TMG de L2TP ile Site to Site VPN Yapılandırması
VPN kullanım senaryolarına bakıldığında VPN sadece istemcilerin uzak ağlara bağlanmasını sağlamakla kalmayarak iki uzak ağın da birbirine bağlanmasını sağlamak üzere uygulanabilmektedir.
Bununla beraber VPN kurumsal ağlarda merkez ve şubeler gibi farklı ağların birbirine bağlanmasını (Site to Site) sağlamaktadır. Bu şekilde uzak ağlar VPN protokolünün güvenliği ile sanki aynı ağ da gibi çalışabilmekte ve aradaki trafik tamamen şifreli olarak aktarılmaktadır.
“Bursa” ve “Ankara” bölgeleri farklı konumda bulunmaktadır. İki ağdada bulunan TMG sunucular sayesinde bu ağların VPN ile birleştirilmesi ve iletişimin yönetilmesi mümkündür.
Site to Site VPN aynı protokol desteğine sahip TMG sunucular ve 3. Parti uygulama ve donanımlar arasında gerçekleştirilebilmektedir.
Site to Site VPN için kullanılan üç adet protokol bulunmaktadır.
1. PPTP: ISA 2000, 2004, 2006, TMG ya da Windows VPN sunucusu arasında VPN bağlantısının kurulmasını sağlamak-tadır. Oluşturulması en kolay olan VPN türüdür. Orta düzey güvenlik sağlamaktadır.
2. L2TP: ISA 2000, 2004, 2006, TMG ya da Windows VPN sunucusu arasında VPN bağlantısının kurulmasını sağlamak-tadır. PPTP ye göre üst düzey güvenlik sağlar, bunun sebebi IpSec şifreleme kullanmasıdır. IpSEC protokolünün perfor-mans problemleri uygulanmadan gözden geçirilmelidir.
3. IpSEC (Tünel Mod ile ): 3. Parti uygulama ve donanımlar ile Site to Site VPN yapılacaksa kullanılması gereken proto-koldür.
L2TP ile Site to Site VPN Yapılandırması
Aşağıdaki resimde görüntülenen iki ağın VPN ile birbirlerine erişimi sağlamak adına “Bursa” şubesinde bulunan TMG_BRS sunucusunda yapılması gereken işlem adımlarını bu bölümde bulabilirsiniz.
“Bursa” şubesinden
“Ankara” ya L2TP VPN bağlantısı kurmak için aşağıdaki adımları takip ediniz.
Öncelikle TMG konsolundan
“Remote Access Policy ( VPN )” başlığında bulunan
“Remote Sites” tabına ulaşılmalıdır.
“Remote Sites” başlığı altından ya da sağda bulunan “Tasks” panelinden “Create VPN Site-to-Site Connection” ile sihirbaza ulaşmak mümkündür.
“Create Site-to Site Connection” sihirbazında ağ adı olarak “Bursa_Ankara” tanımlıyoruz.
Önemli: TMG yapılandırma sihirbazlarında tanım dışında bir anlam ifade etmeyen bu alan Site to Site kurulumda büyük öneme sahiptir. Hatta Site to Site kurulumun püf noktası olarak adlandırılabilen bu alan da yazan isim ile sistemde aynı isimde bir hesap oluşturulmalıdır. Eğer ağ adı ve kullanıcı adı birbirlerinden farklı isimlere sahip ise ise Site-to-Site VPN çalışmayacaktır.
Bu aşamada sihirbazı TMG_BRS sunucusunda bu kullanıcı hesabı oluşturulmalıdır. Bunun için “Server Manager > Configuration > Local users & Computers” dan “Bursa_Ankara” adında bir hesap oluşturuyoruz.
Eğer TMG sunucu Etki alanı üyesi ise bu hesap “Active Direc-tory Users & Computers” dan oluşturulabilir. “ Password never expires “ seçeneğini işaretleyerek 42 gün sonra şifrenin tekrar ve-rilmesi gerekliliğinden VPN bağlantımızı koruyabiliriz. Bu hesap VPN bağlantımızı sağlayacağından başka bir işlem için kullanılma-malıdır. Oluşturulan bu hesabın “Dial-in” tabında “Allow Access” seçeneği ile VPN erişim yetkisine sahip olması gerekmektedir.
Kullanıcı hesabını oluşturduktan sonra “Create Site-to Site Con-nection” sihirbazına kaldığımız yerden devam edebiliriz.
