Bu makalemde sizlere ISA Server üzerinden VPN kullanıcılarını network kaynaklarına nasıl eriştireceğimizi anlatmaya çalışacağım.
ISA server ın pek çok rolünden biride VPN server olma özelliğidir . Aslında ISA server üzerinde yüklü bulunan RRAS servisini konfigüre ederek yüklü olduğu 2003 server ı VPN isteklerine karşın hazır hale getirmektedir. Pek çoğumuz belki ISA üzerinde kuralları yaz sakta aslında gerçekleşen her şey RRAS üzerinde olmaktadır. Ancak ISA server bize bu işler için kolay kurulum sihirbazları ve daha etkin kısıtlamalar sunmaktadır. Örnek bir yapı çizmek gerekirse aşağıdaki şekilde bunu görebiliriz ;
Şekil -1
Yukarıdaki yapıda internetteki bir kullanıcı şirket içerisinde bulunan kaynaklara ulaşmak istiyor ve bu bağlantıyı güvenli bir şekilde yapmak için gelen VPN istekleri karşılayacak bir ISA Server a ihtiyaç duymaktayız . Bu dış istekler şirketlerdeki yöneticiler , pazarlama çalışanları veya mobil kullanıcılar olabilir , eğer biz sistem yöneticisi olarak bu kullanıcıları merkezimizdeki kaynaklara eriştirmek istiyorsak bu konuda bize yardımcı olacak ve sadece bu bağlantıyı sağlamak ile kalmayarak çeşitli kısıtlamaları da gerçekleştirmemize yardımcı olacak bir ürün seçmemiz gerekmektedir. ISA Server 2004 ile birlikte gelen yeni özellik sayesinde VPN bağlantısı gerçekleştiren kullanıcılar direk olarak şirket kaynaklarına erişemezler. ISA bu noktada biz sistem yöneticilerinin işini kolaylaştırma için gelen bu kullanıcıları ayrı bir sanal interface olarak tanımlar ve VPN istemcileri ile internal arasında izin verdiğimiz kaynaklara erişebilmektedirler. Yine ISA sayesinde bu istemcilerin hangi protokolleri kullanacaklarını belirleyebilmemiz mümkün. Sonuç olarak ISA server ile gerçekleştirilen VPN bağlantılarında VPN istemcileri üzerinde daha fazla kontrol sahibi olabiliyoruz. Bu kadar özelliğini gördükten sonra sahip olduğumuz ISA server ı VPN isteklerine açmak için aşağıdaki adımları izleyeceğiz.
Yukarıdaki şekilde bir VPN bağlantısı yapmak için öncelikle ISA server yönetim konsolundan VPN sekmesine geliyoruz.
Şekil -2
ISA server yüklü makinede RRAS servisi ?disable? şeklinde olmamalıdır , çünkü birazdan VPN özelliğini açacağız ve bu arka planda RRAS servisinin çalışması demektir , bu detayı belirtip anlatıma devam edelim. VPN sekmesine geldiğimizde sağ tarafta ?Enable VPN Client Access? seçeneğine tıklıyoruz ve karşımıza aşağıdaki şekildeki gibi bir pencere çıkıyor ;
Şekil -3
Bu ekrandaki ?Verify that VPN Client Access is Enabled? seçeneğini tıklıyoruz ve artık ISA server ımızı gelen VPN isteklerine cevap verecek şekilde ayarlamış bulunuyoruz. Hemen altında bulunan rakam ise aynı anda maksimum kaç adet VPN istemcisinin ISA üzerinden kabul edileceğini ayarlamaktadır. Hemen bir yandaki sekmeye geçtiğimizde ise aşağıdaki pencere ile karşılaşacağız ;
Şekil -4
Bu ekranda hangi kullanıcıların VPN istemcisi olacağını belirliyoruz , VPN bağlantısı yapacak kullanıcıları veya bir grubu buraya ekleyerek bu kullanıcılara izin vermiş oluyoruz.
Not : Domain?inizin functional level?i Windows 2000 mixed ise AD üzerinde kullanıcıların ?Dial-in? tabında uzak erişime izinleri olmalı yoksa buraya eklediğiniz kullanıcılar bağlantı gerçekleştiremezler.
Yandaki sekeme de ise aşağıdaki gibi bir pencere ile karşılaşıyoruz ;
Şekil -5
VPN bağlantısı için ISA serverımızın hangi protokolleri destekleyeceğini seçiyoruz. ISA 2004 varsayılan olarak PPTP seçilidir , ancak güvenliği arttırmak için L2TP/IPSec seçilebilir. Bir sonraki sekmede ise aşağıdaki ekranla karşılaşıyoruz ;
Şekil -6
Bu penceredeki ayarlar sayesinde VPN kullanıcılarının bir Windows hesabı ile eşleşmesi sağlanır. Microsoft ISA server ı domain dışında çalışıyor olarak düşündüğünden eğer kimlik doğrulamaları AD ile değil de RADIUS ya da EAP kimlik doğrulama metodunu kullanarak kimlik doğrulama işlemlerini gerçekleştirdiğiniz kullanıcıların bir Windows hesabı ile eşleşmesini sağlar. Ancak sizin ISA serverız bir domain üyesi ise ve kimlik doğrulamayı Windows Authentication ile yapıyorsa buradaki ayarlar önemini yitirecektir. Bu özelliği ( kullanıcı eşleme ) aktif hale getirmek için ?Enable User Mapping? seçeneğini seçiyoruz. Hemen altında bulunan ?When username does not contain a domain, use this domain? seçeneği ise eğer vpn client programında kullanıcı domain belirtmemişse ISA bu kimlik doğrulama paketine standart olarak bu domain i ekler. Bu ayarlar bittikten sonra ?Apply? diyebiliriz. Ancak ISA server yönetim konsolunun üst kısmında da bir ?Apply? ibaresinin belirdiğini göreceksiniz buna da tıklayarak yaptığımız değişikleri kaydedelim.
