Etiket arşivi: VPN

SSL VPN Lan Server Konfigürasyonu

 

SSL VPN Cihazı ile İnternet üzerindeki bir kullanıcının iç SSL VPN cihazına bağlı olan Terminal Server ve FTP server’a ulaşmasını sağlamak.

Cihaz: SONICWALL SSL 200

  

clip_image002

  

  

SONICWALL SSL VPN 200 Konfigurasyonu


Ağ Ayarları

1.    SSL VPN

cihazına X0 interfacinden bağlanın. NETWORK/INTERFACES bölümünden ve ayarları yukarıdaki örneğe bağlı olarak aşağıdaki gibi yapın.

Cihaz Default Ayarları ; (SSL 200)
X0-LAN      = 192.168.200.1, 255.255.255.0
X1 – WAN   = 192.168.201.1, 255.255.255.0

        Kullanıcı adı       : admin               

        Şifre                      : password

  

                X0 ve X1 değerlerini aşağıdaki gibi değiştirin.

  

clip_image004

2.      Network à Routes bölümünden XO interface’inin dışarıya çıktığı IP adresi girilir. Bu örnek için 192.168.100.1 dir.
Not:
Dışardan  SSL-VPN cihazına erişmek için bunun önünde çalışan cihazda HTTPS/Port 443(TCP) yönlendirmesi yapmanız gerekmektedir.

clip_image006

  

  1. Users à Local Users bölümünden uzak kullanıcı isimleri oluşturulur.

 

clip_image008 

  

clip_image010

 

Daha sonra bu kullanıcının özelliklerini seçerek SSL VPN cihazına login olduğunda yönlendirileceği serverları seçin (192.168.0.155,192.168.0.64).Burada user1 kullanıcısı için  2 Bookmark girmelisiniz.Bunlardan biri Terminal Server (0.155) , FTP(0.64) dir.

  

Örnek ; Terminal Server için Bookmark oluşturulması.

clip_image012

 

FTP Server için 192.168.0.64 IP sine aynı şekilde yönlendirilme yapılmalıdır.

clip_image014


4.  Users  Portal / Custom Logo  bölümünde istediğiniz Sanal Ofis Logosunu  ekleyebilirsiniz.

 

clip_image016

 

5.CİHAZA BAĞLANTI

İnternetteki kullanıcı SSL VPN cihaza login olarak kendisine verilen kaynaklara ulaşabilir.

 

clip_image018

6. BAĞLANTI SONRASI

clip_image020

 

Not:

Bookmarker FTP_Server_sslvpn ve Terminal_Server_sslvpn lere bağlanma esnasında karşı taraftan ActiveX yazılımları yüklemesi gerekmektedir.Bunları tarayıcınız üzerinden izin vermelisiniz.

Mustafa AKÇİN

Uygulama Engelleme! AntiExecutable

clip_image001

Programı tanıyalım ;


Anti-Executable bilgisayarların korunması için düşünülen yeni bir yaklaşımın yaygın ve sorunsuz bir ürünüdür. Zararlı uygulamaları tespit etmek yerine, varolan izin verilen ve yararlı diye bilinen uygulamalar haricinde hiçbir uygulama çalıştırmayarak sistemin korunmasını sağlar. Sistem tüm bileşenleri ile sağlıklı bir şekilde kurulduktan sonra, Anti-Executable kurulursa, varolan sistemin uygulamaları haricinde uygulamalar engellenecektir. Anti-Executable exe, sys, dll benzeri 80 farklı dosya tipini tanıyarak engellemektedir.


Programın kurulumuna geçebiliriz.

clip_image002

Programın kurulum dosyasını çalıştırdıktan sonra ekrana resimdeki pencere geliyor Next diyerek devam ediyoruz.


clip_image003

Lisans sözleşmesini onaylayıp” Next” diyoruz.

clip_image004

Finish” diyerek kurulumu başlatıyoruz.

clip_image005

Kurulumdan sonra bilgisayar Restart edecek diyor onaylıyoruz.

clip_image006

Kurulum başladı bekliyoruz. bu bölüm bittikten sonra  “installation completed “ diye bir uyarı geliyor ve restart ediyor.

clip_image007

Tastbarda görüyoruz çalıştığını programı ayarlarını düzenlemek için simgenin üzerinde Shift + Sağ click yapabilir veya “CTRL+ALT+Shift+F10” yapabiliriz.

clip_image008

Login ekranı geliyor.

Burada daha şifre belirlemediğimiz için boş geçiyoruz diğer açılışında eğer şifre vermezsek oto olarak şifreyi değiştirmemizi istiyor.

clip_image009

Biz ne olur ne olmaz diye şifre giriyoruz. Apply diyerek onaylıyoruz.

clip_image010

“Confiration” sekmesindeyiz  bu bölümde programın ayarlarını yapıyoruz.
“Message “ sekmesine gelip kullanıcı uygulama çalıştırdığında hata mesajı olarak ne görmesini istiyorsak onu yazıyoruz. Mesajın ön izlemesini görmek için “Preview “ butonuna tıklıyoruz.

clip_image011

Security Settings” bölümde güvenlik ayarları yapıyoruz.

Log ayarları, Network üzerinden engelleme yapsın mı ve gizli modda çalışsın mı gibi ayaları yapıyoruz.

clip_image012

Trusted Applications

Bu sekmede Belirlediğimiz bir klasör yada diskteki uygulamayı kullanıcının yükleyememesi için ayırabiliyoruz tanımlamalar yapabiliyoruz. clip_image013

clip_image014

Status

Buradan programın genel ayarlarının durumunu görüntüleyebiliyoruz.

clip_image015

Programı aktif / pasif etmek için bu bölümü kullanıyoruz.
Umarım yazım yararlı olur ve bir başka bir makalede görüşürüz.
Mustafa KAŞIKÇI

VPN ( Virtual Private Network ) Nedir?

Sanal özel ağlar (VPN), özel veya Internet gibi ortak ağlar üzerindeki noktadan noktaya bağlantılardır. VPN istemcisi, VPN sunucusu üzerindeki sanal bir bağlantı noktasına sanal bir arama gerçekleştirmek için, tünel protokolleri adı verilen özel TCP/IP tabanlı protokolleri kullanır. Tipik bir VPN dağıtımında, istemci, Internet üzerinden uzaktan erişim sunucusuyla sanal noktadan noktaya bağlantı başlatır. Uzaktan erişim sunucusu aramaya yanıt verir, arayanın kimliğini doğrular, verileri VPN istemcisi ile kuruluşun özel ağı arasında aktarır.

Veriler, noktadan noktaya bağlantıyı taklit etmek amacıyla üstbilgi kullanılarak kapsüllenir veya sarılır. Üstbilgi, verilerin bitiş noktalarına erişmeleri için, paylaşılan veya ortak ağ üzerinden çapraz geçebilmelerine olanak veren yönlendirme bilgileri sağlar. Özel ağ bağlantısını taklit etmek için, gönderilen veriler gizlilik amacıyla şifrelenir. Paylaşılan veya ortak ağda ele geçirilen paketlerin şifreleri, şifreleme anahtarları olmadan çözülemez. Özel ağ verilerinin kapsüllendiği ve şifrelendiği bağlantı VPN bağlantısı olarak bilinir.

VPN Bağlantısı

 image001

İki tür VPN bağlantısı vardır:

Uzaktan erişim VPN

Siteden siteye VPN

 

Uzaktan erişim VPN

Uzaktan erişim VPN bağlantıları, evinden çalışan veya yolda olan kullanıcıların, Internet gibi ortak bir ağ tarafından sağlanan altyapıyı kullanarak özel ağ üzerindeki bir sunucuya erişmelerine olanak verir. Kullanıcı açısından bakıldığında VPN, bilgisayarla (VPN istemcisi) kuruluşun sunucusu arasında noktadan noktaya bir bağlantıdır. Mantıksal olarak veriler, adanmış bir özel ağ üzerinden gönderiliyormuş gibi göründüğünden, paylaşılan veya ortak ağın gerçek altyapısı önemli değildir.

 

Siteden siteye VPN

 

Siteden siteye VPN bağlantıları (yönlendiriciden yönlendiriciye VPN bağlantıları olarak da bilinir), kuruluşların farklı ofisler arasında veya diğer kuruluşlarla ortak bir ağ üzerinden yönlendirilmiş bağlantılar kullanabilmelerine olanak verirken, iletişim güvenliğinin sağlanmasına da yardımcı olur. Internet üzerinden yönlendirilmiş VPN bağlantısı, mantıksal olarak, adanmış geniş alan ağı (WAN) bağlantısı gibi çalışır. Aşağıdaki şekilde de gösterildiği gibi, ağlar Internet üzerinden bağlandıklarında, bir yönlendirici, paketleri VPN bağlantısı üzerinde başka bir yönlendiriciye iletir. Yönlendiriciler açısından VPN bağlantıları, veri bağlantısı katmanı bağlantısı olarak işlev görür.

Siteden siteye VPN bağlantısı özel bir ağın iki bölümünü birbirine bağlar. VPN sunucusu, bağlı bulunduğu ağa yönlendirilmiş bağlantı sağlar. Yanıtlayan yönlendirici (VPN sunucusu) arayan yönlendiricinin (VPN istemcisi) kimliğini doğrular ve karşılıklı kimlik doğrulama amacıyla, arayan yönlendirici de yanıtlayan yönlendiricinin kimliğini doğrular. Siteden siteye VPN bağlantısında, VPN bağlantısı üzerindeki iki yönlendiriciden birinden gönderilen paketlerin başlangıç noktaları tipik olarak yönlendiriciler değildir.

