IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Check Point R77 – Mobile Access & Endpoint VPN

 

Merhaba,

Yazımda, Check Point R77 ‘nin; EndPoint VPN hizmetinden ve Mobile Access blade’inin yapılandırmasından bahsedeceğim. Lab topolojimi önceki yazılarımda paylaşmıştım. Aynı topolojiyi kullanıyorum. İncelemek isterseniz, https://aydogmusoglu.com/wp-content/uploads/2014/04/clip_image002.jpg adresini ziyaret edebilirsiniz.

Gateway(yapımdaki gateway’ler cluster mode’unda idi) özelliklerinden Mobile Access işaretliyoruz. Sonrasında sihirbaz açılıyor.

clip_image002

Açılan sihirbazdaki yönergeleri takip edebilirsiniz.

clip_image004

Mobile Device kısmını incelemek istemediğim için seçmedim. Web hizmetini ve Desktop & Laptop Endpoint hizmetini seçtim.

clip_image006

Portal adresini, gateway’lerimin external cluster ip adresi olacak şekilde belirledim. Bu uygulamaya özgü bir ssl sertifikası hazırlamadım. Auto-Generated sertifikayı kullanıyorum.

clip_image008

Varsayılanda gelen bir demo web sayfasının, web ssl vpn portalında görünmesi için seçtim.

clip_image010

AD ile entegrasyon işlemini bu aşamada yapabilirsiniz. Daha sonraya da bırakabilirsiniz. Bu aşamada yapmayı tercih ediyorum.

clip_image012

SSL VPN web portalına bağlanabilecek kullanıcılar, üstte görülen AD grubunun üyeleri olacaktır. İsterseniz tek tek user account seçebilirsiniz. Bu aşamadaki yapılandırma, Desktop&Laptop endpoint client’ını kullanacak olan kişileri etkilemez! Client paketini kullananlar için Remote Access community’sini kullanınız!

clip_image014

Finish ile sihirbazı tamamlaynız. SSL VPN Web portal’ından vpn erişimini hemen test edebilirsiniz. Desktop & Laptop endpoint client kullanacaklar için,Endpoint VPN client paketini , ilgili bilgisayarlara yüklemelisiniz.

Destop & Laptop Endpoint paketinin kurulumunu aşağıdaki adımlar ile kolayca gerçekleştirebilirsiniz. Endpoint client paketini yükleme esnasında, aşağıdaki seçenekleri, yapınıza uygun şekilde seçmelisiniz.

Kurulum tamamlandıktan sonra, task bar’da, saat simgesinin yanında, kilit icon’u şeklinde yerini alıyor yazılımımız. Yazılımı ilk defa açtığınızda, yapmanız gereken bir yapılandırma var.İlk çalıştırışınızda aşağıdaki yönlendirme ile karşılaşıyorsunuz.

image

“Yes” ile devam edelim ve vpn site’ını ekleyelim.

clip_image016

Üstteki ekrandaki bilgileri, Güvenlik Sistemleri(Fuat, endpoint vpn istiyorum duyrulur! , split tunnel’dan yoruldum J ) departmanınızdan öğrenebilirsiniz.

clip_image017

Her seçenek için , gateway’ler tarafında farklı yapılandırmalar gerekebilir. İlk seçim, minimum zahmetli olanıdır J İlk Seçim ile devam ediyorum.

clip_image018

VPN site’ımızı oluşturduk. Şİmdi bir kullanıcı ile bağlanmayı test edebilirsiniz. Daha önce de belirttiğim gibi, Endpoint client kullanımının hangi kullanıcılara tanınacağını, Remote Access community’sinin ayarlarından belirleyebilirsiniz! Aşağıdaki gibi belirliyorum.

clip_image020

LDAP seçimi ile domain’den kontrol yaptırtabilirsiniz. Internal seçimi ile de Check Point’teki local account’ları kullanabilirsiniz.

clip_image021

Daha önce mobile access için belirlediğim AD grubunu, endpoint remote access için de kullanıyorum.

clip_image022

Policy Installation ile devam ediyorum.

Mobile portaldan VPN ile bağlanmak için ve Endpoint client yazılımı ile VPN bağlantısı kurabilmek için yapımızı hazırlamış olduk.Farklı şekilde ifade etmek isterse, VPN ile security gateway’e bağlanmak için, bahsettiğim endpoint client yazılımını kullanabilirsiniz ve/ya https://gw_ip_address/sslvpn şeklinde Web portal’ını kullanabilirsiniz.

VPN hizmetinden faydalanmak isteyen bir kullanıcı, endpoint vpn client yazılımı ile ve/ya mobile vpn portal ile bağlanma girşiminde bulunduğunda, aşağıdakilere benzer log’ları görebilirsiniz.

clip_image024

İzinli kullanıcı giriş yapabilirken, izinsiz kullanıcı bağlanamaz. Lab’ımda; Check Point VPN Users AD group’una üye kullanıcıları, hem mobile portal’dan vpn bağlantısı kurabilmeleri, hem de endpoint vpn client’ını kullanarak vpn bağlantısı kurabilmeleri için yetkilendirmiştim. İsterseniz her iki bağlantı şeklini farklı kullanıcı grupları ile yapılandırabilirsiniz.

****

Bu arada, nedeni çözemediğim bir problemi paylaşmak istiyorum. Sizin, çözümü konusunda fikriniz varsa, benimle paylaşın lütfen!

Cluster XL ( HA veya Loadsharing Multicast) çalışırken, endpoint vpn client bağlantısı, bağlandıktan 20 saniye sonra kopuyor ve “site is not responding” halinde kalıyor. Site’ı silip yeniden oluşturursam tekrar bağlanabiliyorum. 20 saniye sonra yine kopuyor. Bağlantıyı endpoint vpn client’ını kullanmadan, mobile vpn portalından yaparsam kopma olmuyor. E80.50 sürümü endpoint client paketini kullandım. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk44075 bu adresi inceledim ama çözüm edinemedim. Cluster XL’imi bozdum. Security gateway’lerim single node çalıştıklarında, bu sorun oluşmuyor. J

****

Endpoint vpn client’ını kullananlar için, vpn bağlantısı sonrasında erişmek istedikleri yerlere dair aşağıdakine benzer kurallar yazmalısınız.

clip_image026

Mobile VPN portalınız için üstteki resimde görünen Mobile Access blade’ınden, application’lar belirleyebilirsiniz.

clip_image028

Application’lar ve policy’ler ile mobile access portalınızı kişiselleştirebilirsiniz. Yazımın sonuna gelmiş oldum.

Herkese sorunsuz ve neşeli günler dilerim.

3 comments found

  1. Hocam selamlar,

    Checkpoint VPN için Native veya Hybrid bir uygulamadan arka planda çalıştırıp VPN bağlantısı sağlama imkanımız varmıdır ? Sitelerinde api ile ilgili bilgi verilmiş ancak çalışmıyor.

Comments are closed.