Virtual Private Network’te ki Bağlantı Sorunları

Bir çoğumuzun derdidir bu bağlantı sorunları. Yaparsınız olmaz. Yapmazsınız olur. Bazen saatlerce sizi çıldırttığı olur. Ama bir takım sorunları bu makalede anlatacağım ve birazda microsoftun önerdiği çözüm yöntemleri ile sorunlara nasıl müdahale edebileceğimizi göreceğiz.

Sorun :

VPN sunucusunun ulaşılmaz olduğunu belirten 800 numaralı hata iletisi aldım.

 Nedeni: VPN istemcisinden gelen PPTP/L2TP paketleri VPN sunucusuna ulaşamıyor.

 Çözüm:

 VPN istemcisiyle VPN sunucusu arasında ping kullanımına izin verildiğini (engellenmediğini) varsayarak, VPN sunucusuna ping yapın. Ağ bağlantınızın olduğunu ve VPN sunucusunda yapılandırılan paket filtrelerinin iletişimi engellemediğini doğrulayın.

 Varsayılan olarak, VPN sunucusu rolü için Yönlendirme ve Uzaktan Erişim hizmetini yapılandırdığınızda, VPN sunucusunun Internet arabiriminde yalnızca PPTP ve L2TP/IPsec paketlerine izin verilir. Ping komutu tarafından kullanılan Internet Denetim İletisi Protokolü (ICMP) paketleri filtre tarafından dışlanır. VPN sunucusunda ping yapabilmek için ICMP trafiğine izin veren bir giriş filtresi ve çıkış filtresi ekleyin.

 PPTP trafiğine izin vermek için, ağ güvenlik duvarını 1723 numaralı TCP bağlantı noktasını açacak ve VPN sunucusuna gelen Genel Yönlendirme Kapsüllemesi Protokolü (GRE) trafiğine yönelik 47 numaralı IP protokolünü VPN sunucusuna iletecek şekilde yapılandırın. Bazı güvenlik duvarları 47 numaralı IP protokolünü VPN veya PPTP geçişi olarak adlandırır. Tüm güvenlik duvarları 47 numaralı IP protokolünü desteklemez. Bellenimi yükseltmeniz gerekebilir.

 L2TP trafiğine izin vermek için, ağ güvenlik duvarını 1701 numaralı UDP bağlantı noktasını açacak ve Internet Protokolü güvenliği (IPsec) ESP biçimli paketlere izin verecek (50 numaralı IP protokolü) şekilde yapılandırın.

 VPN sunucusunun PPTP trafiğini 1723 numaralı TCP bağlantı noktası üzerinden ve L2TP trafiğini 1701 numaralı UDP bağlantı noktası üzerinden dinlediğini denetleyin. VPN sunucusunda komut satırından şunu yazın:

netstat -aon

Şunları görmeniz gerekir:

TCP 0.0.0.0:1723 0.0.0.0:0 LISTENING

UDP 0.0.0.0:1701 *:*

 PPTP ve L2TP paketlerinin VPN istemcisi ile VPN sunucusu arasında bırakılıp bırakılmadığını öğrenmek için Portqry komut satırı aracını kullanabilirsiniz. Daha fazla bilgi için, Portqry.exe komut satırı hizmet programının açıklaması başlıklı konuya (http://go.microsoft.com/fwlink/?LinkId=71609) bakın.

PPTP bağlantı noktasını sorgulamak için şu komutu kullanın: portqry.exe -n <sunucu_IP_adresi> -e 1723

L2TP bağlantı noktasını sorgulamak için şu komutu kullanın: portqry.exe -n <sunucu_IP_adresi> -e 1701 -p UDP

Sorgu sonucunda “NOT LISTENING/FILTERED” bilgisi varsa, Yönlendirme ve Uzaktan Erişimi çalıştıran sunucudaki bağlantı noktası yapılandırmasını denetleyin.

Sorun :

Uzak bilgisayarın yanıt vermediğini belirten 721 numaralı hata iletisi aldım.

 Nedeni: Bu sorun, ağ güvenlik duvarı GRE trafiğine (47 numaralı IP protokolü) izin vermediğinde oluşabilir. PPTP tünellenmiş veriler için GRE’yi kullanır.