İki Uzak Siteyi Internet Üzerinden Bağlayan VPN

 image002

 

VPN bağlantılarının özellikleri

PPTP, L2TP/IPsec ve SSTP kullanan VPN bağlantıları aşağıdaki özelliklere sahiptir:

Kapsülleme

Kimlik doğrulama

Veri şifreleme

 

Kapsülleme

VPN teknolojisinde özel veriler, geçiş ağını çapraz geçmelerine izin verecek yönlendirme bilgilerini içeren bir üstbilgiyle kapsüllenir. Kapsülleme örnekleri için, bkz. VPN Tünel Protokolleri.

 

Kimlik doğrulama

VPN bağlantılarında kimlik doğrulama üç farklı biçimde yapılır:

1.PPP kimlik doğrulama kullanılarak kullanıcı düzeyinde kimlik doğrulama

VPN bağlantısı oluşturmak için, VPN sunucusu bağlanmayı deneyen VPN istemcisinin kimliğini, Noktadan Noktaya Protokolü (PPP) kullanıcı düzeyinde kimlik doğrulama yöntemi  kullanarak doğrular ve VPN istemcisinin uygun yetkilendirmeye sahip olduğunu onaylar. Karşılıklı kimlik doğrulama kullanılırsa, VPN istemcisi de VPN sunucusunun kimliğini doğrular; bu şekilde kendilerini VPN sunucuları gibi tanıtan bilgisayarlara karşı koruma sağlanır.

2.Internet Anahtar Değişimi (IKE) kullanarak bilgisayar düzeyinde kimlik doğrulama

Internet Protokolü güvenliği (IPsec) güvenlik ilişkisi oluşturmak üzere VPN istemcisi ve VPN sunucusu, bilgisayar sertifikaları veya önceden paylaşılan bir anahtar değişimi için IKE protokolünü kullanır. Her iki durumda da VPN istemcisi ve sunucusu, birbirlerinin kimliklerini bilgisayar düzeyinde doğrular. Bilgisayar sertifikası kimlik doğrulaması çok daha güçlü bir kimlik doğrulama yöntemi olduğundan daha fazla önerilir. Bilgisayar düzeyinde kimlik doğrulama yalnızca L2TP/IPsec bağlantıları için uygulanır.

3.Veri kaynağı için kimlik doğrulama ve veri bütünlüğü

VPN bağlantısı üzerinden gönderilen verinin, bağlantının diğer ucundan gönderilmiş olduğunu ve aktarım sırasında değiştirilmediğini onaylamak için, veride yalnızca gönderenin ve alanın bildiği bir şifreleme anahtarına dayalı şifreleme sağlama toplamı bulunur. Veri kaynağı için kimlik doğrulama ve veri bütünlüğü yalnızca L2TP/IPsec bağlantılarında kullanılabilir.

 

Veri şifreleme

 

Veriler, paylaşılan veya ortak geçiş ağından çapraz geçerken gizliliğinin sağlanması amacıyla gönderen tarafından şifrelenir ve şifreleri alan tarafından çözülür. Şifreleme ve şifre çözme işlemleri gönderenin ve alanın ortak kullandığı bir şifreleme anahtarına bağlıdır.

VPN bağlantısı üzerinden geçiş ağında gönderilen paketler ele geçirildiğinde, ortak şifreleme anahtarı olmadan hiç kimse için bir anlam ifade etmezler. Şifreleme anahtarının uzunluğu çok önemli bir güvenlik parametresidir. Şifreleme anahtarını belirlemek için hesaba dayalı teknikler kullanabilirsiniz. Ancak, bu tür teknikler, şifreleme anahtarları büyüdükçe daha fazla bilgi işlem gücü ve hesaplama süresi gerektirir. Bu nedenle, veri gizliliğini sağlamak için mümkün olan en büyük anahtar boyutunu kullanmak önemlidir.

VPN Tünel Protokolleri

Tünel oluşturma, bir protokol türündeki paketin başka bir protokol datagramı içinde kapsüllenmesini sağlar. Örneğin, VPN, IP paketlerini Internet gibi ortak bir ağ üzerinden kapsüllemek için PPTP’yi kullanır. Noktadan Noktaya Tünel Protokolü (PPTP), Katman İki Tünel Protokolü (L2TP) veya Güvenli Yuva Tünel Protokolü’ne (SSTP) dayalı bir VPN çözümü yapılandırılabilir.

PPTP, L2TP ve SSTP protokolleri büyük ölçüde, orijinal olarak Noktadan Noktaya Protokolü (PPP) için belirlenen özellikleri esas alır. PPP çevirmeli veya adanmış noktadan noktaya bağlantılar üzerinden veri göndermek için tasarlanmıştır. IP kullanımında, PPP, IP paketlerini PPP çerçeveleri içinde kapsüller ve ardından kapsüllenen PPP paketlerini noktadan noktaya bir bağlantı üzerinden aktarır. PPP orijinal olarak çevirmeli istemci ve ağ erişimi sunucusu arasında kullanılacak protokol olarak tanımlanmıştır.

PPTP

PPTP, birden çok protokol trafiğinin şifrelenmesini ve ardından IP ağı veya Internet gibi ortak IP ağı üzerinden gönderilmek üzere bir IP üstbilgisi ile kapsüllenmesini sağlar. PPTP uzaktan erişim ve siteden siteye VPN bağlantıları için kullanılabilir. Internet, VPN için ortak ağ olarak kullanıldığında, PPTP sunucusu, biri Internet üzerinde diğeri de intranet’te bulunan iki arabirime sahip PPTP etkin bir VPN sunucusudur.

Kapsülleme

PPTP, ağ üzerinden aktarım için PPP çerçevelerini IP datagramları içinde kapsüller. PPTP, tünel yönetimi için bir TCP bağlantısını ve tünel oluşturulan veri için PPP çerçevelerinin kapsüllenmesi amacıyla Genel Yönlendirme Kapsüllemesi’nin (GRE) değiştirilmiş bir sürümünü kullanır. Kapsüllenen PPP çerçevelerinin yükleri şifrelenebilir, sıkıştırılabilir veya her ikisi de uygulanabilir. Aşağıdaki şekilde bir IP datagramını içeren PPTP paketinin yapısı gösterilmektedir.

IP Datagramı İçeren PPTP Paketinin Yapısı

 image003

Şifreleme

PPP çerçevesi, MS-CHAP v2 veya EAP-TLS kimlik doğrulama işlemiyle oluşturulan şifreleme anahtarları kullanılarak, Microsoft Noktadan Noktaya Şifreleme (MPPE) ile şifrelenir. PPP çerçeve yüklerinin şifrelenebilmesi için, sanal özel ağ istemcilerinin MS-CHAP v2 veya EAP-TLS kimlik doğrulama protokolünü kullanması gerekir. PPTP, temeldeki PPP şifrelemesinden ve önceden şifrelenen PPP çerçevesinin kapsüllenmesinden yararlanır.

L2TP

L2TP birden çok protokol trafiğinin şifrelenmesini ve ardından IP veya zaman uyumsuz aktarım modu (ATM) gibi noktadan noktaya datagram teslimini destekleyen herhangi bir medya üzerinden gönderilmesini sağlar. L2TP, Cisco Systems, Inc. tarafından geliştirilen, PPTP ve Katman İki İletme

(L2F) protokollerinin birleşiminden oluşan bir teknolojidir. L2TP, PPTP ve L2F’nin en iyi özelliklerini alır.

PPTP’nin aksine, Microsoft’un L2TP uygulaması, PPP datagramlarının şifrelenmesinde MPPE’yi kullanmaz. L2TP, şifreleme hizmetleri için Aktarım Modunda Internet Protokolü güvenliğine (IPsec) dayanır. L2TP ve IPsec’in birleşimi L2TP/IPsec olarak bilinir.

L2TP ve IPsec’in her ikisi de, hem VPN istemcisi hem de VPN sunucusu tarafından desteklenmelidir. L2TP için istemci desteği Windows Vista® ve Windows XP uzaktan erişim istemcilerinde dahilidir; L2TP için VPN sunucusu Windows Server® 2008 ve Windows Server 2003 ailesi üyelerinde dahili olarak desteklenir.

L2TP, TCP/IP protokolüyle birlikte yüklenir.

Kapsülleme

L2TP/IPsec paketlerinin kapsüllenmesi iki katmandan oluşur:

Birinci katman: L2TP kapsülleme

PPP çerçevesi (IP datagramı) L2TP üstbilgisi ve UDP üstbilgisi ile sarılır.

IP Datagramı İçeren L2TP Paketinin Yapısı

 image004

İkinci katman: IPsec kapsülleme

Ortaya çıkan L2TP iletisi daha sonra bir IPsec Kapsüllenen Güvenlik Yükü (ESP) üstbilgisi ve altbilgisi, iletinin bütünlüğünü ve kimlik doğrulamayı sağlayan IPsec Kimlik Doğrulama altbilgisi ve son olarak IP üstbilgisiyle sarılır. IP üstbilgisinde VPN istemcisine ve VPN sunucusuna karşılık gelen kaynak ve hedef IP adresi bulunur.

L2TP Trafiğinin IPsec ESP ile Şifrelenmesi 

 image005

Şifreleme

L2TP iletisi, Internet Anahtar Değişimi (IKE) anlaşma işlemiyle oluşturulan şifreleme anahtarlarını kullanarak, Veri Şifreleme Standardı (DES) veya Üçlü DES (3DES) ile şifrelenir.

