Merhaba

Bu yazımda Amazon AWS Site to Site VPN kurulumunu anlatacağım. Site-to-Site VPN ile On-Prem site’larınız ile AWS üzerindeki Site’larınızı birbirleri bağlayabilirsiniz. Böylece AWS üzerindeki veya On-Prem yapınızdaki kaynaklarınıza erişim sağlayabilirsiniz.

AWS site-to-site vpn 3 parçadan oluşmaktadır.

Bunlar;

Customer Gateways On-Prem yapımızda bulunan Firewall’ın bilgilerinin tutulduğu kısım.

Virtual Private Gateways AWS üzerinde Site-to-Site yapılacak olan VPC bilgisinin tutulduğu kısım.

Site-to-Site VPN Connections VPN bağlantısının yapıldığı kısım.

Site-to-Site VPN kurulumunu yapabilmemiz için aşağıdaki birkaç objeye de ihtiyacımız bulunuyor.

 

Bunlar;

Statik IP adresi

AWS üzerinde bir adet VPC (Eğer VPC’iniz varsa onu kullanabilir veya farklı bir VPC oluşturarak kullanabilirsiniz.)

Firewall (Software veya Hardware) IPSec ikeV1/V2 VPN özelliğinin olması.

Router veya Firewall üzerinde gerekli olan yönlendirmelerin (Route işlemleri LAN ve WAN bacakları için) yapılması.

Firewall üzerinde WAN to LAN ve LAN to WAN erişiminin sağlanması ve bu erişimler için gerekli olan protokol ve servislere izin verilmesi(https,rdp,icmp vb)

Yukarıda belirttiğim kurallar sağlıklı bir haberleşme yapılması için gereklidir. Ben test senaryosu olduğu için kurallar ve protokoller de “any” seçimi ile devam ettim. Canlı ortamlar da burada kullanılacak protokol ve servis izinlerinin doğru ve güvenli şekilde verilmesi gereklidir.

Kurulum senaryosuna istinaden Firewall olarak Sophos XG Firewall kullandım. Burada anlatılan ve yapılan her türlü yapılandırma ayarı genel olarak Tüm Firewall cihazları içinde geçerlidir. FW modelinize ve FW OS’ ne göre isim veya kural değişiklikleri olabilir.

Site-to-Site Bağlantı Diyagramdaki Gibi Olacaktır.

Kuruluma başlayabiliriz,

VPC Dashboard üzerinde bulunan Customer Gateways kısmına geliyoruz ve Create Customer Gateway ile oluşturmaya başlıyoruz.

Resim-1

 

Oluşturduğumuz Customer Gateway’e bir isim veriyoruz. Yapınızda birden çok firewall varsa isimlendirmeyi ona göre yapmanız yararınıza olabilir. Routing Modeli olarak Static seçiyoruz. Siz isterlerinize göre Dynamic olarak da kullanabilirsiniz. Ayrıca bağlantıyı bir sertifika ile de yapabilirsiniz. Son olarak Create Customer Gateway diyerek oluşturuyoruz.


Resim-2

 

Oluşturma işlemimiz başarı ile gerçekleşti.


Resim-3


Resim-4

 

Create Virtual Private Gateway oluşturma ile devam ediyoruz.


Resim-5

 

Oluşturduğumuz Gateway’e bir isim veriyoruz ve default ASN (otonom sistem numarası) Amazon ataması için aşağıdaki gibi seçim yapıyoruz ve Create Virtual Private Gateway diyerek oluşturuyoruz.

ASN Hakkında Amazon’un açıklaması (İnternet’e açıkça tanımlanmış bir dış yönlendirme politikası sunan ağları tanımlamak için kullanılır.)


Resim-6

 

Virtual Private Gateway oluşturma işlemimiz bitmiştir.


Resim-7

 

Oluşturduğumuz Gateway’i Site-to-site VPN yapacağımız VPC’ye Attach edeceğiz.


Resim-8

 

Actions altından Attach to VPC diyerek ekleme işlemini yapıyoruz.


Resim-9

 

İstediğimiz VPC’yi seçip Attach işlemini yapıyoruz.


Resim-10

 

Oluşturduğumuz Gateway’in ekleme durumunu bekliyoruz.


Resim-11

 

VPC başarılı bir şekilde Attached oldu.


Resim-12

 

VPN gateway’in bilgilerinin Route Table içinde yaygınlaştırılması için ilgili VPC’nin Route Table’ına gelerek Route Propagation altında bulunan Propagation bilgisini ENABLE hale getirmemiz gereklidir. Edit diyerek devam ediyoruz.


Resim-13

 

Enable işleminin ardından kaydedip çıkıyoruz.


Resim-14


Resim-15

 

Site-to-Site VPN Connections kısmına geliyor ve Create VPN Connection oluşturmaya başlıyoruz.


Resim-16

Bağlantımıza bir isim veriyoruz ardından hangi Gateway türünü seçiyoruz. Biz Virtual Private Gateway kullandık.