 Çözüm: VPN istemcisi ile sunucusu arasındaki ağ güvenlik duvarını GRE’ye izin verecek şekilde yapılandırın. Ayrıca, ağ güvenlik duvarının 1723 numaralı bağlantı noktası üzerindeki TCP trafiğine izin verdiğinden de emin olun. PPTP kullanarak VPN bağlantısı oluşturmak için bu koşulların her ikisinin de sağlanması gerekir. Daha fazla bilgi için “Windows Server tabanlı uzaktan erişim sunucunuz üzerinden bir VPN bağlantısı oluşturmayı denediğinizde “Hata 721″ hata iletisini alıyorsunuz” başlıklı, 888201 numaralı makaleye bakın (http://go.microsoft.com/fwlink/?LinkId=71610).

Not:

 Güvenlik duvarı VPN istemcisinde veya istemcinin önünde ya da VPN sunucusunun önünde olabilir.

Sorun:

Şifreleme uyuşmazlığı hatası olduğunu belirten 741/742 numaralı hata iletisi aldım.

 Nedeni: Bu hatalar, VPN istemcisinin geçersiz bir şifreleme düzeyi isteğinde bulunması veya VPN sunucusunun istemci tarafından istenen bir şifreleme türünü desteklememesi durumunda oluşur.

 Çözüm:

 VPN istemcisindeki VPN bağlantısının özelliklerini (Güvenlik sekmesi) denetleyin. Veri şifrelemesi iste (yoksa bağlantıyı kes) seçiliyse, bu seçimi kaldırın ve bağlantıyı yeniden deneyin.

 Ağ İlkesi Sunucusu (NPS) kullanıyorsanız, NPS konsolundaki ağ ilkesinin veya diğer RADIUS sunuculardaki ilkelerin şifreleme düzeylerini denetleyin. VPN istemcisi tarafından istenen şifreleme düzeyinin VPN sunucusunda seçili olduğundan emin olun.

Sorun :

Uzaktan erişim VPN bağlantısı kuramıyorum.

 Çözüm:

 Ping komutunu kullanarak ana bilgisayar adının doğru IP adresine çözümlendiğini doğrulayın. Ping işleminin kendisi, VPN sunucusuna/sunucusundan gönderilen ICMP iletilerinin teslimini engelleyen paket filtreleme nedeniyle başarısız olabilir.

 VPN istemcisinin kullanıcı adı, parola ve etki alanı adını içeren kimlik bilgilerinin doğru olduğundan ve VPN sunucusu tarafından doğrulanabildiğinden emin olun.

 VPN istemcisinin kullanıcı hesabının kilitli olmadığını, süresinin dolmadığını, devre dışı olmadığını ve bağlantının yapıldığı zamanın oturum açma saatleri olarak yapılandırılan zamana denk gelmediğini doğrulayın. Hesaba ait parolanın süresi dolduysa, uzaktan erişim VPN istemcisinin MS-CHAP v2’yi kullandığını doğrulayın. MS-CHAP v2, Windows Server 2008 ile sağlanan bir protokol olarak, bağlantı işlemi sırasında süresi dolan bir parolanın değiştirilmesine izin veren tek kimlik doğrulama protokolüdür.

Parola süresi dolan yönetici düzeyinde bir hesap için, parolayı, başka bir yönetici düzeyinde hesap kullanarak sıfırlayın.

 Kullanıcı hesabının, uzaktan erişim hesabı kilitlenmesi nedeniyle kilitlenmiş olmadığını doğrulayın.

 VPN sunucusunda Yönlendirme ve Uzaktan Erişim hizmetinin çalışıyor olduğunu doğrulayın.

 Yönlendirme ve Uzaktan Erişim ek bileşenindeki bir VPN sunucusunun özelliklerinde bulunan Genel sekmesinden, VPN sunucusunun uzaktan erişim için etkinleştirilmiş olduğunu doğrulayın.

 Yönlendirme ve Uzaktan Erişim ek bileşenindeki Bağlantı noktaları nesnesinin özelliklerinden, WAN Miniport (PPTP) ve WAN Miniport (L2TP) aygıtlarının gelen uzaktan erişim için etkinleştirildiğini doğrulayın.

