Merhabalar,
Fortigate Firewall eğitim serisine ilk makalemiz Fortigate Eğitim Serisi Bölüm 1 : Fortigate Firewall Kurulum ve ilk Ayarlar ile giriş yapmıştık. Genel olarak ilk ayarları yaparak web arayüzü ile tanışmıştık. Bu makalede ise, network altyapısının ve interface konfigürasyonlarının nasıl yapılacağını göreceğiz.
Fiziksel donanımda, yapacaklarınız aslında daha kolaydır. Fakat Vmware Workstation ortamında kullanmak isterseniz biraz daha ayrıntılı işler yapmamız gerekmekte. O yüzden ben yine Vmware Workstation ortamına uyarlamayı uygun görüyorum. Fiziksel kurulumda zaten herşey çok kolay ve ilgili portlara network’ten gelen kabloları bağlayıp, web arabiriminden direkt olarak konfigüre ediyorsunuz.
Dolayısıyla bu makaleyi dört bölümde ele alacağım :
Bölüm 1: Vmware Workstation altyapısının hazırlanması
Bölüm 2: Vmware Workstation üzerinde Fortigate Sanal makine network tahsisi
Bölüm 3: Web arabiriminden network interface’lerin konfigürasyonu
Bölüm 4: Fortigate Lisans aktivasyonu
Dilerseniz hemen başlayalım.
Bölüm 1: Vmware Virtual Network Editor ayarları
Vmware workstation virtual network ayarları, kurulan sanal makinelerin fiziksel dünya ile nasıl haberleşeceğini, hangi IP bloklarının kullanılacağını, DHCP kullanılıp kullanılmayacağını, bridge ya da NAT yapısında olacağını belirleyen ayarlar topluluğudur. Dolayısıyla, workstation üzerinde Fortigate kullanacakların, topolojisinin temelinde olacak bir yapıdır ve önemlidir.
Peki bu ayarlara nereden ulaşıyoruz? Vmware Workstation programını açtığınızda Edit > Virtual Network Editor yolunu kullanarak bu yapılandırma arabirimine ulaşabilirsiniz.
ilk açılışta Default seçenekler olarak aşağıdaki gibi bir yapı göreceksiniz. IP bloğu sizde farklı olabilir, hiç önemli değil. Isterseniz aşağıdaki ayarlarla, isterseniz sizin uygun gördüğünüz ayarlarla kullanabilirsiniz.
Şimdi kendi network’lerimizi oluşturalım. Öncelikle ayar değişikliği yapmak istediğinizde Change Settings tıklamanız gerekiyor.
Sonrasında Add Network seçtiğiniz zaman aşağıdaki şekilde bir pencere açılacak. Buradan istediğiniz vmnet seçebilirsiniz. Boşta olan vmnet’ler listelenecektir. Peki Vmnet ne anlama geliyor? Vmnet, fiziksel PC’niz üzerinde oluşturulan Sanal Network kartıdır ve fiziksel/sanal ortama haberleşme işlemini bu kart üzerinden yapacak demektir.
Aşağıdaki gibi yeni network oluşturuldu. Host only oluşturmanızı ve DHCP işaretini kaldırmanızı öneriyorum. Çünkü IP dağıtma işini Fortigate üzerinden yapacağız.
Subnet IP bölümünde ise, virtual network editor’e baktığınızda hangi blok olduğunu görebilmeniz için ilgili aralığı tanımlayabilirsiniz. Bu bölüm çok önemli olmayacak ama Fortigate’de bu network’e hangi IP bloğunu verdiğimizi takip etmeniz açısından yararlı olacaktır. Sonrasında Rename Network ile istediğiniz bir tanımlayıcı isim verebilirsiniz.
Connect a host virtual adapter to this network seçeneğini işaretleyin. Yani aslında PC’nizde Network Connections altında bir network kartı açacak ve bu oluşturduğunuz network, o kart ile çevresiyle bağlantı kuracak. Yani, PC’niz üzerinde Network Connections ayarlarını açtığınızda, oluşturduğunuz her sanal network vmnet için bir Ethernet kartının oluşturulduğunu göreceksiniz.
Benim yapımdaki network’leri aşağıdaki gibi oluşturdum. IP blokları da hemen yanında gördüğünüz gibi. Fortigate üzerinde konfigürasyon yaparken bu bloklara göre konfigürasyon yapacağım.
Ayrıca fiziksel PC’niz üzerinde network kartlarının da isimlerini değiştirirseniz, daha rahat takip edilebilir bir ortam elde edebilirsiniz. Oluşturduğum sanal network hangi vmnet ise, o numaralı vmnet adaptörünün ismini aşağıdaki gibi değiştirdim.