SSTP

Güvenli Yuva Tüneli Protokolü (SSTP), 443 numaralı TCP bağlantı noktası üzerinden HTTPS protokolünü kullanan yeni bir tünel protokolüdür ve trafiğin güvenlik duvarlarından ve PPTP ile L2TP/IPsec trafiğini engelleyebilen Web proxy’lerden geçirilmesini sağlar. SSTP, PPP trafiğini HTTPS protokolünün Güvenli Yuva Katmanı (SSL) kanalı üzerinde kapsüllemek için bir mekanizma sağlar. PPP’nin kullanılması, EAP-TLS gibi etkili kimlik doğrulama yöntemlerinin desteklenmesine olanak sağlar. SSL, gelişmiş anahtar anlaşması, şifreleme ve bütünlük denetimi kullanarak aktarma düzeyinde güvenlik sağlar.

Bir istemci SSTP tabanlı VPN bağlantısı oluşturmaya çalışırsa, SSPT ilk olarak, SSTP sunucusunda çift yönlü bir HTTPS katmanı oluşturur. Protokol paketleri bu HTTPS katmanı üzerinden veri yükü olarak geçer.

Kapsülleme

SSTP, ağ üzerinden aktarım için PPP çerçevelerini IP datagramları içinde kapsüller. SSTP, PPP veri çerçevelerinin yanı sıra tünel yönetimi için bir TCP bağlantısı (443 numaralı bağlantı noktası üzerinden) kullanır.

Şifreleme

SSTP iletisi HTTPS protokolünün SSL kanalı ile şifrelenir.

Tünel protokolleri arasından seçim yapma

PPTP, L2TP/IPsec ve SSTP uzaktan erişim VPN çözümleri arasından seçim yaparken şunlara dikkat edilmesi gerekir:

 PPTP, Microsoft Windows 2000, Windows XP, Windows Vista ve Windows Server 2008 gibi farklı Microsoft istemcileriyle birlikte kullanılabilir. PPTP, L2TP/IPsec’in aksine ortak anahtar altyapısı (PKI) kullanılmasını gerektirmez. Şifreleme kullanarak, PPTP tabanlı VPN bağlantıları veri gizliliği sağlar (ele geçirilen paketler şifreleme anahtarı olmadan anlaşılamaz). Ancak, PPTP tabanlı VPN bağlantıları, veri bütünlüğü (aktarım sırasında verinin değişmediğinin kanıtı) veya veri kaynağı için kimlik doğrulama (verinin yetkili kullanıcı tarafından gönderildiğinin kanıtı) sağlamaz.

 L2TP yalnızca Windows 2000, Windows XP veya Windows Vista çalıştıran istemci bilgisayarlarla kullanılabilir. L2TP, IPsec için kimlik doğrulama yöntemi olarak bilgisayar sertifikalarını veya önceden paylaşılan anahtarı destekler. Önerilen kimlik doğrulama yöntemi olan bilgisayar sertifikası kimlik doğrulaması, VPN sunucusu bilgisayara ve tüm VPN istemcisi bilgisayarlara bilgisayar sertifikası vermek için bir PKI’ye gereksinim duyar. L2TP/IPsec VPN bağlantıları, IPsec kullanarak veri gizliliği, veri bütünlüğü ve veri kimlik doğrulaması sağlar.

PPTP ve SSTP’nin aksine, L2TP/IPsec, IPsec katmanında makine kimlik doğrulaması ve PPP katmanında kullanıcı düzeyinde kimlik doğrulama yapılmasını sağlar.

 SSTP yalnızca Windows Vista Service Pack 1 (SP1) veya Windows Server 2008 çalıştıran istemci bilgisayarlarla kullanılabilir. SSTP VPN bağlantıları, SSL kullanarak veri gizliliği, veri bütünlüğü ve veri kimlik doğrulaması sağlar. 

 Üç tünel türünün hepsi PPP çerçevelerini ağ protokolü yığınının üstünde taşır. Bu nedenle kimlik doğrulama düzenleri, Internet Protokolü sürüm 4 (IPv4) ve Internet Protokolü sürüm 6 (IPv6) anlaşması ve Ağ Erişim Koruması (NAP) gibi ortak PPP özellikleri bu üç tünel türünde de değişmez.

Bu durumlar RFClerde belgelenmiş vaziyettedir ;

 PPTP IETF RFC Veritabanı içindeki RFC 2637’de belgelenmiştir.

 L2TP IETF RFC Veritabanı içindeki RFC 2661’de belgelenmiştir

 L2TP/IPsec IETF RFC Veritabanı içindeki RFC 3193’te belgelenmiştir.

VPN ve Güvenlik Duvarları

Bir sanal özel ağ (VPN) uzaktan erişim çözümü tasarlarken, sunucu yerleşimi için aşağıdaki iki seçenek arasından seçim yapın. Her seçeneğin tasarım gereksinimleri farklıdır.

 Güvenlik duvarının arkasındaki VPN sunucusu. Gvenlik duvarı Internet’e bağlıdır ve güvenlik duvarı ile intranet arasında VPN sunucusu bulunmaktadır. Bir güvenlik duvarının, VPN sunucusu ile intranet arasında konumlandırıldığı ve bir diğer güvenlik duvarının, VPN sunucusu ile Internet arasında konumlandırıldığı bir çevre ağı yapılandırmasında kullanılan yerleşim budur.

 Güvenlik duvarının önündeki VPN sunucusu. VPN sunucusu Internet’e bağlıdır ve VPN sunucusu ile intranet arasında güvenlik duvarı bulunmaktadır.

 

Bir güvenlik duvarının arkasındaki VPN sunucusu

 

Aşağıdaki şekilde gösterilen yapılandırmada, güvenlik duvarı Internet’e bağlıdır ve VPN sunucusu, filtrelenmiş alt ağ olarak da adlandırılan çevre ağına bağlı olan diğer bir intranet kaynağıdır. Çevre ağı, Web sunucuları ve FTP sunucuları gibi genellikle Internet kullanıcılarının kullanabildiği kaynakları içeren bir IP ağ kesimidir. VPN sunucusu, hem çevre ağı hem de intranet üzerinde bir arabirime sahiptir.

Bu yaklaşımda, tünel bakım trafiğinin ve tünellenmiş verilerin VPN sunucusuna geçişine izin vermek için; güvenlik duvarının, Internet ve çevre ağı arabirimleri üzerinde giriş ve çıkış filtreleriyle yapılandırılması gerekir. Ek filtreler, Web sunucularına, FPT sunucularına ve çevre ağı üzerindeki diğer sunucu türlerine giden trafiğin geçişine izin verebilir. Ek bir güvenlik katmanı sağlamak için VPN sunucusu, bu konu kapsamında “Bir güvenlik duvarının önündeki VPN sunucusu” başlıklı bölümde açıklandığı gibi, çevre ağı arabirimi üzerinde PPTP, SSTP veya L2TP/IPsec paket filtreleriyle de yapılandırılmalıdır.

Güvenlik duvarı her VPN bağlantısının şifreleme anahtarlarına sahip olmadığı için, yalnızca tünellenmiş verilerin düz metin üstbilgileri üzerinde filtreleme yapabilir; bu da tünellenen verilerin tümünün güvenlik duvarından geçmesi anlamına gelir. Ancak VPN bağlantısı için, VPN sunucusunu geçecek yetkisiz erişimi engelleyen bir kimlik doğrulama işlemi gerektiğinden, bu durum güvenlik açısından sorun teşkil etmez.

Güvenlik Duvarının Arkasındaki VPN Sunucusu

 image006 

Bir güvenlik duvarının arkasındaki VPN sunucusuna yönelik paket filtreleri

VPN sunucusu bir güvenlik duvarının arkasındaysa, paket filtreleri hem bir Internet arabirimi hem de bir çevre ağı arabirimi için yapılandırılmalıdır. Bu senaryoda güvenlik duvarı Internet’e bağlıdır ve VPN sunucusu, çevre ağına bağlı olan bir intranet kaynağıdır. VPN sunucusu, hem çevre ağı hem de Internet üzerinde bir arabirime sahiptir

Portlar için tanımlanan filtreleri tablolar halinde verdim. Öncelikle PPTP tarafına bakalım.

image007

Güvenlik Duvarının Internet Arabirimine Yönelik PPTP Bağlantıları

Aşağıdaki tabloda, güvenlik duvarının Internet arabirimi üzerindeki gelen ve giden PPTP filtreleri gösterilmektedir.

Güvenlik Duvarının Çevre Ağı Arabirimine Yönelik PPTP Bağlantıları

 

image008

Aşağıdaki tabloda, güvenlik duvarının çevre ağı arabirimi üzerindeki gelen ve giden PPTP filtreleri gösterilmektedir.

Şimdi ise L2TP tarafına bakalım.

 

Güvenlik Duvarının Internet Arabirimine yönelik L2TP/IPsec Bağlantıları

 

Aşağıdaki tabloda, güvenlik duvarının çevre ağı arabirimi üzerindeki gelen ve giden L2TP/IPsec filtreleri gösterilmektedir.

image009 

Not : UDP bağlantı noktası 1701’de L2TP trafiği için filtre gerekli değildir. Tünel bakım trafiği ve tünellenmiş veriler de dahil olmak üzere, güvenlik duvarı üzerindeki tüm L2TP trafiği, IPsec ESP ile şifrelenmiştir.

 

Güvenlik Duvarının Çevre Ağı Arabirimine Yönelik L2TP/IPsec Bağlantıları

 

Aşağıdaki tabloda, güvenlik duvarının çevre ağı arabirimi üzerindeki gelen ve giden L2TP/IPsec filtreleri gösterilmektedir.

image010 

 

Bir güvenlik duvarının önündeki VPN sunucusu

VPN sunucusu şekilde gösterildiği gibi güvenlik duvarının önünde ve Internet’e bağlı olduğunda; yöneticilerin, Internet arabirimine yalnızca VPN sunucusunun Internet üzerindeki arabiriminin IP adresine giden ve bu adresten gelen VPN trafiğine izin veren paket filtreleri eklemesi gerekir.