 VPN istemcisinin, VPN sunucusunun ve VPN bağlantılarına karşılık gelen ağ ilkesinin en az bir ortak kimlik doğrulama yöntemi kullanacak şekilde yapılandırıldığını doğrulayın.

 VPN istemcisinin ve VPN bağlantılarına karşılık gelen ağ ilkesinin en az bir ortak şifreleme dayanıklılığı kullanacak şekilde yapılandırıldığını doğrulayın.

 Bağlantı parametrelerinin ağ ilkeleri üzerinden izne sahip olduğunu doğrulayın.

Bağlantının kabul edilebilmesi için bağlantı denemesine ait parametrelerde şunlar zorunludur:

 En azından bir ağ ilkesinin tüm koşullarını sağlamalıdır.

 Kullanıcı hesabı üzerinden ağ erişimine izin verilmiş (Erişime izin ver olarak ayarlanmış) veya kullanıcı hesabında NPS Ağ İlkesi aracılığıyla erişimi denetle seçeneği seçiliyse, karşılık gelen ağ ilkesinin ağ erişim izninde Ağ erişim izni ver seçeneği seçilmiş olmalıdır.

 Profilin tüm ayarlarıyla eşleşmelidir.

 Kullanıcı hesabının çevirme özelliklerinin tüm ayarlarıyla eşleşmelidir.

Bağlantı denemesini reddeden ağ ilkesinin adını öğrenmek için, hesap günlüğünde bağlantı denemesine karşılık gelen ilke adına bakın. NSP bir RADIUS sunucusu olarak kullanılıyorsa, Sistem olayı günlüğünde bağlantı denemesine ait girişi denetleyin.

 Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Sihirbazı’nı çalıştırdığınızda etki alanı yöneticisi izinlerine sahip bir hesabı kullanarak oturum açtıysanız, RAS ve IAS Sunucuları etki alanı yerel güvenlik grubunun bilgisayar hesabı otomatik olarak eklenir. Bu grup üyeliği, VPN sunucusu bilgisayarının kullanıcı hesap bilgilerine erişmesine izin verir. VPN sunucusu kullanıcı hesap bilgilerine erişemiyorsa, şunları doğrulayın:

 VPN sunucusu bilgisayarının bilgisayar hesabı, VPN sunucusunun uzaktan erişim kimlik doğrulaması yaptığı kullanıcı hesaplarını içeren tüm etki alanları için RAS ve IAS Sunucuları güvenlik grubunun bir üyesidir. Geçerli kaydı görüntülemek için komut istemcisinde netsh ras show registeredserver komutunu kullanabilirsiniz. Sunucuyu VPN sunucusunun üyesi olduğu bir etki alanına veya diğer etki alanlarına kaydetmek için netsh ras add registered server komutunu kullanabilirsiniz. Ayrıca, siz veya etki alanı yöneticiniz VPN sunucusu bilgisayarının bilgisayar hesabını, VPN sunucusunun uzaktan erişim kimlik doğrulaması yaptığı kullanıcı hesaplarını içeren tüm etki alanlarının RAS ve IAS Sunucuları güvenlik grubuna da ekleyebilirsiniz.

 VPN sunucusu bilgisayarını RAS ve IAS Sunucuları güvenlik grubuna ekler veya bu gruptan kaldırırsanız, yapılan değişiklik (Windows Server 2008’nun Active Directory bilgilerini önbelleğe alma şekli nedeniyle) hemen etkili olmaz. Değişikliklerin hemen etkili olması için VPN sunucusu bilgisayarını yeniden başlatmanız gerekir.

 Windows kimlik doğrulaması için yapılandırılmış karma mod veya yerel mod bir Active Directory® etki alanına üye VPN sunucusunda şunları doğrulayın:

 RAS ve IAS Sunucuları güvenlik grubu olmadır. Yoksa, grubu oluşturun ve grubun türünü Güvenlik olarak, grubun kapsamını da Yerel etki alanı olarak ayarlayın.

 RAS ve IAS Sunucuları güvenlik grubunun RAS ve IAS Sunucuları Erişim Denetimi nesnesi için Okuma izni olmalıdır.

