Merhabalar,

Bu yazımızda FortiGate güvenlik duvarında DHCP kurulumu, yapılandırması ve ayarları ile ilgili bilgi verilecektir.

Öncelikle DHCP ne işe yarar bu konu hakkında kısaca bilgi verelim. DHCP sunucusu, istendiğinde, tanımlanmış bir adres aralığından ağdaki bir istemciye bir adres ve çeşitli parametrelerin otomatik olarak verilmesini sağlayan yapıdır.

https://tr.wikipedia.org/wiki/DHCP

Herhangi bir FortiGate güvenlik duvarında bir veya daha fazla DHCP sunucusu yapılandırabilirsiniz. Bir DHCP sunucusu, o interface bağlı ağdaki ana bilgisayarlara IP adreslerini dinamik olarak atar. Bilgisayarlar DHCP kullanarak IP adreslerini alacak şekilde yapılandırılmalıdır.

FortiGate interfacelerinde “DHCP relay” ayarlarını da yapılandırabilirsiniz. bilindiği üzere DHCP istekleri broadcast olarak OSI Layer 2’de çalışmaktadır. DHCP relay ile başka bir subnette bulunan DHCP sunucularına erişim sağlanmış olur. Bu sayede DHCP istemcilerinin mesajlarını harici bir DHCP sunucusuna iletir ve yanıtları DHCP istemcilerine geri döndürür. DHCP sunucusunun, DHCP istemcilerine yanıt paketlerinin ulaşması için uygun yönlendirme ayarlarına sahip olması gerekir.

Web GUI’de DHCP Ayarları

  • Web GUI’de “Network > Interfaces” sayfasına gidiyoruz.
  • DHCP sunucusu aktif etmek istediğimiz interface i yapılandırmak için ayarlarını açıyoruz.
  • DHCP Server ” seçeneğini aktif ediyoruz.
  • “Address Range” bölümünde dağıtılmasını istediğimiz IP aralıklarını yazıyoruz, birden fazla subnette IP dağıtımı yapmak için “Create New” ile ekleme yapıyoruz.
  • “Edit” ve “Delete” butonları ile düzeltme ve silme işlemlerini yapabiliriz.
  • Alt tarafta “Netmask” ile o subnete ait altağ maskesini belirleriz.
  • Default Gateway“‘i de istersek “Specify” ile belirleriz, eğer belirlemezsek o interfacein IP si olur.
  • DNS Server” seçeneği ile dağıtılacak DNS Sunucusunu belirleriz.
Fortigate Web GUI DHCP

Benzer işlemi CLI’da yapmak için:

config system dhcp server
    edit 1
        set dns-service default
        set default-gateway 192.168.110.1
        set netmask 255.255.255.0
        set interface "port1"
        config ip-range
            edit 1
                set start-ip 192.168.110.2
                set end-ip 192.168.110.254
            next
        end
        set timezone-option default
        set tftp-server "172.16.1.2"
    next
end

DHCP Options Ayarları

Bir DHCP sunucusu ekleyip yapılandırırken, DHCP kodlarını ve seçeneklerini ekleyebilirsiniz ve bu duruma DHCP options adı verilir.

DHCP option sayıları ve kodları uygulamaya özgüdür. Uygulama ile bilgiler okunarak kullanılacak değerler bulunabilir. Seçenek kodları bir seçenek değeri / HEX değer çiftlerinde gösterilir. Seçenek, 1 ile 255 arasında bir değerdir.

DHCP sunucusu başına üç adede kadar DHCP kod / option ekleyebilirsiniz.

Web GUI’de bu DHCP option eklemek için “Network > Interfaces > DHCP > Advanced > Additional DHCP Options” menüsünden yapılabilir.

Fortigate Web GUI DHCP options

CLI’da DHCP options eklemek için:

config system dhcp server
    edit <server_entry_number>
        set option1 <option-number> 
<parameters>
    next
end

NTP eklemek için (option 42)

config system dhcp server 
    edit 2
        set ntp-service {local | default | specify}
        set ntp-server1 <class_ip>
        set ntp-server2 <class_ip>
        set ntp-server3 <class_ip>
    next
end

NTP servisi şunları içerir:

local: DHCP sunucusunun eklendiği arabirimin IP adresi, istemcinin NTP sunucusu IP adresi olur.
default: İstemcilere FortiGate’in yapılandırılmış NTP sunucuları atanır.
specify: DHCP sunucusu yapılandırmasında en fazla üç NTP sunucusu belirtin.