Gelen trafik için, tünellenmiş verilerin şifreleri VPN sunucusu tarafından çözüldüğünde veriler, trafiğin intranet kaynaklarına iletilmesine izin vermek üzere filtrelerini kullanan güvenlik duvarına iletilir. VPN sunucusundan geçen tek trafik, kimliği doğrulanmış VPN istemcileri tarafından oluşturulan trafik olduğu için; bu senaryoda güvenlik duvarı filtrelemesi, VPN kullanıcılarının belirtilen intranet kaynaklarına erişimini engellemek için kullanılabilir.

İntranet üzerinde izin verilen tek Internet trafiğinin, VPN sunucusu üzerinden geçmesi gerektiğinden bu yaklaşım, intranet kaynaklarının VPN dışı Internet kullanıcıları ile paylaşılmasını da engeller.

Güvenlik Duvarının Önündeki VPN Sunucusu

 image011

Bir güvenlik duvarının önündeki VPN sunucusuna yönelik paket filtreleri

VPN sunucusu bir güvenlik duvarının önünde ve Internet’e bağlı olduğunda, VPN sunucusu üzerindeki gelen ve giden paket filtreleri yalnızca VPN sunucusunun Internet arabiriminin IP adresine giden ve bu adresten gelen VPN trafiğine izin verecek biçimde yapılandırılmalıdır. VPN sunucusunun bir çevre ağında bulunduğu, VPN sunucusu ile intranet arasında bir güvenlik duvarının konumlandırıldığı ve VPN sunucusu ile Internet arasında bir diğer güvenlik duvarının konumlandırıldığı durumlarda bu yapılandırmayı kullanın.

 

VPN için Ağ Erişimi Koruması Zorlaması (NAP)

Ağ Erişimi Koruması (NAP) Windows Vista® ve Windows Server® 2008 tarafından sunulan yeni bir teknolojidir. NAP, ağınıza bağlanan bilgisayarlar için gerekli yazılım ve sistem yapılandırmalarını tanımlayan sistem durumu gereksinimleri oluşturmanızı ve kullanılmasını zorunlu tutmanızı sağlayan istemci ve sunucu bileşenleri içerir. NAP istemci bilgisayarların durumunu inceleyip değerlendirerek, sistem durumu gereksinimlerini zorlar, uyumlu olmadığı düşünülen istemci bilgisayarlar bağlandığında ağ erişimini kısıtlar ve uyumlu olmayan istemci bilgisayarların ağa sınırsız bağlanmaları için düzeltmeler yapar. NAP, ağa bağlanmaya çalışan istemci bilgisayarlarda sistem durumu gereksinimini zorlar. NAP ayrıca, uyumlu bir istemci bilgisayar ağa bağlandığında, sistem durumu zorlaması sağlamaya devam eder.

NAP zorlaması, istemci bilgisayar, Yönlendirme ve Uzaktan Erişim hizmetini çalıştıran sanal özel ağ (VPN) sunucusu gibi bir ağ erişimi sunucusu üzerinden ağa erişmeyi veya diğer ağ kaynaklarıyla iletişim kurmayı denediği anda başlar.

VPN için NAP zorlaması

VPN için NAP zorlaması bir VPN zorlama sunucusu bileşeni ve VPN zorlama istemcisi bileşeniyle birlikte dağıtılır. VPN için NAP zorlaması kullanan VPN sunucuları, istemci bilgisayarlar VPN bağlantısını kullanarak ağa bağlanmayı denediğinde, sistem durumu ilkesini zorlayabilirler. VPN zorlaması, ağa bir VPN bağlantısı üzerinden erişen tüm bilgisayarlar için etkili bir sınırlı ağ erişimi sağlar.

Not 

 VPN zorlaması, Windows Server 2003’ün ve Internet Security and Acceleration (ISA) Server 2004’ün bir özelliği olan Ağ Erişimi Karantina Denetimi’nden farklıdır.

Gereksinimler

VPN ile birlikte NAP dağıtımı yapmak için şunları yapılandırmanız gerekir:

 Yönlendirme ve Uzaktan Erişim sunucusunu bir VPN sunucusu olarak yükleyin ve yapılandırın.

 NPS’de VPN sunucularını RADIUS istemcileri olarak yapılandırın. Ayrıca, bağlantı isteği ilkesini, ağ ilkesini ve NAP sistem durumu ilkesini de yapılandırın. Bu ilkeleri NPS konsolunu kullanarak tek tek yapılandırabilir veya Yeni Ağ Erişimi Koruması sihirbazını kullanabilirsiniz.

 NAP kullanabilen istemci bilgisayarlarda NAP VPN zorlaması istemcisini ve NAP hizmetini etkinleştirin.

 Windows Güvenliği Sistem Durumu Doğrulayıcısı’nı yapılandırın veya NAP dağıtımınıza bağlı olarak diğer sistem durumu aracılarını (SHA) ve sistem durumu doğrulayıcılarını (SHV) yükleyin ve yapılandırın.

 Akıllı kartlar veya sertifikalarla birlikte PEAP-TLS ya da EAP-TLS kullanıyorsanız, Active Directory Sertifika Hizmetleri (AD CS) ile birlikte bir ortak anahtar altyapısı (PKI) dağıtın.

 PEAP-MS-CHAP v2 kullanıyorsanız, sunucu sertifikalarını AD CS ile veya güvenilir bir kök sertifika yetkilisinden (CA) satın alarak verin.

VPN sunucusu olarak yapılandırılan Yönlendirme ve Uzaktan Erişim hizmeti yerel bilgisayarda yüklü değilse, şunları da yapılandırmanız gerekir:

 VPN sunucusu olarak yapılandırılmış Yönlendirme ve Uzaktan Erişim Hizmeti çalıştıran bilgisayarda, Ağ İlkesi Sunucusu’nu (NPS) yükleyin.

 Bağlantı isteklerini yerel NPS sunucusuna iletmek üzere, uzak Yönlendirme ve Uzaktan Erişim – NPS sunucusundaki NPS’yi RADIUS proxy olarak yapılandırın.

 

NAT ve VPN Kullanma

Genel dağıtım seçeneği olarak, farklı coğrafi konumlardaki ofisler arasında kurulan bağlantının bir veya her iki ucunda ağ adresi çevirisi (NAT) kullanılır. Windows Server® 2008 içindeki Yönlendirme ve Uzaktan Erişim hizmeti, iki tür sanal özel ağ (VPN) siteden siteye bağlantı sunar. Aşağıdaki tabloda NAT’yi bir VPN bağlantısıyla birlikte kullanabileceğiniz durumlar açıklanmaktadır.

image012 

Bir makalenin daha sonuna geldik. J VPN konusunda biraz olsun aydınlanabildiyseniz ne mutlu bana… Bir daha ki makalede görüşmek dileğiyle…

Kaynak :

Microsoft Technet

Kenan BÜLBÜL

Virtual Private Network’te ki Bağlantı Sorunları

Bir çoğumuzun derdidir bu bağlantı sorunları. Yaparsınız olmaz. Yapmazsınız olur. Bazen saatlerce sizi çıldırttığı olur. Ama bir takım sorunları bu makalede anlatacağım ve birazda microsoftun önerdiği çözüm yöntemleri ile sorunlara nasıl müdahale edebileceğimizi göreceğiz.

Sorun :

VPN sunucusunun ulaşılmaz olduğunu belirten 800 numaralı hata iletisi aldım.

 Nedeni: VPN istemcisinden gelen PPTP/L2TP paketleri VPN sunucusuna ulaşamıyor.

 Çözüm:

 VPN istemcisiyle VPN sunucusu arasında ping kullanımına izin verildiğini (engellenmediğini) varsayarak, VPN sunucusuna ping yapın. Ağ bağlantınızın olduğunu ve VPN sunucusunda yapılandırılan paket filtrelerinin iletişimi engellemediğini doğrulayın.

 Varsayılan olarak, VPN sunucusu rolü için Yönlendirme ve Uzaktan Erişim hizmetini yapılandırdığınızda, VPN sunucusunun Internet arabiriminde yalnızca PPTP ve L2TP/IPsec paketlerine izin verilir. Ping komutu tarafından kullanılan Internet Denetim İletisi Protokolü (ICMP) paketleri filtre tarafından dışlanır. VPN sunucusunda ping yapabilmek için ICMP trafiğine izin veren bir giriş filtresi ve çıkış filtresi ekleyin.

 PPTP trafiğine izin vermek için, ağ güvenlik duvarını 1723 numaralı TCP bağlantı noktasını açacak ve VPN sunucusuna gelen Genel Yönlendirme Kapsüllemesi Protokolü (GRE) trafiğine yönelik 47 numaralı IP protokolünü VPN sunucusuna iletecek şekilde yapılandırın. Bazı güvenlik duvarları 47 numaralı IP protokolünü VPN veya PPTP geçişi olarak adlandırır. Tüm güvenlik duvarları 47 numaralı IP protokolünü desteklemez. Bellenimi yükseltmeniz gerekebilir.

 L2TP trafiğine izin vermek için, ağ güvenlik duvarını 1701 numaralı UDP bağlantı noktasını açacak ve Internet Protokolü güvenliği (IPsec) ESP biçimli paketlere izin verecek (50 numaralı IP protokolü) şekilde yapılandırın.