 IP’nin VPN sunucusunda uzaktan erişim için etkinleştirildiğini doğrulayın.

 VPN sunucusundaki tüm PPTP veya L2TP bağlantı noktalarının kullanılıyor olmadığını doğrulayın. Gerekirse, aynı anda daha fazla bağlantıya izin vermek için Yönlendirme ve Uzaktan Erişim ek bileşenindeki Bağlantı noktaları nesnesinin özelliklerinden PPTP numarasını L2TP bağlantı noktalarına değiştirin.

 VPN sunucusunun VPN istemcisinin tünel protokolünü desteklediğini doğrulayın.

Varsayılan olarak Windows 2000 uzaktan erişim VPN istemcilerinde Otomatik sunucu türü seçeneği seçilidir. Bu şekilde öncelikle L2TP/IPsec tabanlı VPN bağlantısı kurulmaya çalışılır, daha sonra PPTP tabanlı bir VPN bağlantısı denenir. Noktadan Noktaya Tünel Protokolü (PPTP) veya Katman İki Tünel Protokolü (L2TP) sunucu türü seçeneklerinden birisi seçiliyse, seçili tünel protokolünün VPN sunucusu tarafından desteklendiğini doğrulayın.

Varsayılan olarak Windows XP uzaktan erişim VPN istemcilerinde Otomatik VPN türü seçeneği seçilidir. Bu şekilde öncelikle PPTP tabanlı VPN bağlantısı kurulmaya çalışılır, daha sonra L2TP/IPsec tabanlı bir VPN bağlantısı denenir. PPTP VPN veya L2TP IPsec VPN türlerinden biri seçiliyse, VPN sunucusunun seçili tünel protokolünü desteklediğini doğrulayın.

Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Sihirbazı’nı çalıştırdığınızda yaptığınız seçimlere bağlı olarak, Yönlendirme ve Uzaktan Erişim hizmetini çalıştıran bir Windows Server 2008 bilgisayarı beş veya 128 L2TP bağlantı noktası ve beş veya 128 PPTP bağlantı noktası olan bir PPTP ve L2TP sunucusudur. Yalnızca bir PPTP sunucusu oluşturmak için L2TP bağlantı noktası sayısını sıfır olarak ayarlayın. Yalnızca bir L2TP sunucusu oluşturmak için PPTP bağlantı noktası sayısını 1 olarak ayarlayın ve Yönlendirme ve Uzaktan Erişim ek bileşenindeki Bağlantı noktaları nesnesinin özelliklerinden WAN Miniport (PPTP) aygıtı için uzaktan erişim gelen bağlantıları ve isteğe bağlı arama bağlantılarını devre dışı bırakın.

 L2TP/IPsec bağlantıları için, VPN istemcisinde ve VPN sunucusunda makine sertifikaları olarak da bilinen bilgisayar sertifikalarının yüklü olduğunu doğrulayın.

 VPN sunucusu statik IP adresi havuzları ile yapılandırılmışsa, yeterli adres olduğunu doğrulayın. Statik havuzlardaki adreslerin tümü VPN istemcilerine bağlanmak üzere ayrıldıysa, VPN sunucusu TCP/IP tabanlı bağlantılar için bir IP adresi ayıramayabilir ve bağlantı denemesi reddedilir.

 Kimlik doğrulama sağlayıcısının yapılandırmasını doğrulayın. VPN sunucusu VPN istemcisinin kimlik bilgilerinin doğrulanması için Windows veya RADIUS’u kullanacak şekilde yapılandırılabilir.

 RADIUS kimlik doğrulaması için, VPN sunucusu bilgisayarının RADIUS sunucusuyla iletişim kurabildiğini doğrulayın.

 Yerel mod etki alanı üyesi bir VPN sunucusu için, VPN sunucusunun etki alanına katılmış olduğunu doğrulayın.

 MS-CHAP kullanan ve 40-bit MPPE şifreleme anlaşmasını deneyen PPTP bağlantıları için, kullanıcının parolasının 14 karakterden uzun olmadığını doğrulayın.