Ayrıca bu kartların özelliklerine girip, IP adresi olarak o bloğun son IP adresini tanımlayın. Örneğin aşağıdaki gibi.
Yeni öğrenen arkadaşlarımız da olabilir aranızda ve bu işlemleri karmaşık bulabilirler. Ben onları da düşünerek, bu yaptığım tüm ayarların exportunu alıp buradan download edebilmenizi sağladım, sonrasında da kendi ortamınıza nasıl import edeceğinizi anlatacağım.
Bölüm 1a : Vmware Virtual Network ayarlarının export edilmesi (Yedeklenmesi)
Bu bölüm, yukarıdaki işlemleri yapamamış olanlar içindir. Eğer yukarıda anlattığım detayları gerçekleştirmişseniz, virtual network ayarlarınızı yedeklemek için de bu yöntemi kullanabilirsiniz. İleride workstation programını silerseniz ve tekrar yüklerseniz bu yöntemle aldığınız sanal network yedeğini geri yükleyebilirsiniz. Aynı işlemleri tekrar yapmadan eski ortamınıza kavuşmuş olursunuz.
Yedekleme yapmak isteyenler için;
PC’nizde “Run As Administrator” seçeneği ile bir komut satırı açarak aşağıdaki lokasyona geçiş yapın ve export komutunu uygulayarak yedeğini alın. ( — işaretinden sonra bir boşluk vererek export yazılacak.)
Bölüm 1b : Vmware Virtual Network ayarlarının import edilmesi (Geri yüklenmesi)
Yedeği geri yüklemek isteyenler için;
PC’nizde “Run As Administrator” seçeneği ile bir komut satırı açarak aşağıdaki lokasyona geçiş yapın ve import komutunu uygulayarak yedeğini alın.
Network oluşturmayı karmaşık bulan arkadaşlarımız, yukarıdaki linkte verdiğim, benim oluşturduğum networklerin yedeklerini bu şekilde import ederek kendi sistemleri için kullanabilirler.
Import işleminden sonra, benim yukarıda oluşturduğum sanal network’lerin aynısına sahip olacaksınız. Fakat import işleminden sonra kendi PC’nizde network connections altında sanal Ethernet kartlarını göremeyeceksiniz. Bunun için her sanal network ayarında aşağıdaki seçeneği işaretlemeniz gerekiyor.
Bunları da yaptıktan sonra network connections altında vmnet’lerinizi görebileceksiniz. Fakat isimlerini sizin değiştirmeniz gerekiyor. Aşağıdaki isimlerle oluşmayacaktır.
Bölüm 2: Workstation üzerinde Fortigate Sanal makine network tahsisi
Yukarıdaki işlemlerden sonra sanal makine özelliklerine girip, her bir network kartını, oluşturduğumuz sanal network’e bağlama işimiz kaldı. Ben aşağıdaki gibi bir yapı kurdum.
- Port1 : Management
- Port2 : Şimdilik boş
- Port3 : WAN-1-VDF
- Port4 : WAN-2-SUPERONLINE
- Port5 : SINIF-1
- Port6 : SINIF-2
- Port7 : SINIF-3
- Port8 : SINIF-4
- Port9 : Şimdilik boş
- Port10 : DMZ olarak kullanabilirsiniz ya da sizin istediğiniz herhangi bir network
Aslında bu noktaya kadar yaptığımız işlemlerin özeti aşağıdaki diyagram olacaktır. Oluşturmaya çalıştığımız ortama dair daha net bir bakış oluşturacaktır. Burada WAN portları gerçek IP’lerin olduğu ve dışardan gelen hatlar değil, NAT sanal network’ünden verdiğimiz IP’lerle çalışan portlar. Biz burada dışarıdan geliyormuş gibi düşüneceğiz. Ön tarafta uynet modemi var ve aslında onun üzerinden internete çıkacağız. Fortigate’i merkezi nokta kabul edip uydunet modemi aradan çıkarmak isterseniz, modemi bridge mode’a almak suretiyle gelen ve giden tüm trafiği Fortigate üzerinden kontrol edebilirsiniz.
Bu tablo doğrultusunda, sanal makine özelliklerine girip, network kartlarını daha önceki adımlarda oluşturduğumuz Fortigate Network’lerine çekelim. Bendeki durum aşağıdaki gibi. Network Adapter 3 ve 4 benim WAN portlarım olacak. Dış IP olmadığı için onları NAT network’e alıp, yukarıdaki NAT network’ten IP almasını sağladım. WAN-1 ve WAN-2, internet servislerinin yedekliliğini ve önceliklendirilmesini göstermek amacıyla oluşturuldu. İlerideki makalelerde policy yazarken bu konuya değineceğim.