 VPN sunucusunun PPTP trafiğini 1723 numaralı TCP bağlantı noktası üzerinden ve L2TP trafiğini 1701 numaralı UDP bağlantı noktası üzerinden dinlediğini denetleyin. VPN sunucusunda komut satırından şunu yazın:

netstat -aon

Şunları görmeniz gerekir:

TCP 0.0.0.0:1723 0.0.0.0:0 LISTENING

UDP 0.0.0.0:1701 *:*

 PPTP ve L2TP paketlerinin VPN istemcisi ile VPN sunucusu arasında bırakılıp bırakılmadığını öğrenmek için Portqry komut satırı aracını kullanabilirsiniz. Daha fazla bilgi için, Portqry.exe komut satırı hizmet programının açıklaması başlıklı konuya (http://go.microsoft.com/fwlink/?LinkId=71609) bakın.

PPTP bağlantı noktasını sorgulamak için şu komutu kullanın: portqry.exe -n <sunucu_IP_adresi> -e 1723

L2TP bağlantı noktasını sorgulamak için şu komutu kullanın: portqry.exe -n <sunucu_IP_adresi> -e 1701 -p UDP

Sorgu sonucunda “NOT LISTENING/FILTERED” bilgisi varsa, Yönlendirme ve Uzaktan Erişimi çalıştıran sunucudaki bağlantı noktası yapılandırmasını denetleyin.

Sorun :

Uzak bilgisayarın yanıt vermediğini belirten 721 numaralı hata iletisi aldım.

 Nedeni: Bu sorun, ağ güvenlik duvarı GRE trafiğine (47 numaralı IP protokolü) izin vermediğinde oluşabilir. PPTP tünellenmiş veriler için GRE’yi kullanır.

 Çözüm: VPN istemcisi ile sunucusu arasındaki ağ güvenlik duvarını GRE’ye izin verecek şekilde yapılandırın. Ayrıca, ağ güvenlik duvarının 1723 numaralı bağlantı noktası üzerindeki TCP trafiğine izin verdiğinden de emin olun. PPTP kullanarak VPN bağlantısı oluşturmak için bu koşulların her ikisinin de sağlanması gerekir. Daha fazla bilgi için “Windows Server tabanlı uzaktan erişim sunucunuz üzerinden bir VPN bağlantısı oluşturmayı denediğinizde “Hata 721″ hata iletisini alıyorsunuz” başlıklı, 888201 numaralı makaleye bakın (http://go.microsoft.com/fwlink/?LinkId=71610).

Not:

 Güvenlik duvarı VPN istemcisinde veya istemcinin önünde ya da VPN sunucusunun önünde olabilir.

Sorun:

Şifreleme uyuşmazlığı hatası olduğunu belirten 741/742 numaralı hata iletisi aldım.

 Nedeni: Bu hatalar, VPN istemcisinin geçersiz bir şifreleme düzeyi isteğinde bulunması veya VPN sunucusunun istemci tarafından istenen bir şifreleme türünü desteklememesi durumunda oluşur.

 Çözüm:

 VPN istemcisindeki VPN bağlantısının özelliklerini (Güvenlik sekmesi) denetleyin. Veri şifrelemesi iste (yoksa bağlantıyı kes) seçiliyse, bu seçimi kaldırın ve bağlantıyı yeniden deneyin.

 Ağ İlkesi Sunucusu (NPS) kullanıyorsanız, NPS konsolundaki ağ ilkesinin veya diğer RADIUS sunuculardaki ilkelerin şifreleme düzeylerini denetleyin. VPN istemcisi tarafından istenen şifreleme düzeyinin VPN sunucusunda seçili olduğundan emin olun.

Sorun :

Uzaktan erişim VPN bağlantısı kuramıyorum.

 Çözüm:

 Ping komutunu kullanarak ana bilgisayar adının doğru IP adresine çözümlendiğini doğrulayın. Ping işleminin kendisi, VPN sunucusuna/sunucusundan gönderilen ICMP iletilerinin teslimini engelleyen paket filtreleme nedeniyle başarısız olabilir.

 VPN istemcisinin kullanıcı adı, parola ve etki alanı adını içeren kimlik bilgilerinin doğru olduğundan ve VPN sunucusu tarafından doğrulanabildiğinden emin olun.

 VPN istemcisinin kullanıcı hesabının kilitli olmadığını, süresinin dolmadığını, devre dışı olmadığını ve bağlantının yapıldığı zamanın oturum açma saatleri olarak yapılandırılan zamana denk gelmediğini doğrulayın. Hesaba ait parolanın süresi dolduysa, uzaktan erişim VPN istemcisinin MS-CHAP v2’yi kullandığını doğrulayın. MS-CHAP v2, Windows Server 2008 ile sağlanan bir protokol olarak, bağlantı işlemi sırasında süresi dolan bir parolanın değiştirilmesine izin veren tek kimlik doğrulama protokolüdür.

Parola süresi dolan yönetici düzeyinde bir hesap için, parolayı, başka bir yönetici düzeyinde hesap kullanarak sıfırlayın.

 Kullanıcı hesabının, uzaktan erişim hesabı kilitlenmesi nedeniyle kilitlenmiş olmadığını doğrulayın.

 VPN sunucusunda Yönlendirme ve Uzaktan Erişim hizmetinin çalışıyor olduğunu doğrulayın.

 Yönlendirme ve Uzaktan Erişim ek bileşenindeki bir VPN sunucusunun özelliklerinde bulunan Genel sekmesinden, VPN sunucusunun uzaktan erişim için etkinleştirilmiş olduğunu doğrulayın.

 Yönlendirme ve Uzaktan Erişim ek bileşenindeki Bağlantı noktaları nesnesinin özelliklerinden, WAN Miniport (PPTP) ve WAN Miniport (L2TP) aygıtlarının gelen uzaktan erişim için etkinleştirildiğini doğrulayın.

 VPN istemcisinin, VPN sunucusunun ve VPN bağlantılarına karşılık gelen ağ ilkesinin en az bir ortak kimlik doğrulama yöntemi kullanacak şekilde yapılandırıldığını doğrulayın.

 VPN istemcisinin ve VPN bağlantılarına karşılık gelen ağ ilkesinin en az bir ortak şifreleme dayanıklılığı kullanacak şekilde yapılandırıldığını doğrulayın.

 Bağlantı parametrelerinin ağ ilkeleri üzerinden izne sahip olduğunu doğrulayın.

Bağlantının kabul edilebilmesi için bağlantı denemesine ait parametrelerde şunlar zorunludur:

 En azından bir ağ ilkesinin tüm koşullarını sağlamalıdır.

 Kullanıcı hesabı üzerinden ağ erişimine izin verilmiş (Erişime izin ver olarak ayarlanmış) veya kullanıcı hesabında NPS Ağ İlkesi aracılığıyla erişimi denetle seçeneği seçiliyse, karşılık gelen ağ ilkesinin ağ erişim izninde Ağ erişim izni ver seçeneği seçilmiş olmalıdır.

 Profilin tüm ayarlarıyla eşleşmelidir.

 Kullanıcı hesabının çevirme özelliklerinin tüm ayarlarıyla eşleşmelidir.

Bağlantı denemesini reddeden ağ ilkesinin adını öğrenmek için, hesap günlüğünde bağlantı denemesine karşılık gelen ilke adına bakın. NSP bir RADIUS sunucusu olarak kullanılıyorsa, Sistem olayı günlüğünde bağlantı denemesine ait girişi denetleyin.

 Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Sihirbazı’nı çalıştırdığınızda etki alanı yöneticisi izinlerine sahip bir hesabı kullanarak oturum açtıysanız, RAS ve IAS Sunucuları etki alanı yerel güvenlik grubunun bilgisayar hesabı otomatik olarak eklenir. Bu grup üyeliği, VPN sunucusu bilgisayarının kullanıcı hesap bilgilerine erişmesine izin verir. VPN sunucusu kullanıcı hesap bilgilerine erişemiyorsa, şunları doğrulayın:

 VPN sunucusu bilgisayarının bilgisayar hesabı, VPN sunucusunun uzaktan erişim kimlik doğrulaması yaptığı kullanıcı hesaplarını içeren tüm etki alanları için RAS ve IAS Sunucuları güvenlik grubunun bir üyesidir. Geçerli kaydı görüntülemek için komut istemcisinde netsh ras show registeredserver komutunu kullanabilirsiniz. Sunucuyu VPN sunucusunun üyesi olduğu bir etki alanına veya diğer etki alanlarına kaydetmek için netsh ras add registered server komutunu kullanabilirsiniz. Ayrıca, siz veya etki alanı yöneticiniz VPN sunucusu bilgisayarının bilgisayar hesabını, VPN sunucusunun uzaktan erişim kimlik doğrulaması yaptığı kullanıcı hesaplarını içeren tüm etki alanlarının RAS ve IAS Sunucuları güvenlik grubuna da ekleyebilirsiniz.

 VPN sunucusu bilgisayarını RAS ve IAS Sunucuları güvenlik grubuna ekler veya bu gruptan kaldırırsanız, yapılan değişiklik (Windows Server 2008’nun Active Directory bilgilerini önbelleğe alma şekli nedeniyle) hemen etkili olmaz. Değişikliklerin hemen etkili olması için VPN sunucusu bilgisayarını yeniden başlatmanız gerekir.

 Windows kimlik doğrulaması için yapılandırılmış karma mod veya yerel mod bir Active Directory® etki alanına üye VPN sunucusunda şunları doğrulayın:

 RAS ve IAS Sunucuları güvenlik grubu olmadır. Yoksa, grubu oluşturun ve grubun türünü Güvenlik olarak, grubun kapsamını da Yerel etki alanı olarak ayarlayın.

 RAS ve IAS Sunucuları güvenlik grubunun RAS ve IAS Sunucuları Erişim Denetimi nesnesi için Okuma izni olmalıdır.