L2TP/IPsec kimlik doğrulama sorunları

L2TP/IPsec bağlantısı en çok şu nedenlerden dolayı başarısız olur:

 Sertifika yok

Varsayılan olarak, L2TP/IPsec bağlantıları uzaktan erişim sunucusunun ve uzaktan erişim istemcisinin IPsec eş kimlik doğrulaması için bilgisayar sertifikaları değişimi yapmalarını gerektirir. Uygun bir sertifikanın bulunduğundan emin olmak için, Sertifika ek bileşenini kullanarak Yerel Bilgisayar sertifikasının hem uzaktan erişim istemcisi hem de uzaktan erişim sunucusu sertifikalarını depoladığını denetleyin.

 Hatalı sertifika

Sertifika varsa, doğrulanabilir olmalıdır. IPsec kurallarını el ile yapılandırmanın aksine, L2TP/IPsec bağlantıları için sertifika yetkilileri (CA) listesi yapılandırılamaz. Bunun yerine, L2TP bağlantısındaki her bilgisayar IPsec eşine kök CA’ların listesini gönderir ve ondan gelecek kimlik doğrulama sertifikasını kabul eder. Bu listedeki kök CA’lar, bilgisayara bilgisayar sertifikaları veren kök CA’lara karşılık gelir. Örneğin, A Bilgisayarı CertAuth1 ve CertAuth2 kök CA’lar tarafından bilgisayar sertifikaları verildiyse, ana mod anlaşması sırasında IPsec eşine, kimlik doğrulama için yalnızca CertAuth1 ve CertAuth2’den gelen sertifikaları kabul edeceğini bildirir. IPsec eşi olan B Bilgisayarı CertAuth1 veya CertAuth2 tarafından verilen geçerli bir bilgisayar sertifikasına sahip değilse, IPsec güvenlik anlaşması başarısız olur.

VPN istemcisinde, sertifikayı veren CA’dan VPN sunucusunun güvendiği kök CA’ya kadar geçerli sertifika zincirini izleyen bir CA tarafından verilmiş, geçerli bir bilgisayar sertifikası yüklü olmalıdır. Ayrıca, VPN sunucusunda, sertifikayı veren CA’dan VPN istemcisinin güvendiği kök CA’ya kadar geçerli sertifika zincirini izleyen bir CA tarafından verilmiş geçerli bir bilgisayar sertifikası yüklü olmalıdır.

Varsayılan olarak, L2TP/IPsec bağlantıları uzaktan erişim sunucusunun ve uzaktan erişim istemcisinin IPsec eş kimlik doğrulaması için bilgisayar sertifikaları değişimi yapmalarını gerektirir. Uygun bir sertifikanın bulunduğundan emin olmak için, Sertifika ek bileşenini kullanarak Yerel Bilgisayar sertifikasının hem uzaktan erişim istemcisi hem de uzaktan erişim sunucusu sertifikalarını depoladığını denetleyin.

 Uzaktan erişim istemcisi ve uzaktan erişim sunucusu arasında NAT kullanma

Windows 2000, Windows Server 2003 veya Windows XP tabanlı L2TP/IPsec istemcisinde ve Windows Server 2008 L2TP/IPsec sunucusu arasında bir NAT varsa, hem istemci hem de sunucu IPsec NAT-T’yi desteklemediği sürece L2TP/IPsec bağlantısı oluşturamazsınız.

 Uzaktan erişim istemcisi ve uzaktan erişim sunucusu arasında güvenlik duvarı kullanma

Windows L2TP/IPsec istemcisi ve Windows Server 2008 L2TP/IPsec sunucusu arasında bir güvenlik duvarı varsa ve L2TP/IP bağlantısı kuramıyorsanız, güvenlik duvarı tarafından L2TP/IPsec trafiğinin iletilmesine izin verildiğini doğrulayın.

IPsec kimlik doğrulama sorunlarını gidermek üzere kullanılabilecek en iyi araçlardan biri Oakley günlüğüdür.

EAP-TLS kimlik doğrulama sorunları

Kimlik doğrulama için EAP-TLS kullanıldığında, VPN istemcisi bir kullanıcı sertifikası ve kimlik doğrulama sunucusu (VPN sunucusu veya RADIUS sunucusu) bir bilgisayar sertifikası gönderir.