“VPN Protocol” başlıklı sihirbaz adımı ile kullanılacak protokol olan “L2TP” seçilerek devam edilir. “Next” butonuna tıklandığında ağ adı ile kullanıcı adının aynı olması gerektiği ile ilgili mesaj görüntülenmektedir. Bu uyarı mesajını “OK” butonu ile kapatıp sihirbaza devam ediyoruz.
“Local Network VPN Settings” başlıklı bölüm uzak ağdan gelen istemcilere verilecek IP aralığını tanımlanmasını sağlamaktadır. Daha önce Client to Site VPN tanımında belirttiğimiz aralığın bu alanda otomatik olarak geldiğini görmekteyiz. Eğer bu tanım yapılmadıysa TMG üzerinde herhangi bir ağa tanımlanmamış olan bir IP aralığı “Add” butonu ile eklenebilir.
Statik IP havuzu yerine DHCP sunucu kullanımı için DHCP de VPN istemciler için özel “Scope” oluşturulmalıdır.
“Remote Site VPN Server” başlığı ile uzak ağdaki sunucunun IP adresi tanımlanmalıdır. “Ankara” da bulunan TMG sunucunun in-ternet üzerinden erişilebilir IP si olan “87.86.85.84” ü bu alana ekliyoruz.
Bu noktada göz ardı edilmemesi gereken konu eğer TMG sunucular önünde modem ya da NAT yapan herhangi bir donanım mevcut ise VPN protokollerinin geçişine izin verilmelidir. Bu protokolleri kullandığı portlar seçimi yapılan VPN protokolüne göre değişmektedir.
“Remote Authentication” başlıklı sihirbaz adımı Bursa ağında bulunan TMG sunucunun Ankara ya VPN bağlantısı kurmak için ihtiyaç duyulan kullanıcı hesabının belirlenmesini sağlar.
Uzak ağ da bulunan TMG sunucu etki alanı üyesi ise “Domain” kutusunda Etki alanı belirtilmelidir. Ankara da ki sunucuda tama-men yukarıda bahsedilen işlem adımları gerçekleştirileceğinden “Bursa_Ankara” adlı kullanıcı hesabı ve ağı Ankara da bulunan TMG sunucu dada oluşturulmalıdır.
“L2TP / IPSEC Outgoing Authentication” başlık sayfa giden kimlik doğrulama isteklerinin nasıl sağlanacağını belirler.
Certificate Authentication: Eğer bu seçim gerçekleştirilir ise iki TMG sunucuda aynı sertifika sağlayıcısı tarafından verilmiş dijital sertifikalar bulunmalıdır.
Pre-shared key: Önceden paylaşılan anahtar herhangi bir şifre ile kimlik doğrulaması sağlanır. Yukarıdaki resimde görüntülenen örnekte “Pre-Shared key” seçimi yapılmış ve şifre olarak “sifre” metni belirtilmiştir.
“Incoming L2TP / IPSEC Authentication” adımında gelen kimlik doğrulama isteklerinin nasıl karşılanacağını belirleyen bölümdür.
Örneğimizde bu alanda da “Allow pre-shared key authentica-tion for incoming L2TP connections” seçimi yapılarak “sifre” metni tanımlanmıştır.
“Network Adresses” başlığı uzak ağın IP aralığını belirtmeyi sağlayan sihirbaz adımıdır.
“Add Range” butonu ile Ankara ağının IP aralığı olan “13.0.0.0 – 13.0.0.255” tanımlanır. Bu giriş sayesinde TMG yönlendirme tablosunu günceller ve bu aralığa bir talep gitmek istediğinde VPN bağlantısı üzerinden gönderir.
“Remote NLB” ile uzak sunucuda NLB (Network Load Balancing) aktif ise IP adreslerinin girilmesi sağlanır.
Örneğimizde “The remote site is enabled for Network Load Balancing” işareti kaldırılarak bu özellik devre dışı bırakılmıştır.
“Site-to-Site Network Rule” ile Site to site VPN ile erişim sağlayan uzak ağda bulunan istemcilerin iç ağa yönlendirilmesini sağlayan Ağ kuralı oluşturulur.
“Add” butonu sayesinde VPN istemcilerin TMG üzerinde tanımlı diğer ağlara da yönlendirilmesi sağlanmaktadır.