 IP’nin VPN sunucusunda uzaktan erişim için etkinleştirildiğini doğrulayın.

 VPN sunucusundaki tüm PPTP veya L2TP bağlantı noktalarının kullanılıyor olmadığını doğrulayın. Gerekirse, aynı anda daha fazla bağlantıya izin vermek için Yönlendirme ve Uzaktan Erişim ek bileşenindeki Bağlantı noktaları nesnesinin özelliklerinden PPTP numarasını L2TP bağlantı noktalarına değiştirin.

 VPN sunucusunun VPN istemcisinin tünel protokolünü desteklediğini doğrulayın.

Varsayılan olarak Windows 2000 uzaktan erişim VPN istemcilerinde Otomatik sunucu türü seçeneği seçilidir. Bu şekilde öncelikle L2TP/IPsec tabanlı VPN bağlantısı kurulmaya çalışılır, daha sonra PPTP tabanlı bir VPN bağlantısı denenir. Noktadan Noktaya Tünel Protokolü (PPTP) veya Katman İki Tünel Protokolü (L2TP) sunucu türü seçeneklerinden birisi seçiliyse, seçili tünel protokolünün VPN sunucusu tarafından desteklendiğini doğrulayın.

Varsayılan olarak Windows XP uzaktan erişim VPN istemcilerinde Otomatik VPN türü seçeneği seçilidir. Bu şekilde öncelikle PPTP tabanlı VPN bağlantısı kurulmaya çalışılır, daha sonra L2TP/IPsec tabanlı bir VPN bağlantısı denenir. PPTP VPN veya L2TP IPsec VPN türlerinden biri seçiliyse, VPN sunucusunun seçili tünel protokolünü desteklediğini doğrulayın.

Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Sihirbazı’nı çalıştırdığınızda yaptığınız seçimlere bağlı olarak, Yönlendirme ve Uzaktan Erişim hizmetini çalıştıran bir Windows Server 2008 bilgisayarı beş veya 128 L2TP bağlantı noktası ve beş veya 128 PPTP bağlantı noktası olan bir PPTP ve L2TP sunucusudur. Yalnızca bir PPTP sunucusu oluşturmak için L2TP bağlantı noktası sayısını sıfır olarak ayarlayın. Yalnızca bir L2TP sunucusu oluşturmak için PPTP bağlantı noktası sayısını 1 olarak ayarlayın ve Yönlendirme ve Uzaktan Erişim ek bileşenindeki Bağlantı noktaları nesnesinin özelliklerinden WAN Miniport (PPTP) aygıtı için uzaktan erişim gelen bağlantıları ve isteğe bağlı arama bağlantılarını devre dışı bırakın.

 L2TP/IPsec bağlantıları için, VPN istemcisinde ve VPN sunucusunda makine sertifikaları olarak da bilinen bilgisayar sertifikalarının yüklü olduğunu doğrulayın.

 VPN sunucusu statik IP adresi havuzları ile yapılandırılmışsa, yeterli adres olduğunu doğrulayın. Statik havuzlardaki adreslerin tümü VPN istemcilerine bağlanmak üzere ayrıldıysa, VPN sunucusu TCP/IP tabanlı bağlantılar için bir IP adresi ayıramayabilir ve bağlantı denemesi reddedilir.

 Kimlik doğrulama sağlayıcısının yapılandırmasını doğrulayın. VPN sunucusu VPN istemcisinin kimlik bilgilerinin doğrulanması için Windows veya RADIUS’u kullanacak şekilde yapılandırılabilir.

 RADIUS kimlik doğrulaması için, VPN sunucusu bilgisayarının RADIUS sunucusuyla iletişim kurabildiğini doğrulayın.

 Yerel mod etki alanı üyesi bir VPN sunucusu için, VPN sunucusunun etki alanına katılmış olduğunu doğrulayın.

 MS-CHAP kullanan ve 40-bit MPPE şifreleme anlaşmasını deneyen PPTP bağlantıları için, kullanıcının parolasının 14 karakterden uzun olmadığını doğrulayın.

L2TP/IPsec kimlik doğrulama sorunları

L2TP/IPsec bağlantısı en çok şu nedenlerden dolayı başarısız olur:

 Sertifika yok

Varsayılan olarak, L2TP/IPsec bağlantıları uzaktan erişim sunucusunun ve uzaktan erişim istemcisinin IPsec eş kimlik doğrulaması için bilgisayar sertifikaları değişimi yapmalarını gerektirir. Uygun bir sertifikanın bulunduğundan emin olmak için, Sertifika ek bileşenini kullanarak Yerel Bilgisayar sertifikasının hem uzaktan erişim istemcisi hem de uzaktan erişim sunucusu sertifikalarını depoladığını denetleyin.

 Hatalı sertifika

Sertifika varsa, doğrulanabilir olmalıdır. IPsec kurallarını el ile yapılandırmanın aksine, L2TP/IPsec bağlantıları için sertifika yetkilileri (CA) listesi yapılandırılamaz. Bunun yerine, L2TP bağlantısındaki her bilgisayar IPsec eşine kök CA’ların listesini gönderir ve ondan gelecek kimlik doğrulama sertifikasını kabul eder. Bu listedeki kök CA’lar, bilgisayara bilgisayar sertifikaları veren kök CA’lara karşılık gelir. Örneğin, A Bilgisayarı CertAuth1 ve CertAuth2 kök CA’lar tarafından bilgisayar sertifikaları verildiyse, ana mod anlaşması sırasında IPsec eşine, kimlik doğrulama için yalnızca CertAuth1 ve CertAuth2’den gelen sertifikaları kabul edeceğini bildirir. IPsec eşi olan B Bilgisayarı CertAuth1 veya CertAuth2 tarafından verilen geçerli bir bilgisayar sertifikasına sahip değilse, IPsec güvenlik anlaşması başarısız olur.

VPN istemcisinde, sertifikayı veren CA’dan VPN sunucusunun güvendiği kök CA’ya kadar geçerli sertifika zincirini izleyen bir CA tarafından verilmiş, geçerli bir bilgisayar sertifikası yüklü olmalıdır. Ayrıca, VPN sunucusunda, sertifikayı veren CA’dan VPN istemcisinin güvendiği kök CA’ya kadar geçerli sertifika zincirini izleyen bir CA tarafından verilmiş geçerli bir bilgisayar sertifikası yüklü olmalıdır.

Varsayılan olarak, L2TP/IPsec bağlantıları uzaktan erişim sunucusunun ve uzaktan erişim istemcisinin IPsec eş kimlik doğrulaması için bilgisayar sertifikaları değişimi yapmalarını gerektirir. Uygun bir sertifikanın bulunduğundan emin olmak için, Sertifika ek bileşenini kullanarak Yerel Bilgisayar sertifikasının hem uzaktan erişim istemcisi hem de uzaktan erişim sunucusu sertifikalarını depoladığını denetleyin.

 Uzaktan erişim istemcisi ve uzaktan erişim sunucusu arasında NAT kullanma

Windows 2000, Windows Server 2003 veya Windows XP tabanlı L2TP/IPsec istemcisinde ve Windows Server 2008 L2TP/IPsec sunucusu arasında bir NAT varsa, hem istemci hem de sunucu IPsec NAT-T’yi desteklemediği sürece L2TP/IPsec bağlantısı oluşturamazsınız.

 Uzaktan erişim istemcisi ve uzaktan erişim sunucusu arasında güvenlik duvarı kullanma

Windows L2TP/IPsec istemcisi ve Windows Server 2008 L2TP/IPsec sunucusu arasında bir güvenlik duvarı varsa ve L2TP/IP bağlantısı kuramıyorsanız, güvenlik duvarı tarafından L2TP/IPsec trafiğinin iletilmesine izin verildiğini doğrulayın.

IPsec kimlik doğrulama sorunlarını gidermek üzere kullanılabilecek en iyi araçlardan biri Oakley günlüğüdür.

EAP-TLS kimlik doğrulama sorunları

Kimlik doğrulama için EAP-TLS kullanıldığında, VPN istemcisi bir kullanıcı sertifikası ve kimlik doğrulama sunucusu (VPN sunucusu veya RADIUS sunucusu) bir bilgisayar sertifikası gönderir.

Kimlik doğrulama sunucusu tarafından VPN istemcisinin sertifikasının doğrulanabilmesi için, VPN istemcisi tarafından gönderilen sertifika zincirindeki tüm sertifikalarda aşağıdakilerin doğru olması gerekir:

 Geçerli tarih, sertifikanın geçerlilik tarihleri arasında olmalıdır.

Sertifikalar verilirken geçerli olacakları bir tarih aralığı belirtilir ve bu tarihlerin öncesinde kullanılamazlar, sonrasında ise süresi dolmuş olarak değerlendirilirler.

 Sertifikanın iptal edilmemiş olması gerekir.

Verilen sertifikalar herhangi bir zamanda iptal edilebilir. Sertifika veren CA’ların hepsi güncel bir sertifika iptal listesi (CRL) yayımlayarak, artık geçerli sayılmaması gereken sertifikaların listesini tutar. Varsayılan olarak, kimlik doğrulama sunucusu iptal için VPN istemcilerinin sertifika zincirindeki tüm sertifikaları (VPN istemcisinin sertifikasından kök CA’ya kadar olan sertifikalar) denetler. Zincirdeki sertifikalardan herhangi biri iptal edilmişse sertifika doğrulama işlemi başarısız olur. Bu eylem, konunun ileriki bölümlerinde açıklandığı şekilde kayıt defteri ayarlarından değiştirilebilir.