Kimlik doğrulama sunucusu tarafından VPN istemcisinin sertifikasının doğrulanabilmesi için, VPN istemcisi tarafından gönderilen sertifika zincirindeki tüm sertifikalarda aşağıdakilerin doğru olması gerekir:

 Geçerli tarih, sertifikanın geçerlilik tarihleri arasında olmalıdır.

Sertifikalar verilirken geçerli olacakları bir tarih aralığı belirtilir ve bu tarihlerin öncesinde kullanılamazlar, sonrasında ise süresi dolmuş olarak değerlendirilirler.

 Sertifikanın iptal edilmemiş olması gerekir.

Verilen sertifikalar herhangi bir zamanda iptal edilebilir. Sertifika veren CA’ların hepsi güncel bir sertifika iptal listesi (CRL) yayımlayarak, artık geçerli sayılmaması gereken sertifikaların listesini tutar. Varsayılan olarak, kimlik doğrulama sunucusu iptal için VPN istemcilerinin sertifika zincirindeki tüm sertifikaları (VPN istemcisinin sertifikasından kök CA’ya kadar olan sertifikalar) denetler. Zincirdeki sertifikalardan herhangi biri iptal edilmişse sertifika doğrulama işlemi başarısız olur. Bu eylem, konunun ileriki bölümlerinde açıklandığı şekilde kayıt defteri ayarlarından değiştirilebilir.

Sertifika ek bileşenindeki bir sertifikanın CRL dağıtım noktalarını görüntülemek için sertifika özelliklerini açın, Ayrıntılar sekmesini tıklatın ve ardından CRL Dağıtım Noktaları alanını tıklatın.

Sertifika iptalinin doğrulanması yalnızca CRL yayımlama ve dağıtım sistemine koşut olarak çalışır. Bir sertifikadaki CRL sıklıkla güncelleştirilmiyorsa, kimlik doğrulama sunucusunun denetlediği yayımlanan CRL güncel olmadığından, iptal edilen bir sertifika kullanılmaya devam edilebilir ve geçerli sayılır.

 Sertifikada geçerli bir dijital imza olması gerekir.

CA’lar verdikleri sertifikaları dijital olarak imzalar. Kimlik doğrulama sunucusu kök CA sertifikası hariç zincirdeki her sertifikanın dijital imzasını doğrular. Bunun için sertifikaları veren CA’dan ortak anahtarı alır ve dijital imzayı matematiksel olarak doğrular.

VPN istemci sertifikasının İstemci Kimlik Doğrulaması sertifika amacı da olması (Gelişmiş Anahtar Kullanımı [EKU] olarak da bilinir) (Nesne tanımlayıcı 1.3.6.1.5.5.7.3.2) ve sertifikanın Konu Diğer Adı özelliği için ya geçerli bir kullanıcı hesabına ait bir UPN ya da geçerli bilgisayar hesabına ait FQDN içermesi gerekir.

Sertifika ek bileşeninde bir sertifikaya ait EKU’yu görüntülemek için sertifikayı çift tıklatın, Ayrıntılar sekmesini tıklatın ve ardından Gelişmiş Anahtar Kullanımı alanını tıklatın. Sertifika ek bileşeninde bir sertifikaya ait konu diğer adı özelliğini görüntülemek için sertifikayı çift tıklatın, Ayrıntılar sekmesini tıklatın ve ardından Konu Diğer Adı alanını tıklatın.

Son olarak, VPN istemcisi tarafından sunulan sertifika zincirine güvenilebilmesi için, kimlik doğrulama sunucusunun Güvenilen Kök Sertifika Yetkilileri deposunda VPN istemcisi sertifikasını veren ayımlayan CA’nın kök CA sertifikası yüklenmiş olmalıdır.

Ayrıca, kimlik doğrulama sunucusu EAP-Yanıtı/Kimliği iletisinde gönderilen kimliğin, sertifikanın Konu Diğer Adı özelliğindeki adla aynı olduğunu da doğrular. Bu şekilde kötü niyetli bir kullanıcının kendisini EAP-Yanıtı/Kimliği iletisinde belirtilen bir kişi olarak tanıtması önlenir.

