Uzaktan bağlantı gereksinimi, özellikle küçük ofisler ve ev kullanıcıları için artık vazgeçilmez bir unsur haline geldi. EdgeRouter X’in güçlü altyapısı sayesinde, L2TP/IPsec protokolüyle güvenli bir VPN çözümü oluşturmak mümkün. Peki, bu adımları doğru sırayla takip etmek için nelere dikkat etmek gerekiyor?
EdgeRouter X’te VPN Temellerini Anlamak
L2TP/IPsec, hem katman 2 tünelleme (L2TP) hem de IPsec şifreleme standartlarını bir araya getiren bir VPN protokolüdür. Bu kombinasyon, veri iletiminde hem güvenlik hem de esneklik sağlar. EdgeRouter X gibi Ubiquiti cihazları, bu protokolü destekleyerek kullanıcıların yerel ağlarına uzaktan erişim sağlamasına olanak tanır.
Bu kurulumda, EdgeRouter X’in WAN tarafındaki dinamik IP adresini sabit bir alan adıyla eşleştirmek için daha önceki bir makalede oluşturulan AWS Lambda + Route 53 DDNS sisteminden faydalanılmaktadır. Böylece, VPN bağlantısı için gereken sabit bir erişim noktası elde edilir.
L2TP/IPsec Yapılandırması: Adım Adım
EdgeRouter X’in CLI arayüzü üzerinden yapılandırma işlemine başlanmalıdır. Bu süreç, sistemin güvenlik ayarlarını doğrudan etkilediği için dikkatle yürütülmelidir. İlk olarak, EdgeOS’a giriş yapıldıktan sonra yapılandırma moduna geçiş yapılmalıdır:
configureArdından, temel IPsec ayarları uygulanır. Bu ayarlar, hem yerel ağ trafiğinin korunmasını hem de uzaktan bağlantıların doğrulanmasını sağlar:
- WAN arayüzü olarak
eth0belirlenir. - Tüm ağlardan gelen trafiğin NAT üzerinden geçişine izin verilir (
0.0.0.0/0). - IPsec’in NAT traversal özelliği etkinleştirilir.
- Otomatik firewall kuralı dışlama ayarı devreye alınır.
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
set vpn ipsec nat-traversal enable
set vpn ipsec auto-firewall-nat-exclude enableL2TP tarafında ise, uzak istemcilere atanacak IP aralığı ve kimlik doğrulama yöntemleri tanımlanır. Bu adımda, VPN kullanıcılarına 192.168.1.100 ile 192.168.1.200 arasındaki adreslerin tahsis edileceği belirtilir:
set vpn l2tp remote-access dhcp-interface eth0
set vpn l2tp remote-access client-ip-pool start 192.168.1.100
set vpn l2tp remote-access client-ip-pool stop 192.168.1.200Güvenlik açısından kritik olan paylaşılan anahtar (pre-shared key) ve kullanıcı kimlik bilgileri de burada girilir. Bu ayarlar, VPN bağlantısının kimlik doğrulamasını sağlamak amacıyla kullanılır:
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret YOUR_SECRET
set vpn l2tp remote-access ipsec-settings ike-lifetime 3600
set vpn l2tp remote-access authentication mode local
set vpn l2tp remote-access authentication local-users username YOUR_USERNAME password YOUR_PASSWORDSon olarak, VPN istemcileri için DNS sunucuları ve MTU değeri ayarlanır. Bu ayarlar, bağlantı kalitesini ve internet erişimini doğrudan etkiler:
set vpn l2tp remote-access mtu 1280
set vpn l2tp remote-access dns-servers server-1 192.168.1.1
set vpn l2tp remote-access dns-servers server-2 8.8.8.8
set service dns forwarding listen-on loTüm ayarlar girildikten sonra, değişikliklerin kaydedilmesi ve sisteme uygulanması için commit ve save komutları çalıştırılır.
WAN Trafiği için Firewall Kuralları
VPN bağlantısının düzgün çalışabilmesi için, EdgeRouter X’in WAN tarafındaki firewall kurallarının da uygun şekilde yapılandırılması gerekir. Bu adım, saldırganların ağa sızmasını engellemek açısından kritik önem taşır.
Firewall ayarlarına erişmek için EdgeRouter X’in web arayüzünde Firewall/NAT bölümüne gidilir. Burada, WAN_LOCAL politikası altında yeni kurallar eklenir.
- L2TP için UDP Port 500, 1701 ve 4500’e izin verilir.
- ESP protokolü (IPsec’in şifreleme katmanı) için özel bir kural oluşturulur.
Bu kuralların, mevcut Allow established/related ve Drop invalid state kurallarının arasında yer alması önemlidir. Bu şekilde, hem güvenlik ihlallerine karşı koruma sağlanır hem de VPN bağlantılarının kesintisiz şekilde gerçekleşmesi temin edilir.
Windows 11’de VPN İstemci Ayarları
Uzaktan bağlantı kurmak için VPN istemcisinin doğru şekilde yapılandırılması gerekir. Windows 11’de bu işlem, Ayarlar > Ağ ve İnternet > VPN yolunu izleyerek gerçekleştirilir.
Yeni bir VPN bağlantısı oluşturulurken aşağıdaki bilgiler girilir:
- VPN Türü: L2TP/IPsec ile önceden paylaşılan anahtar
- Kimlik Doğrulama Türü: Kullanıcı adı ve parola
- Bağlantı Adı: Kullanıcı tarafından belirlenen tanımlayıcı
- Sunucu Adresi: DDNS sistemiyle eşleştirilmiş alan adı
- Önceden Paylaşılan Anahtar: EdgeRouter X’te tanımlanan
YOUR_SECRET - Kullanıcı Adı ve Parola: EdgeRouter X’te oluşturulan yerel kullanıcı bilgileri
Bağlantı oluşturulduktan sonra, gelişmiş seçeneklerde güvenlik protokolü olarak Microsoft CHAP Sürüm 2 (MS-CHAP v2) etkinleştirilir. Bu, güvenilir bir kimlik doğrulama yöntemi sağlar. Ayrıca, IPv4 ayarlarında otomatik DNS kullanımı yerine manuel olarak EdgeRouter X’in yerel IP’si ve Google DNS (8.8.8.8) tercih edilebilir.
Sonuç ve İpuçları
EdgeRouter X üzerinde L2TP/IPsec VPN kurulumu, yerel ağlara güvenli bir şekilde uzaktan erişim sağlamanın etkili bir yoludur. Bu rehberde yer alan adımları takip ederek, hem kurulum sürecini basitleştirebilir hem de bağlantı güvenliğini en üst düzeye çıkarabilirsiniz.
Daha gelişmiş senaryolarda, VPN kullanıcılarına özel IP aralıkları atanması veya çok faktörlü kimlik doğrulama gibi ek güvenlik katmanlarının eklenmesi düşünülebilir. Ayrıca, EdgeRouter X’in performansı ve bağlantı stabilitesi için düzenli olarak cihazın firmware güncellemelerinin yapılması önerilir.
Uzaktan çalışma trendinin giderek yaygınlaştığı günümüzde, güvenilir bir VPN altyapısına sahip olmak, hem bireysel kullanıcılar hem de işletmeler için önemli bir avantaj sağlar.
Yapay zeka özeti
EdgeRouter X üzerinde L2TP/IPsec VPN kurulum rehberi. Adım adım ayarlar, firewall kuralları ve Windows 11 VPN istemci ayarlarıyla ilgili detaylı bilgiler.