Sertifika ek bileşenindeki bir sertifikanın CRL dağıtım noktalarını görüntülemek için sertifika özelliklerini açın, Ayrıntılar sekmesini tıklatın ve ardından CRL Dağıtım Noktaları alanını tıklatın.

Sertifika iptalinin doğrulanması yalnızca CRL yayımlama ve dağıtım sistemine koşut olarak çalışır. Bir sertifikadaki CRL sıklıkla güncelleştirilmiyorsa, kimlik doğrulama sunucusunun denetlediği yayımlanan CRL güncel olmadığından, iptal edilen bir sertifika kullanılmaya devam edilebilir ve geçerli sayılır.

 Sertifikada geçerli bir dijital imza olması gerekir.

CA’lar verdikleri sertifikaları dijital olarak imzalar. Kimlik doğrulama sunucusu kök CA sertifikası hariç zincirdeki her sertifikanın dijital imzasını doğrular. Bunun için sertifikaları veren CA’dan ortak anahtarı alır ve dijital imzayı matematiksel olarak doğrular.

VPN istemci sertifikasının İstemci Kimlik Doğrulaması sertifika amacı da olması (Gelişmiş Anahtar Kullanımı [EKU] olarak da bilinir) (Nesne tanımlayıcı 1.3.6.1.5.5.7.3.2) ve sertifikanın Konu Diğer Adı özelliği için ya geçerli bir kullanıcı hesabına ait bir UPN ya da geçerli bilgisayar hesabına ait FQDN içermesi gerekir.

Sertifika ek bileşeninde bir sertifikaya ait EKU’yu görüntülemek için sertifikayı çift tıklatın, Ayrıntılar sekmesini tıklatın ve ardından Gelişmiş Anahtar Kullanımı alanını tıklatın. Sertifika ek bileşeninde bir sertifikaya ait konu diğer adı özelliğini görüntülemek için sertifikayı çift tıklatın, Ayrıntılar sekmesini tıklatın ve ardından Konu Diğer Adı alanını tıklatın.

Son olarak, VPN istemcisi tarafından sunulan sertifika zincirine güvenilebilmesi için, kimlik doğrulama sunucusunun Güvenilen Kök Sertifika Yetkilileri deposunda VPN istemcisi sertifikasını veren ayımlayan CA’nın kök CA sertifikası yüklenmiş olmalıdır.

Ayrıca, kimlik doğrulama sunucusu EAP-Yanıtı/Kimliği iletisinde gönderilen kimliğin, sertifikanın Konu Diğer Adı özelliğindeki adla aynı olduğunu da doğrular. Bu şekilde kötü niyetli bir kullanıcının kendisini EAP-Yanıtı/Kimliği iletisinde belirtilen bir kişi olarak tanıtması önlenir.

VPN istemcisi tarafından kimlik doğrulama sunucusunun sertifikasının EAP-TLS kimlik doğrulamalarından biri olarak doğrulanabilmesi için, kimlik doğrulama sunucusu istemcisi tarafından gönderilen sertifika zincirindeki her sertifikada aşağıdakilerin doğru olması gerekir:

 Geçerli tarih, sertifikanın geçerlilik tarihleri arasında olmalıdır.

Sertifikalar verilirken geçerli olacakları bir tarih aralığı belirtilir ve bu tarihlerin öncesinde kullanılamazlar, sonrasında ise süresi dolmuş olarak değerlendirilirler.

 Sertifikada geçerli bir dijital imza olması gerekir.

CA’lar verdikleri sertifikaları dijital olarak imzalar. VPN istemcisi kök CA sertifikası hariç zincirdeki her sertifikanın dijital imzasını doğrular. Bunun için sertifikaları veren CA’dan ortak anahtarı alır ve dijital imzayı matematiksel olarak doğrular.

Ayrıca, kimlik doğrulama sunucusu bilgisayar sertifikasının Sunucu Kimlik Doğrulaması EKU’suna (Nesne tanımlayıcı 1.3.6.5.5.7.3.1) sahip olması gerekir. Sertifika ek bileşeninde bir sertifikaya ait EKU’yu görüntülemek için sertifikayı çift tıklatın, Ayrıntılar sekmesini tıklatın ve ardından Gelişmiş Anahtar Kullanımı alanını tıklatın.

Son olarak, kimlik doğrulama sunucusu tarafından sunulan sertifika zincirine güvenilebilmesi için, VPN istemcisinin Güvenilen Kök Sertifika Yetkilileri deposunda kimlik doğrulama sunucusu sertifikasını veren CA’nın kök CA sertifikası yüklenmiş olmalıdır.

VPN istemcisinin, kimlik doğrulama sunucusunun bilgisayar sertifikasının sertifika zincirindeki sertifikalar için sertifika iptali denetimi yapmadığına dikkat edin. Buradaki varsayım, VPN istemcisinin henüz bir ağ bağlantısı olmaması ve bu nedenle sertifika iptalini denetlemek üzere bir Web sayfasına veya diğer kaynaklara erişemeyecek olmasıdır.

Bağlantı denemesi reddedilmesi gerekirken kabul ediliyor

 Kullanıcı hesabındaki ağ erişim izninin Erişimi engelle veya NPS Ağ İlkesi aracılığıylaErişim Denetle olarak ayarlanmış olduğunu doğrulayın. İkinci seçenek olarak ayarlanmışsa, eşleşen ilk ağ ilkesinin ağ erişim izninin Erişimi engelle. Bağlantı isteği bu ilkeyle eşleşiyorsa, erişimi engelle. olarak ayarlandığını doğrulayın. Bağlantı girişimini kabul eden ağ ilkesinin adını almak için hesap oluşturma günlüğünde ilke adına yönelik bağlantı girişimine karşılık gelen girdiyi arayın.

 Tüm bağlantıları açıkça reddeden bir ağ ilkesi oluşturduysanız ilke koşullarını, ağ erişim iznini ve profil ayarlarını doğrulayın.

VPN istemcileri VPN sunusunun ötesindeki kaynaklara erişemiyor

 Protokolün yönlendirme için etkinleştirilmiş olduğunu veya çevirmeli istemcilerin VPN istemcileri tarafından kullanılan LAN protokolleri için tüm ağa erişme izin verildiğini doğrulayın.

 VPN sunucusunun IP adresi havuzlarını doğrulayın.

VPN sunucusu statik bir IP adresi havuzu kullanmak üzere yapılandırıldıysa, statik IP adresi havuzları tarafından tanımlanan adres aralığına yapılan yönlendirmelerin ana bilgisayarlar ve intranet yönlendiricileri tarafından erişilebildiğini doğrulayın. Aksi takdirde, VPN sunucusunun statik IP adresi havuzlarından oluşan, IP adresi ve aralık maskesiyle tanımlanan bir IP yönlendirmenin intranet yönlendiricilere eklenmesi veya VPN sunucusundaki yönlendirilmiş altyapınıza ait yönlendirme protokolünün etkinleştirilmesi gerekir. Uzaktan erişim VPN istemcisi alt ağlarına yönlendirme yoksa, uzaktan erişim VPN istemcileri intranet üzerindeki konumlardan gelen trafiği alamaz. Alt ağlar için yönlendirmeler statik yönlendirme girişleri aracılığıyla veya Yönlendirme Bilgisi Protokolü (RIP) gibi bir yönlendirme protokolüyle uygulanır.

VPN sunucusu IP adresi ayırmak için DHCP kullanmak üzere yapılandırıldıysa ve kullanılabilir DHCP sunucusu yoksa, VPN sunucusu Otomatik Özel IP Adresleme’den (APIPA) 169.254.0.1 ile 169.254.255.254 aralığında adres atar. Uzaktan erişim istemcileri için APIPA adreslerinin ayrılması, yalnızca VPN sunucusunun bağlı bulunduğu ağın da APIPA adresleri kullanması durumunda işe yarar.

Kullanılabilir bir DHCP sunucusu varken VPN sunucusu APIPA adreslerini kullanıyorsa, DHCP ile ayrılan IP adreslerinin alındığı uygun bağdaştırıcının seçildiğini doğrulayın. Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Sihirbazı varsayılan bağdaştırıcıyı otomatik olarak atar. Bir LAN bağdaştırıcıyı Yönlendirme ve Uzaktan Erişim ek bileşenindeki VPN sunucusunun özelliklerinden erişilen IP sekmesindeki Bağdaştırıcı listesinden el ile seçebilirsiniz.

Statik IP adresi havuzları, VPN sunusunun bağlı bulunduğu ağa ait IP adresleri aralığının bir alt kümesi olan IP adresleri aralığıysa, statik IP adresi havuzundaki IP adresleri aralığının statik yapılandırma veya DHCP kullanılarak başka TCP/IP düğümlerine atanmadığını doğrulayın.

 Trafiğin gönderilmesini veya alınmasını engelleyen VPN bağlantılarına karşılık gelen ağ ilkelerinin profil özelliklerinde paket filtreleri bulunmadığını doğrulayın.

Tünel oluşturulamıyor

 VPN istemcisi ile VPN sunucusu arasındaki bir yönlendirici arabiriminde bulunan paket filtreleme tarafından tünel protokolü trafiğinin iletilmesinin önlenmediğini doğrulayın.

Windows Server 2008 çalıştıran bir VPN sunucusunda IP paket filtrelemesi bağımsız olarak gelişmiş TCP/IP özelliklerinden ve Yönlendirme ve Uzaktan Erişim ek bileşeninden yapılandırılabilir. VPN bağlantısı trafiğini dışlayabilecek filtreler için bu iki yere de bakın.

 VPN istemcisinde geçerli olarak Winsock Proxy istemcisinin çalışmadığını doğrulayın.