VPN istemcisi tarafından kimlik doğrulama sunucusunun sertifikasının EAP-TLS kimlik doğrulamalarından biri olarak doğrulanabilmesi için, kimlik doğrulama sunucusu istemcisi tarafından gönderilen sertifika zincirindeki her sertifikada aşağıdakilerin doğru olması gerekir:

 Geçerli tarih, sertifikanın geçerlilik tarihleri arasında olmalıdır.

Sertifikalar verilirken geçerli olacakları bir tarih aralığı belirtilir ve bu tarihlerin öncesinde kullanılamazlar, sonrasında ise süresi dolmuş olarak değerlendirilirler.

 Sertifikada geçerli bir dijital imza olması gerekir.

CA’lar verdikleri sertifikaları dijital olarak imzalar. VPN istemcisi kök CA sertifikası hariç zincirdeki her sertifikanın dijital imzasını doğrular. Bunun için sertifikaları veren CA’dan ortak anahtarı alır ve dijital imzayı matematiksel olarak doğrular.

Ayrıca, kimlik doğrulama sunucusu bilgisayar sertifikasının Sunucu Kimlik Doğrulaması EKU’suna (Nesne tanımlayıcı 1.3.6.5.5.7.3.1) sahip olması gerekir. Sertifika ek bileşeninde bir sertifikaya ait EKU’yu görüntülemek için sertifikayı çift tıklatın, Ayrıntılar sekmesini tıklatın ve ardından Gelişmiş Anahtar Kullanımı alanını tıklatın.

Son olarak, kimlik doğrulama sunucusu tarafından sunulan sertifika zincirine güvenilebilmesi için, VPN istemcisinin Güvenilen Kök Sertifika Yetkilileri deposunda kimlik doğrulama sunucusu sertifikasını veren CA’nın kök CA sertifikası yüklenmiş olmalıdır.

VPN istemcisinin, kimlik doğrulama sunucusunun bilgisayar sertifikasının sertifika zincirindeki sertifikalar için sertifika iptali denetimi yapmadığına dikkat edin. Buradaki varsayım, VPN istemcisinin henüz bir ağ bağlantısı olmaması ve bu nedenle sertifika iptalini denetlemek üzere bir Web sayfasına veya diğer kaynaklara erişemeyecek olmasıdır.

Bağlantı denemesi reddedilmesi gerekirken kabul ediliyor

 Kullanıcı hesabındaki ağ erişim izninin Erişimi engelle veya NPS Ağ İlkesi aracılığıylaErişim Denetle olarak ayarlanmış olduğunu doğrulayın. İkinci seçenek olarak ayarlanmışsa, eşleşen ilk ağ ilkesinin ağ erişim izninin Erişimi engelle. Bağlantı isteği bu ilkeyle eşleşiyorsa, erişimi engelle. olarak ayarlandığını doğrulayın. Bağlantı girişimini kabul eden ağ ilkesinin adını almak için hesap oluşturma günlüğünde ilke adına yönelik bağlantı girişimine karşılık gelen girdiyi arayın.

 Tüm bağlantıları açıkça reddeden bir ağ ilkesi oluşturduysanız ilke koşullarını, ağ erişim iznini ve profil ayarlarını doğrulayın.

VPN istemcileri VPN sunusunun ötesindeki kaynaklara erişemiyor

 Protokolün yönlendirme için etkinleştirilmiş olduğunu veya çevirmeli istemcilerin VPN istemcileri tarafından kullanılan LAN protokolleri için tüm ağa erişme izin verildiğini doğrulayın.

 VPN sunucusunun IP adresi havuzlarını doğrulayın.

VPN sunucusu statik bir IP adresi havuzu kullanmak üzere yapılandırıldıysa, statik IP adresi havuzları tarafından tanımlanan adres aralığına yapılan yönlendirmelerin ana bilgisayarlar ve intranet yönlendiricileri tarafından erişilebildiğini doğrulayın. Aksi takdirde, VPN sunucusunun statik IP adresi havuzlarından oluşan, IP adresi ve aralık maskesiyle tanımlanan bir IP yönlendirmenin intranet yönlendiricilere eklenmesi veya VPN sunucusundaki yönlendirilmiş altyapınıza ait yönlendirme protokolünün etkinleştirilmesi gerekir. Uzaktan erişim VPN istemcisi alt ağlarına yönlendirme yoksa, uzaktan erişim VPN istemcileri intranet üzerindeki konumlardan gelen trafiği alamaz. Alt ağlar için yönlendirmeler statik yönlendirme girişleri aracılığıyla veya Yönlendirme Bilgisi Protokolü (RIP) gibi bir yönlendirme protokolüyle uygulanır.

