında Ipsec tunnel i işaretliyip,diğer tanımları kaldırıyoruz.Eğer bu kutucukları dolu bırakırsınız sizden pptp yapılandırmasınıda isteyecektir.Tcp/ip network settings kısmında remote network ip tanımı olarak fortigate cihazında tanımlı olan internal local subnet tanımı yapıyoruz.Bu adres fortigate cihazınızın internal interface kısmı.Ok diyerek ilk konfigurasyonu tamamlıyoruz.

Vpn and remote access kısmında bu sefer “ipsec general setup ” bölümüne geliyoruz.

draytek4

Lan to lan bölümünde ike authentication method olarak kullandığımız aynı pre-shared key i aynı şekilde buraya yazıyoruz. Esp ksımında des 3des ve aes kutucuklarını işaretliyoruz.Ok diyerek işlemi tamamlıyoruz.Draytek tarafında kurulum bitti.Fortinet tarafına geçiyoruz.

Fortigate 60 D üzerinde vpn sekmesine geçmeden önce local subnet ve remote subnet tanımlarını yapmamız gerekiyor.Bu tanımları daha sonra vpn için kural yazarken kullanacağız.

draytek5

Local ve remote subnet yani merkez ve şube subnet tanımlarını yaptıktan sonra ipsec vpn kurulumuna başlayabiliriz.Vpn sekmesine gelip ipsec–>tunnel–>create new diyerek yeni vpn profili oluşturuyoruz.

fortigate1

Fortigate burada bize hazır birçok config template sunuyor.İpsec yapacağınız cihaza göre template seçebilirsiniz.Bu templateler içerisinde phase1,phase2 ,diffie hellman group tanımları otomatik olarak gelmekte.Şuan da draytek için bir template yok bu yüzden maneul oluşturmak zorundayız.Profil için belirleyici bir isim yazıp “costum VPN tunnel(no template) ” seçip,ilerliyoruz.

fortigate2

Remote gateway  : Static ip address

Ip address : Draytek wan ip adresini yazıyorum.

fortigate3

Bu kısım önemli pre-shared key tanımına draytek üzerinde tanımladığımız şifreyi yazıyoruz.Mode olarak “aggressive” olmalı,draytek üzerinde lan to lan kısmında da modu aggressive olarak ayarlamıştık.Peer options kısmında any peer id olarak bırakıyoruz.

fortigate4

Phase1 bölümünde propsal encryption tanımlarımızı yapıyoruz.Draytek üzerinde 2 adet encryption tanımlayacağız demiştik. Diffie hellman group olarak “2” yi seçiyoruz.Draytek cihazlarda bu grup varsayılan olarak 2 dir. Key life time değerlerininde iki tarafda aynı olması gerektiğini söylemiştik.

fortigate5

Phase2 bölümünde lokal ve şube subnet tanımlarını yazıyoruz.Phase 2 proposal bölümünde tek encryption belirleyeceğiz demiştik.Draytek tarafında phase2 kısmında bu şekilde tanımlamıştık.Aynı şekilde key lifetime değerleride draytek üzerindeki değerlerle aynı olmalı.

İpsec kurulumu tamamlandı,şimdi sırada vpn için static route ve vpn policy tanımlamamız gerek.

fortigate6

Static route ile şube network ‘ünden gelen herhangi ip “device”kısmında ipsec vpn ile oluşturmuş olduğumuz vpn profilinden yararlanarak local subnet e yönlendirilmiş olacak.

fortigate7

ipsec vpn için lokal subnet ten remote subnet e yani merkezden şubeye ve aynı şekilde şube den merkez network e erişim için policy tanımlaması yapıyorum.Böylece ipsec vpn kurulumu tamamlanmış oluyor.İpsec monitore gelerek vpn durumunu kontrol edelim.

fortigate8

Draytek tarafında vpn durumunu kontrol edelim.

draytek6

İki taraftada ipsec vpn bağlantımız stabil görünüyor.Başka bir makalede görüşmek üzere.

Hp Switch – Configuration

No Comments

Hp switch’ler üzerinde genellikle yapılan standart ayarlar ;

Switch’e Hostname verin.

HP Procurve 2910al(config)# hostname Switch-1
Switch-1(config)#

Password’leri set edin.

Switch-1(config)# password all
New password for operator: *******
Please retype new password for operator: *******
New password for manager: *******
Please retype new password for manager: *******
Switch-1(config)#

Time zone’u ve time server’lari (192.168.1.200 gibi) set edin.

Switch-1(config)# time timezone 120
Switch-1(config)# time daylight-time-rule Western-Europe
Switch-1(config)#
Switch-1(config)# sntp server 192.168.1.200
Switch-1(config)# sntp server priority 1 192.168.1.200
Switch-1(config)# timesync sntp
Switch-1(config)# sntp unicast
Switch-1(config)# sntp 300
Switch-1(config)#

Default Gateway IP adresini set edin.

Switch-1(config)# ip default-gateway 192.168.1.1
Switch-1(config)#

Management için belli IP adreslerine izin verin.

Switch-1(config)# ip authorized-managers 192.168.1.200 255.255.255.255
Switch-1(config)#

veya

Switch-1(config)# ip authorized-managers 192.168.1.0 255.255.255.0
Switch-1(config)#

Ayrica radius server varsa veya uygulabiliyorsa, bu server’la authentication yapilabilir.

Switch-1(config)# radius-server host 192.168.1.200 key secret_key1
Switch-1(config)# radius-server timeout 1
Switch-1(config)# radius-server retransmit 1
Switch-1(config)# aaa authentication console login radius local
Switch-1(config)# aaa authentication console enable radius local
Switch-1(config)# aaa authentication telnet login radius loca
Switch-1(config)# aaa authentication telnet enable radius local
Switch-1(config)# aaa authentication web login radius local
Switch-1(config)# aaa authentication web enable radius local
Switch-1(config)# aaa authentication ssh login radius local
Switch-1(config)# aaa authentication ssh enable radius local
Switch-1(config)# aaa authentication login privilege-mode
Switch-1(config)#

Logging ayarlarini set (logging host olarak 192.168.1.200 gibi) edin.