Customer Gateway olarak daha önce oluşturduğumuz Gateway’i seçiyoruz.

Static IP Prefixes kısmında ise hedef network’ün Subnetini yazıyoruz. Yani On-Prem network’ü yazıyoruz.


Resim-17

 

Opsiyonel olarak belirleyeceğimiz bir ayar varsa burada yapıyoruz ve Create VPN Connection oluşturma işlemini bitiyoruz.


Resim-18

 

Gateway oluşturma durumu bekliyor olarak duruyor. Şimdi On-Prem tarafın kurulması için gereken yapılandırma dosyasını indiriyoruz.


Resim-18

 

Bu ekranda birden fazla üretici ve model mevcuttur. Eğer kullanmış olduğunuz Firewall Listede yoksa Generic seçeneği ile indirebilirsiniz.


Resim-19

Customer Gateways kısmına eklediğim Firewall’un VPN arayüzüne gelip oradan IPsec Policies kısmına yeni bir policy ekleyeceğiz.


Resim-20

Oluşturduğumuz Policy’ye bir isim veriyoruz.

Aşağıdaki bilgileri indirmiş olduğumuz configuration file içinde bulunan bilgilerden bakarak işaretliyoruz.

 


Resim-21

 

Configuration.txt içi.


Resim-22

 

Configuration.txt’ye göre gerekli alanları dolduruyoruz.


Resim-23

 

Configuration.txt’ye göre gerekli alanları dolduruyoruz.


Resim-24

 

Oluşturma işlemi bitti. Sırada VPN yapılandırmasını yapmak kaldı.


Resim-25

 

Firewall üzerinden IPsec connections kısmına gelerek VPN oluşturma Wizard’ını başlatıyoruz.


Resim-26

 

Kuracağımız VPN için bağlantı ismi belirliyoruz.


Resim-27

 

Site-to-Site bağlantı türünü ve oluşturduğumuz AWS VPN Policy’yi seçerek devam ediyoruz.


Resim-28

 

Configuration.txt’nin içinde bulunan Preshared key’i yazarak devam ediyoruz.


Resim-29

 

WAN portumuzu seçip, Local Subnet seçimimizi yapıyoruz. Ben ANY olarak seçtim.


Resim-30

 

Configuration.txt’nin içinde bulunan Remote VPN Server IP bilgimizi ekliyoruz.


Resim-31

 

Daha sonra AWS üzerinde VPN yaptığımız VPC’nin network bilgilerini yazıyoruz ve kaydediyoruz.


Resim-32

 

Son hali bu şekilde olacak.


Resim-33

 

Bir doğrulama sistemi kullanmıyoruz.


Resim-34

 

VPN Bağlantısı özet ekranı aşağıdaki gibidir.


Resim-35

 

Bağlantımız başarı ile oluştu. Aşağıda OK ile gösterilen simgeleri tıklayıp bağlantıyı aktif ediyoruz.


Resim-36

 

Bağlantılarımız kuruldu. Şimdi Firewall üzerinde VPN’den gelen trafiği kabul etmesi için Inbound ve Outbound yönünde kural yazacağız.


Resim-37

 

Firewall kısmına gelip ADD firewall rule ile eklemeye başlıyoruz.


Resim-38

 

Oluşturduğumuz kurala bir isim veriyoruz ve trafik kabul etme durumunu ACCEPT olarak ayarlıyoruz.

Source olarak VPN trafiğini ve bu Source’tan gelen tüm servisleri kabul ediyoruz.

Destination olarak LAN network’üne ve tüm servislere erişim veriyoruz.

Not: Test ortamı olduğu için herşey ANY ANY olarak ayarlanmıştır. Canlı ortamda ihtiyacınıza göre kural yazınız.


Resim-39

 

Son olarak kaydedip çıkıyoruz.


Resim-40

 

Aynı şekilde Outbound bir trafik için ANY olacak tanım yapıyoruz.


Resim-41

 

AWS üzerine gelip VPN bağlantımızı kontrol ediyoruz. Şuan kullanılabilir durumda.


Resim-42

 

Evet VPN bağlantımız kuruldu. Burada iki adet Tunnel görünmekte. Ben test ortamı olduğu için configuration.txt içinde yer alan sadece 1 bağlantıyı yaptım. Siz isterseniz yedekleme olması açısından ikincisini de yapabilirsiniz.


Resim-43

 

Site-to-Site VPN kurulumunu test etmek için AWS üzerinde bulunan bir Instance’dan On-Prem yapımızdaki bir makineye ping testi başlatıyoruz ve paketlerin gittiğini görüyoruz.

Resim-44

 

Aynı şekilde On-Prem yapımızdan AWS üzerindeki Instance’a ping testi başlatıyoruz ve paketlerin gittiğini görüyoruz.

 

Amazon AWS Site-to-Site VPN Kurulumu işlemimiz bitmiştir. Bir sonraki yazımda görüşmek üzere.