VPN sunucusu IP adresi ayırmak için DHCP kullanmak üzere yapılandırıldıysa ve kullanılabilir DHCP sunucusu yoksa, VPN sunucusu Otomatik Özel IP Adresleme’den (APIPA) 169.254.0.1 ile 169.254.255.254 aralığında adres atar. Uzaktan erişim istemcileri için APIPA adreslerinin ayrılması, yalnızca VPN sunucusunun bağlı bulunduğu ağın da APIPA adresleri kullanması durumunda işe yarar.

Kullanılabilir bir DHCP sunucusu varken VPN sunucusu APIPA adreslerini kullanıyorsa, DHCP ile ayrılan IP adreslerinin alındığı uygun bağdaştırıcının seçildiğini doğrulayın. Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Sihirbazı varsayılan bağdaştırıcıyı otomatik olarak atar. Bir LAN bağdaştırıcıyı Yönlendirme ve Uzaktan Erişim ek bileşenindeki VPN sunucusunun özelliklerinden erişilen IP sekmesindeki Bağdaştırıcı listesinden el ile seçebilirsiniz.

Statik IP adresi havuzları, VPN sunusunun bağlı bulunduğu ağa ait IP adresleri aralığının bir alt kümesi olan IP adresleri aralığıysa, statik IP adresi havuzundaki IP adresleri aralığının statik yapılandırma veya DHCP kullanılarak başka TCP/IP düğümlerine atanmadığını doğrulayın.

 Trafiğin gönderilmesini veya alınmasını engelleyen VPN bağlantılarına karşılık gelen ağ ilkelerinin profil özelliklerinde paket filtreleri bulunmadığını doğrulayın.

Tünel oluşturulamıyor

 VPN istemcisi ile VPN sunucusu arasındaki bir yönlendirici arabiriminde bulunan paket filtreleme tarafından tünel protokolü trafiğinin iletilmesinin önlenmediğini doğrulayın.

Windows Server 2008 çalıştıran bir VPN sunucusunda IP paket filtrelemesi bağımsız olarak gelişmiş TCP/IP özelliklerinden ve Yönlendirme ve Uzaktan Erişim ek bileşeninden yapılandırılabilir. VPN bağlantısı trafiğini dışlayabilecek filtreler için bu iki yere de bakın.

 VPN istemcisinde geçerli olarak Winsock Proxy istemcisinin çalışmadığını doğrulayın.

Winsock Proxy istemcisi etkin durumdayken, tünel oluşturmada ve tünellenmiş verileri iletmede kullanılan Winsock API çağrıları durdurulur ve yapılandırılmış bir proxy sunucuya iletilir.

Proxy sunucu tabanlı bir bilgisayar, bir kuruluşun doğrudan Internet’e bağlanmadan belirli türdeki Internet kaynaklarına erişmesine (genellikle Web ve FTP) izin verir. Kuruluş, bunun yerine özel IP ağı kimlikleri (10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16 gibi) kullanabilir.

Proxy sunucular genellikle bir kuruluştaki özel kullanıcıların genel Internet kaynaklarına sanki doğrudan Internet’e bağlıymışlar gibi erişebilmelerini sağlamak için kullanılır. VPN bağlantıları genellikle yetkili genel Internet kullanıcılarının özel kuruluş kaynaklarına sanki doğrudan özel ağa bağlıymışlar gibi erişebilmelerini sağlamak için kullanılır. Tek bir bilgisayar her iki yönde bilgi değişimini sağlamak üzere (özel kullanıcılar için) proxy sunucu gibi ve (yetkili Internet kullanıcıları için) VPN sunucu gibi çalışabilir.

Umarım bu makale sizlere VPN Sorunları konusunda yardımcı olabilecektir. Bir dahaki makalelerde görüşmek üzere…

Kaynak :

Microsoft Technet

Kenan BÜLBÜL