Switch-1(config)# logging 192.168.1.200
Switch-1(config)# logging facility local0
Switch-1(config)#

Genel SNMP ayarlarini (snmp trap’lerini 192.168.1.200 IP adresine göndermek gibi) set edin.

Switch-1(config)# snmp-server host 192.168.1.200 “public”
Switch-1(config)# snmp-server community “public” manager restricted
Switch-1(config)#

Switch’e erisimi SSH ve HTTPS ile yapilacak sekilde set edin.

Switch-1(config)# crypto key generate ssh
Switch-1(config)# ip ssh
Switch-1(config)# crypto key generate cert 1024
Switch-1(config)# web-management ssl
Switch-1(config)# no web-management plaintext
Switch-1(config)# no telnet-server
Switch-1(config)#

Switch port’larinin hizlarini ve baglanti parameterlerini set edin. Dogal olarak baglanan aygita bagimli olarak
düzgün bir setting yapilmasi lazim.

Switch-1(config)# interface 1
Switch-1(eth-1)# name “Server Connection”
Switch-1(eth-1)# speed-duplex auto-1000
Switch-1(eth-1)# exit
Switch-1(config)#

Switch’ler arasi veya server’lara birden fazla port ile baglanti durumunda Port Trunk ayarlarini set edin.

Switch-1(config)# trunk 1-4 trk1 trunk
Switch-1(config)#

veya

Switch-1(config)# trunk 1-4 trk1 lacp
Switch-1(config)#

Switch port’larinda broadcast limitini (toplam port bant genisliginin %20’si gibi)set edin.

Switch-1(config)# interface 1
Switch-1(eth-1)# broadcast-limit 20
Switch-1(eth-1)# exit
Switch-1(config)#

Switch üzerinde Spanning Tree protokolünü aktif edin.

Switch-1(config)# spanning-tree
Switch-1(config)# spanning-tree force-version rstp-operation
Switch-1(config)#

Switch port’larinda BPDU (Bridge Protocol Data Units) filtrelemesi yapin.

Bu port’lara baska bir switch’in veya Spanning Tree protokolü ile iletisimde bulunan baska bir aygitin takili
olmadigina dikkat edin. Filtreleme yapinca ilgili port’tan bridge ile ilgili paketlerin gelmesi engellenmis
olacagindan bu port’ta Spanning Tree protokolü aktif olarak çalismayacaktir.

Switch-1(config)# spanning-tree 1-23 bpdu-filter
Switch-1(config)# spanning-tree 1-23 bpdu-protection
Switch-1(config)#

Switch port’larinda loop’u engellemek için gerekli ayari yapin (24 no’lu port diger switch’e baglanti için).

Switch-1(config)# loop-protect 1-23
Switch-1(config)#

Switch üzerinde DHCP (Dynamic Host Configuration Protocol) snooping ayarini set edin. Bu ayar sizin isteginiz
disinda agda DHCP servisi çalistiran bir host’un IP dagitmasini engeller (iki DHCP server var 192.168.1.200 ve
192.168.1.201 gibi). Client’larin bagli oldugu port’lar 2-20 gibi bunlarin güvenilir oldugunu belirtmek gerekli.

Switch-1(config)# dhcp-snooping
Switch-1(config)# dhcp-snooping vlan 1
Switch-1(config)# dhcp-snooping authorized-server 192.168.1.200
Switch-1(config)# dhcp-snooping authorized-server 192.168.1.201
Switch-1(config)#
Switch-1(config)# interface 1-23
Switch-1(eth-2-20)# dhcp-snooping trust
Switch-1(eth-2-20)# exit
Switch-1(config)#

Bunun yaninda IGMP (Internet Group Management Protocol) ve MLD (Multicast Discovery Protocol) snooping
ayarlarini da yapabilirsiniz.

Switch üzerinde ARP (Address Resolution Protocol) korumasini aktif edin. Öncelikle DHCP snooping’in set edilmesi
gerekiyor. Vlan 1 için arp protect set edildi ve diger switch’e veya router’a baglanti için kullanilan port 24 no’lu
port trust edildi (bu port üzerinde arp kontrolü yapilmasin).

Switch-1(config)# arp-protect vlan 1
Switch-1(config)# arp-protect trust 24
Switch-1(config)#

Switch üzerindeki Vlan’lara IP adresi verin ve IP routing özelligini aktif edin.

Switch-1(config)# vlan 1
Switch-1(vlan-1)# ip address 192.168.1.21 255.255.255.0
Switch-1(vlan-1)# exit
Switch-1(config)#
Switch-1(config)# ip routing
Switch-1(config)#

Switch üzerinde port’lar ve kablolama ile ilgili bazi hatalari algilamak için asagidaki ayarlari set edin.

Switch-1(config)# fault-finder bad-driver sensitivity high
Switch-1(config)# fault-finder bad-transceiver sensitivity high
Switch-1(config)# fault-finder bad-cable sensitivity high
Switch-1(config)# fault-finder too-long-cable sensitivity high
Switch-1(config)# fault-finder over-bandwidth sensitivity high
Switch-1(config)# fault-finder broadcast-storm sensitivity high
Switch-1(config)# fault-finder loss-of-link sensitivity high
Switch-1(config)# fault-finder duplex-mismatch-hdx sensitivity high
Switch-1(config)# fault-finder duplex-mismatch-fdx sensitivity high
Switch-1(config)#