Checkpoint Route Base VPN-VTI Tunnel Interface

Checkpoint Firewallarda IPSEC konfigürasyonu yapılırken genelde Policy Base IPSEC  konfigürasyonu yapılır. Firewall, tünele yönlendireceği ve tünelden accept edeceği trafiği  Encryption Domainde yer alan ip ve networklere göre karar verir. 
Fakat IPSEC’i AWS gibi coğrafi yedekliliği bulunan 2 firewall ile active-passive çalışacak bir  yapıda kurulması gerekiyor ise, bu durumda Checkpoint fw’da policy base yerine Route Base  vpn yapılması gerekiyor.

 

Her bir remote gw bağlantısı için bir VTI oluşturulur, tünel trafiği oluşturulan VTI üzerinden  yedekli ve encrypt olarak sağlanır. 

 

IPSEC konfigürasyonunu aşağıdaki parametrelerimizi göre kuracağız. 

 

Parametreler:

 

IPSEC Topology:

 

 

Checkpoint FW’da VTI (VPN Tunel Interface) konfigürasyon adımlarına başlayabiliriz. 

 

1. VPN Tunnel Interface konfigürasyonu 

 

Checkpoint Firewall cihazlarımızda öncelikle VTI tünel interface oluşturulur, FW1 ve FW2  cihazlarında, Remote firewallar için tunnel1 ve tunnel2 olmak üzere 2 interface oluşturulur. 

 

Checkpoint FW’da interface cluster ip’leri Smart Console üzerinden tanımlanır. VTI1 ve VTI2  interfacelerine cluster ip olarak sırası ile 192.168.1.2 ve 192.168.2.2 ip’lerini atayacağız. 

 

Bu durumda CP FW1 ve FW2 cihazlarına tanımlanacak interface ip’lerini sanal ip gibi  değerlendirip biz belirleyeceğiz. 

 

• CP-FW1 VT1 -> 192.168.1.3 
• CP-FW2 VT1 - > 192.168.1.4 
• CP-FW1 VT2 - > 192.168.2.3 
• CP-FW2 VT2 -> 192.168.2.4 

 

Checkpoint HA firewallar’da interface tanımı yapılırken, cihaz interface ip’leri GAIA yada ssh  üzerinden tanımlanır ve her bir cihaza bir ip ataması yapılır. Bu yazıda ssh üzerinden CLI’dan  interface tanımları yapıldı.

 

CP FW1 

 

• add vpn tunnel 1 type numbered local 192.168.1.3 remote 192.168.1.1 peer VPN GW1_Tunnel1
• add vpn tunnel 2 type numbered local 192.168.2.3 remote 192.168.2.1 peer VPN GW1_Tunnel2 

 

CP FW2

 

• add vpn tunnel 1 type numbered local 192.168.1.4 remote 192.168.1.1 peer VPN GW1_Tunnel1
• add vpn tunnel 2 type numbered local 192.168.2.4 remote 192.168.2.1 peer VPN GW1_Tunnel2 

 

2. Static route 

 

Remote local network trafiğini tünele yönlendirmek için, ilgili remote network için static route  yazılır. Active tünelin priority 1, passive tünelin priority 2 olarak konfigüre edilir.

 

Her iki Checkpoint Firewall’da Remote local network 172.18.1.0/24 için static route  konfigürasyonu yapılır.

 

• set static-route 172.18.1.0/24 nexthop gateway logical vpnt1 on
• set static-route 172.18.1.0/24 nexthop gateway logical vpnt2 priority 2 on

 

3. Management Server Obje Konfigürasyonu 

 

Management server’da Remote firewall objeleri oluşturulur, isim standardı interface  konfigürasyonunda kullanılan isim ile aynı olmak zorundadır. 

 

• SmartDashboard → Interoperable Device 
  “Name” GW1_Tunnel1, "IPv4 Address", “ IP address “ 10.10.10.3 
  
  
  
   
• Topology bölümüne bir obje grubu atanır, bu atanacak grubun içerisinde network ve  ip atanmaması gerekiyor, çünkü tünel trafiği Enc.domain bazlı değil, route bazlı  çalışacak.
  
  
  
   
• Aynı işlemler GW1_Tunnel2 cihazı içinde yapılır.

 

4. IPSEC Community Konfigürasyon 

 

IPSEC’i yedekli bir yapıda kuracağımız için, “community” Star Community olarak seçilir. 

 

• VPN Communities → New →Star Community.
• Center Gateways →Checkpoint firewall 
• Satellite Gateways → Remote firewallar 
  
  
  
   
• Encryption konfigürasyonları, karşılıklı olarak anlaşılan parametreler üzerinden yapılır.
  
  
  
   
• Tunnel Management ayarında, Tünelin karşı ucunda Checkpoint firewall olmadığı  sürece bu konfigürasyonda Set Permanent Tunnel ayarı yapılmaması gerekiyor.
• Tünel yedekli çalışmasından dolayı “VPN tunnel per Gateway pair” olarak yapılandırılır.  Tünelin yedekli olarak sağlıklı bir şekilde çalışabilmesi için bu ayar çok kritiktir.
  
  
  
   
• Phase 1 ve Phase2 lifetime süreleri aşağıdaki gibi yapılandırılır. 
  
  
  
   
• Community konfigürasyonları yapıldıktan sonra firewall IPSEC erişim kuralı aşağıdaki  gibi tanımlanır.