Bölüm 3 : Web arabiriminden interface ayarlarının yapılması
Artık web arabiriminden ayarlarımızı yapmak için hazırız. Her interface için aslında komut satırından da nasıl konfigürasyon yapabileceğinizi, bu serinin ilk makalesinde yazmıştım. Bundan dolayı şimdi sadece web arabiriminden bu konfigürasyonları yapacağım. Grafik arabirimden bu ayarlar daha pratik şekilde yapılmakta.
Management IP adresini web browser’a yazarak admin kullanıcısı ile firewall’a login oluyoruz.
Network > Interfaces sekmesinden tüm interface ayarlarımızı yapacağız. Ben aşağıdaki gibi daha önceden hazırladığım için, her bir port için yaptığım isimlendirmeleri de görmektesiniz. Şimdi örnek olarak Port 5 SINIF-1 network interface için daha önce belirlediğimiz ayarları uygulayalım. Daha sonra siz de diğer interface’ler için aynı şekilde ayarlarınızı yapabilirsiniz.
Port 5 ‘i işaretleyelim ve edit seçelim.
Aşağıdaki gibi gerekli ayarlarımızı yapıyoruz.
Alt kısımdaki advanced ayarları da aşağıdaki gibi yapalım.
Bu interface için ilk ayarlarımızı tamamlamış olduk. Peki burada yaptığımız ayarlar ne anlama geldi?
- Bu interface için bir ALIAS verdik ve LAN tipinde bir arabirim olduğunu belirttik
- IP adresini static olacak şekilde 15.1.15.1 / 255.255.255.0 olarak tanımladık
- Bu arabirime bağlı tüm cihazlara otomatik IP dağıtmak için DHCP aktif ettik
- 15.1.15.3 ile 15.1.15.253 arasında IP adresi dağıtılmasını sağladık. Neden 3 numaralı IP den başladık derseniz, 1 numara kendi IP’si ve aynı zamanda bu arabirime bağlı tüm sistemler için gateway olacak, 2 numaralı IP vmware workstation sanal networkleri için gateway oluyor genelde. Son IP olan 253 IP’sini de vmnet sanal network kartına tanımladık. Bundan dolayı DHCP ayarlarımız bu şekilde oldu.
- Son olarak bu interface’i enable ettik
Tüm arabirimlerin konfigürasyonunu aşağıdaki gibi yapabilirsiniz. Dikkat etmeniz gereken nokta, WAN ya da DMZ interface yapılandırması için, role kısmında WAN ya da DMZ seçimi yapmalısınız.
Benim network ayarlarımı download eden arkadaşlarımız aşağıdaki gibi diğer tüm ayarları yapabilirler.
Burada WAN-1 ve WAN-2’yi NAT network seçtim ve DHCP den IP alacak şekilde konfigüre ettim. Ön tarafında internet bağlantımın geldiği uydu modem olduğu için herhangi bir ayar yapmadan internet bağlantısı algılamaktadır. Dolayısıyla Dashboard üzerinde dış IP adresim görünmekte.
Bölüm 4: Fortigate Lisans aktivasyonu
Öncelikle https://support.fortinet.com üzerinde bir hesabımızın olması gerekiyor. Anasayfayı açalım ve burada Register/Activate Contracts seçelim.
Lisans numarasını giriyoruz ve Next ile devam ediyoruz.
Bu ürün için bir isim veriyoruz ve partner seçimi yaparak Next ile devam ediyoruz.
Sözleşmeyi de kabul ediyoruz elbette 🙂
Aktivasyon başlangıç ve bitiş tarihlerini görüyoruz. Kutucuğu işaretleyip Confirm seçiyoruz.
Son adımda License File Download seçerek fortigate’e upload etmek üzere .lic uzantılı dosyamızı kaydediyoruz.
Sonrasında web arabiriminden System > Fortiguard sekmesine geçiyoruz. Az önce download ettiğimiz dosyayı buraya upload ediyoruz.
Sonrasında sistem reboot eder.
Lisans dosyası doğrulandı ve yeniden login oluyoruz.
Yeniden fortiguard sekmesine geldiğimizde lisans bilgilerimizi görebiliriz.
Dashboard sekmesine gelirsek buradan da lisans girişinin yapıldığını görebiliriz.
Artık tüm özellikleri kullanabilir durumdayız.
Yararlı olması dileğiyle.
Yusuf İşleyen