DHCP IP Adresi ve MAC Eşleştirme

Bazı durumlarda IP ve MAC adresi eşleştirilip aynı cihazın aynı IP’yi alması gibi işlemlerin yapılması ihtiyacı doğabilir. FortiGate bu durumu arayüzde “Network > Interfaces > DHCP > Advanced > IP Address Assignment Rules” sayfasında yapmaya imkan sağlamaktadır.

Fortigate DHCP MAC eşleştirme

Create New” butonuna basılarak yeni bir MAC eşleştirmesi ile eşleşme durumunda alınacak aksiyonları belirten bir sayfa karşımıza çıkmaktadır.

Ayrıca “Add From DHCP Client List” opsiyonu ile de DHCP’den dağıtımı yapılan IP adreslerini ve cihazları görüp IP rezervasyonu (ReserveIP) yapabiliriz.

Fortigate DHCP IP reservation

DHCP IP/MAC Binding Yapılandırması

DHCP IP/MAC binding ile ilgili komutlar aşağıdaki gibidir:

config system dhcp reserved-address
   edit <name_str>
     set ip <address_ipv4>
     set mac <address_hex>
     set type {regular | ipsec}
   end

DHCP Relay Ayarları

Network > Interface ” altında istenilen portu editleyerek “Mode” “Relay” seçeneği seçilir ve “DHCP Server IP” adresi girilir.

Fortigate DHCP Relay ayarları

DHCP Relay Agent(Aracısı) Ayarları

Option 82 (DHCP relay agent seçeneği) FortiGate’in IP ve MAC adreslerinin taklit edilmesi (spoofing, forging) ve DHCP IP adresi starvation gibi saldırılara karşı korunmasına yardımcı olur.

FortiGate DHCP Relay Option

Aşağıdaki CLI değişkenleri yapılandırma config system dhcp server > config reserved-address komutunda bulunur:

GUI’deki Option 82 seçeneğini kullanarak bir IP adresi atama kuralı oluşturmak ve GUI’de Relay agent ayarlamak için:

  • Network > Interfaces” sayfasına gidin.
  • DHCP Relay agent için ilgili portu editleyin (Port Rolü LAN” veya “Undefined” olmak zorunda).
  • DHCP Server” opsiyonunu aktif edin.
  • Gerekli DHCP ayarları yapın.
  • Advanced” ayarlarını açın.
  • IP Address Assignment Rules ” altında “Type” seçeneğinde “DHCP Relay Agent” seçeneği seçilir.
  • Circuit ID” ve “Remote ID.” seçeneklerini girin.
  • Rezerve edilecek “IP address ” i girin.
Fortigate DHCP Relay Agent
Fortigate DHCP Relay Agent

CLI’da option 82 ile DHCP Relay Agent Ayarları:

config system dhcp server
    edit 1
        set netmask 255.255.255.0
        set interface "port4"
        config ip-range
            edit 1
                set start-ip 100.100.100.1
                set end-ip 100.100.100.99
            next
            edit 2
                set start-ip 100.100.100.101
                set end-ip 100.100.100.254
            next
        end
        config reserved-address
            edit 1
                set type option82
                set ip 100.100.100.12
                set circuit-id-type hex
                set circuit-id "00010102"
                set remote-id-type hex
                set remote-id "704ca5e477d6"
            next
        end
    next
end

DHCP Monitor

Monitor > DHCP Monitor ” altında DHCP sunucumuzdan IP adresi alan istemcileri görebiliriz ve bu istemcilerle ilgili işlemler yapabiliriz:

Aşağıda DHCP ile ilgili kaynakları bulabilirsiniz:

https://docs.fortinet.com/document/fortigate/6.2.4/cookbook/783526/dhcp-server

https://kb.fortinet.com/kb/documentLink.do?popup=true&externalID=13076&languageId=