Winsock Proxy istemcisi etkin durumdayken, tünel oluşturmada ve tünellenmiş verileri iletmede kullanılan Winsock API çağrıları durdurulur ve yapılandırılmış bir proxy sunucuya iletilir.

Proxy sunucu tabanlı bir bilgisayar, bir kuruluşun doğrudan Internet’e bağlanmadan belirli türdeki Internet kaynaklarına erişmesine (genellikle Web ve FTP) izin verir. Kuruluş, bunun yerine özel IP ağı kimlikleri (10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16 gibi) kullanabilir.

Proxy sunucular genellikle bir kuruluştaki özel kullanıcıların genel Internet kaynaklarına sanki doğrudan Internet’e bağlıymışlar gibi erişebilmelerini sağlamak için kullanılır. VPN bağlantıları genellikle yetkili genel Internet kullanıcılarının özel kuruluş kaynaklarına sanki doğrudan özel ağa bağlıymışlar gibi erişebilmelerini sağlamak için kullanılır. Tek bir bilgisayar her iki yönde bilgi değişimini sağlamak üzere (özel kullanıcılar için) proxy sunucu gibi ve (yetkili Internet kullanıcıları için) VPN sunucu gibi çalışabilir.

Umarım bu makale sizlere VPN Sorunları konusunda yardımcı olabilecektir. Bir dahaki makalelerde görüşmek üzere…

Kaynak :

Microsoft Technet

Kenan BÜLBÜL

SMART CARD UYGULAMALARI – II (VPN)

 

Bir önceki makalemizde SmartCard’ın temel kurulum bilgileri ve Session logon yapabilmemiz için gerekli sertifika ayarlarını, sertifikanın smartcard’a yüklenmesi konusunu incelemiştik. Şimdi ise, uzak güvenli bağlantıların smartcard aracılığı ile sağlanması için “VPN with Smartcard” adlı konuyu incelemek istiyorum. 

 

Özellikle birçok kullanıcısının farklı coğrafi alanlarda bulunduğu şirket networklerine uzaktan alternatif bir erişim , VPN’in smartcard aracılığı ile yapılmasıdır. 

 

Bunun için sahip olmamız gereken topoloji , Windows 2003 domain yapımızda bulunan CA otoritesi ve bir de VPN bağlantılarını karşılayacak olan RAS sunucudur. 

 

 

Öncelikle RAS Vpn sunucumuza gerekli computer sertifikasını alarak işe başlayabiliriz.. 

 

 

1000000779_image001

 

Bunu yapmak için sunucu üzerinde certificates snap-in’i kullanıyoruz. 

 

 

1000000779_image002

 

Computer sertifikasını hazır template’lerden alabileceğimiz gibi, kendimiz de sunucuya özel bir sertifika olarak hazırlayabiliriz. Bunun için gerekli uygulama amacı “Server Authentication” olan bir sertifika yaratmaktır. 

 

Sertifikayı aldıktan sonra RAS sunucumuzu VPN hizmeti için yapılandırıyoruz. 

 

 

1000000779_image003

 Sunucu yapılandırıldıktan sonra makinanın sahip olduğu sertifikayı kontrol ediyoruz. 

 

1000000779_image004

 Sunucunun ayarlarına gelip Security Tab’ında bulunan authentication methods kısmında Sertifika ile bağlantıları sağlayabilmek için gerekli EAP protokolünü seçiyoruz. Bunun yanında, EAP’ın PPTP bağlantıları için kullanacağı metodlardan “smartcard or other certificate” ‘in seçili olması gerekiyor. 

 

 

1000000779_image005

 

 

Sunucu tarafındaki ayarlardan sonra, client tarafının ne şekilde yapılandırılacağını inceleyelim. Burada belirtmek istediğimiz bir husus, clientların herhangi bir yerden şirket network’une bağlanmak istediğinde bu ayarları yapabiliyor nitelikte bilgiye sahip olmaları gerekliliğidir. 

 

Yeni bağlantı sihirbazı ile VPN bağlatı tipini seçiyoruz, ve istenilen sunucu adres bilgisini girerek vpn bağlantı sihirbazını sonlandırıyoruz. 

 

 

1000000779_image006

  

Bağlantının özelliklerine geldiğimizde Security sekmesindeki güvenlik ayarlarını “Advanced (custom settings) ‘i seçerek değiştiriyoruz ve “settings” kısmına geldiğimizde , 

 

 

1000000779_image007

 

 

Logon Security bölümünde “ Use EAP” seçeneği ile birlikte “smartcard or other certificates” ‘i seçiyoruz ve hemen ardından bu kısımdaki Properties’i de editlemek üzere açıyoruz , 

 

 

1000000779_image008

 

 

Karşımıza çıkan yeni pencerede “Use my Smartcard” seçeneği default olarak seçili olduğundan, burada herhangi bir değişiklik yapmıyoruz. Gerekli değişiklikleri makalenin sonunda inceleyeceğimiz “sertifika ile Vpn” bölümünde yapacağız.

 

 

1000000779_image009

 

Şimdi ise smartcard’ın sisteme takılmasını ve VPN bağlantısının gerçekleştirilmesini inceleyelim, 

burada belirmek isteriz ki , smartcard okuyucu cihazın driver’ları ile birlikte client’ın üzerinde yüklü olması gerekiyor ve daha önceden şirketimiz CA sunucusundan yüklemiş olduğumuz sertifikanın smartcard’ımızda bulunması gerekiyor. Bu işlemlerin nasıl yapıldığı konusunu halihazırda I. Makalemizde incelemiştik. 

 

Aşağıdaki şekilde, yukarıdaki EAP bağlantı ayarlarını tamamladıktan sonra VPN bağlantısına Connect dediğimizde karşımıza çıkan pencere görülmektedir, elbette herhangi bir username ve parola sormamakla beraber, bize authentication için gerekli olan tek şeyin smartcard olduğunu hatırlatıyor ve kartı takmamızı istiyor. 

 

 

1000000779_image010

 

 

“Accessing Smartcard” mesaji görüntülenirken biz details’e bastığımızda o andaki okuyucuda takılı olan smartcard’ı ve kart bilgilerini görüntülemektedir. 

 

 

1000000779_image011

 

 

“OK” diyerek bağlantıyı gerçekleştirmek istediğimizde Smartcard’ın yerel bir güvenlik ilkesi olan PIN sorgulaması karşımıza gelmektedir, burada kart PIN numaramızı girerek devam ederiz. 

 

 

1000000779_image012

 

Sonunda kimlik doğrulanarak bağlantımız sağlanır..

 

 

1000000779_image013

 

 

Bağlantı bilgilerini incelediğimizde Authentication Method olarak EAP’ın kullanıldığını teyid edebiliriz.

 

 

1000000779_image014

 

 

SmartCard’ın kullanım alanlarından birisi olan VPN’i de kısaca incelemiş olduk. 

 

Kullanıcılarımızın bu tür yapılandırmalarda yaşayacakları zorluk bir tarafa, sürekli dolaşımda oldukları lokasyonlardan şirket network’ümüze güvenli bağlantılar oluşturmak istediklerinde ve bu yer değiştirilen lokasyonlardan ayrıldıklarında kendilerine ait birtakım security unsurlarını orada unutmak istemiyorlar ise, smartcard VPN seçeneği alternatif bir yol olarak kullanılabilir. 

 

 

 

Buraya kadar geldiğimizde VPN bağlantısının sertifika ile yapılmasına da değinmek istiyorum, 

 

Client’ımızın EAP ayarlarına geldiğimizde biz smartcard için “use my smartcard” seçeneğini kullanmıştık, şimdi ise “Use certificate… “ seçeneği ile bağlantının yerel makinada bulunacak olan sertifika ile yapılmasını sağlayacağız. 

 

 

1000000779_image015

 

 

Bunun icin otorite’den alacağımız user sertifikası yeterli olacaktır. Sertifikayı almadan önce yukarıdaki şekilde görebileceğimiz gibi, şirketimizin sertifika otoritesi Trusted Root listesinde bulunmamaktadır. Bu noktada Validate Server certificate seçeneğini kullanamayız,

 

User sertifikasını alıp install ettikten sonra ise ;

 

 

1000000779_image016

 

 Aşağıdaki güvenlik uyarısını alacağız, 

 

Tabii ki client’ların şirket dışında olacağını ve active directory yapımızda olmadıkları için alınacak bir sertifikanın trusted root container’ına gelemeyeceğinden dolayı, bize aşağıdaki güvenlik uyarısını vermektedir , ve onayladığımız takdirde ilgili sertifika client üzerinde Trusted root’a eklenecektir. 

 

 

1000000779_image017

 

 

 

Şu anda “Validate Server certificate” seçeneği ile CA otoritesi teyid edilebilecektir. Görüldüğü gibi bizim ADNCA isimli CA’imiz listede yer almaktadır.

 

 

1000000779_image018

 

 

İlgili ayarları tamamladıktan sonra aşağıdaki pencerede karşımıza çıkan sertifika ile bağlantı ve kullanıcı adı bilgilerini kontrol edebiliriz. Burada farklı kullanıcıların bağlanabilmesi için yukarıdaki “smartcard or other certificates” bölümünde en altta bulunan “ use different username for this connection “ ile farklı kullanıcı bağlantılarını ayrıca sağlayabiliriz. Bunun için her bir kullanıcı için kendilerine ait bir sertifikanın yüklü olması gerekiyor. 

 

 

1000000779_image019

 

Bağlantı ikonuna tıkladığımızda ise, username ve password sorgusundan arınmış tertemiz bir vpn penceresi karşımıza çıkmaktadır.. 

 

 

1000000779_image020

 

 

Bir sonraki makalede görüşmek dileğiyle..

Kağan ARISÜT