I 'll create a network rule later: Seçimi ise daha sonra elle kuralı oluşturacağımızı TMG ye belirtmeyi sağlar.
“Site-to-Site Network Access Rule” ile VPN ile erişim sağlayacak istemcilerin iç ağa hangi protokolleri kullanarak erişim sağlayacakları belirlenir.
Yukarıdaki örnekte “Ankara” ağından gelen istemcilerin “DNS, http, https ve RDP” protokolleri ile geçişine izin verilmiştir. “Add” butonu ile izin verilecek protokoller belirlenebilir. “Apply the rule to these protocols” başlığı altından “All outbound traffic” seçilerek tüm protokollerin geçişine izin verilebilmektedir.
İşlem adımları tamamlandıktan sonra son ekranda “Finish” butonu ile RRAS servisinin yeniden başlatılacağı mesajına “Ok” tıklayarak sihirbaz tamamlanır.
Sihirbaz adımlarının tamamlanması ile “Remote Sites” başlığı altında “Bursa_Ankara” adlı tanım oluşturulmuştur.
Bununla beraber “Networks” başlıklı bölümde “Bursa_Ankara” ağ tanımı sihirbaz sayesinde oluşturulmuş ve “Network Rules” ile “Bursa_Ankara” ağının iç ağa erişimi “Route” ile sağlanmıştır.
VPN istemcilerinin iç ağa hangi protokoller ile erişeceklerini sağla-yan kural ise “Firewall Policy” de bulunmaktadır.
Anakarada bulunan istemcilerin iç ağa erişimini sağlayan bu kural “Allow Access between Bursa_Ankara and Internal” adı ile oluşturulmuştur. Bu kural özelliklerinden belirtilen protokoller de eklenerek destek sağlanabilmektedir.
Site-to-Site VPN de göz ardı edilmemesi gerekenler
İki sunucudaki ayarların eşleşmesi: Yukarıdaki işlem adımları tamamen iki sunucu dada yapılması gereken işlemlerdir. Herhangi birinde yapılacak hata VPN erişimini engelleyecektir.
Ağ Adı ile kullanıcı hesap adının aynı olması: Site-to-Site ileti-şimin en önemli ayrıntısı olan bu konuya iki sunucuda da önem göstermek gerekmektedir. Kullanıcı adı, Ağ adı ile mutlaka aynı olmalıdır.
İstemcilerde yönlendirme sorunu: Eğer iki ağdada bulunan kul-lanıcılar TMG yi varsayılan ağ geçidi olarak kullanmıyorlar ise uzak ağa erişmekte problem yaşayacaklardır.
VPN konusunda genel hatalar ve çözümleri
1. Error 809: PPTP bağlantısının kullanıcı adı ve şifre doğru-lanırken başarısız olması.
Sebep: İstemci ve sunucu arasında bulunan herhangi bir sis-temin port 1723 ü engellemesi ya da sunucu üzerinde PPTP nin devre dışı olması.
2. Error 806: PPTP bağlantısının kullanıcı adı ve şifre doğrulanırken başarısız olması.
Sebep: GRE paketlerinin arada bulunan herhangi bir sistem tarafından engellenmesi
3. Error 766: L2TP bağlantısı sırasında “Certificate could not be found - Sertifika bulunamadı” hatasının alınması
Sebep: IpSec sertifikasının istemcide bulunmaması, IPsec sertifikasının güvenilir bir sertifika sağlayıcıdan temin edilmemiş olması.
4. Error 789: L2TP bağlantısı sırasında “IKE Main mode co-uld not be started IKE ana modu başlatılamadı” hatasının alınması.
Sebep: UDP 500 portunun aradaki herhangi bir sistem tarafından engellenmiş olması.
5. Error 809: SSTP bağlantısının kurulamaması.
Sebep: Aradaki herhangi bir sistemin port 443 ü engellemesi.
6. Error 0x800B010F: SSTP bağlantısı sırasında alınan “The certificate‟s CN name does not match the passed Value” hatası.
Sebep: İstemcinin VPN bağlantısı kurarken uzak sunucunun istemci adını yanlış girmesi “SSTP Listener” da geçerli sertifika kullanılmaması.
7. SSTP bağlantısının “The server certificate revocation state could not be verified – Sunucu sertifikasının İptal durumu doğrulanamadı” hatası ile sona ermesi
Sebep: CRL listesine istemcilerin erişim sağlayamaması.