Şekil -7
Bu işlemleri tamamladıktan sonra yine ISA yönetim konsolunda VPN sekmesinde sağ bölümde bulunan ?Select Access Networks? seçeneğine tıklıyoruz
Şekil -8
Karşımıza aşağıdaki gibi bir ekran çıkacaktır.
Şekil -9
Bu ekranda ISA server ın hangi interface üzerinden gelen VPN isteklerinin kabul edileceğini belirleyebiliyoruz. Tabi ki istekler internetten geleceği için External ı seçiyorum ancak yapınızda farklı hatlar üzerinden gelen şubeler var ve bu şubelerdeki kullanıcılar da ISA aracılığı ile VPN bağlantısı yapıyorsa bunları da seçebilirsiniz. Bir sonraki pencerede aşağıdaki gibidir ;
Şekil -10
Bu ekranda VPN istemcilerine verilecek IP lerin hangi yöntemle dağıtılacağını belirliyoruz. Eğer ortamınızda bir DHCP server varsa standart ayar gereği gelen istemciler DHCP den ip alırlar , ancak isterseniz siz elle de bu kullanıcılara bir statik adres havuzu tanımlayabilirsiniz.
ISA Server 2004 üzerinde statik bir IP havuzu belirlemek istiyorsanız ?Static address pool? kısmını seçip Add butonuna basıyoruz , bu durumda karşımıza aşağıdaki gibi bir ekran geliyor
Şekil -11
Not : ISA server VPN istemcilerini ayrı bir interface davranmak istediğinden iç networkunuzden farklı bir network adresi vermeniz gerekmektedir.
Bu ekranda vpn istemcileri eğer başarılı bir şekilde vpn bağlantısı yaparsa bu belirttiğim adres havuzundan bir ip alacaktır. Tercih sistem yöneticisi olarak tamamen size aittir. Bu seçeneklerin altında ise bir ibare vardır ; ?Use the following network to obtain DHCP, DNS and WINS services? , bu kısımda vpn istemcileri için DHCP, DNS ve WINS servislerini hangi interface üzerinden kullanacaklarını tanımlayabiliriz veya gelişmiş sekmesinden bunları elle de vermemiz mümkündür. Bir sonraki sekme ise aşağıdaki şekildedir ;
Şekil -12
VPN bağlantısı yapacak istemcilerin kimlik doğrulamak için kullanacakları protokoleri buradan belirleyebilmekteyiz. Varsayılan olarak sadece ?Microsoft Encrypted Authentication Version 2 (MS-CHAPv2) ? seçilidir. Bu kısımdaki diğer seçeneklerden biraz bahsetmek gerekirse ;
Eğer dijital sertifikalar kullanarak kimlik doğrulama işlemini gerçekleştireceksek ? Extensible Authentication Protocol (EAP) With Smart Card Or Other Certificate ? seçeneğini işaretlemeliyiz.
Diğer seçenekler olan MS-CHAP, CHAP, SPAP ve PAP ise eski şifreleme teknolojileridir. Eğer size bağlantı kuracak olan Windows 2000 öncesi işletim sistemi kullanan kullanıcılarınız var ise bu seçenekler seçilebilir. Ancak bu bilgisayarlara yeni şifreleme teknolojilerini desteleyen vpn client yazılımları yüklemek güvenlik açısından daha akıllıca olacaktır.
? Allow Custom IPSec policy for L2TP Connection? seçeneği ise , güvenli bir şekilde L2TP bağlantısı yapmak isteyen ancak bunu şartı olan dijital sertifikaya sahip olmayan bir yapıda Pre-shared key kullanarak VPN bağlantısı gerçekleştirmelerine izin verir. Buraya yazacağınız değer sizin bağlantı için kullanacağınız anahtardır ve RRAS konsolunda da bu anahtarı belirtmeniz gerekmektedir , yoksa vpn bağlantısı çalışmamaktadır. Bir sonraki seçenek ise RADIUS dur.
Şekil -13
Bu kısımda ise RADIUS server kullanıp kullanmayacağımızı ayarlayabiliriz. Örneğin ortamınızda bir RADIUS server varsa kimlik doğrulama işlemlerinde bu server ı kullanabiliriz , aynı şekilde loglama içinde yine RADIUS server kullanmamız mümkündür. Bu kararı da verdikten sonra artık ISA serverımız VpN bağlantısı için hazırdır . Artık ISA server üzerinde yapacağımız ayarları tamamlamış bulunuyoruz. Bundan sonra kullanıcı tarafında bir vpn istemcisi yapılandırıp sistemin çalıştığını kontrol edebiliriz. Bunu için istemci olarak bir XP veya 2003 kullanabiliriz. Ben bir XP makinede VPN client tanımlaması yapıyorum ;
Öncelikle Denetim Masasından Ağ bağlantılarına geliyoruz ve ?Yeni Bağlantı Oluştur? seçeneğini seçiyoruz ;
Şekil -14
Karşımıza aşağıdaki şekilde bir karşılama ekranı geliyor ;
Şekil -15
İleri diyerek devam ediyoruz ;
Şekil -16
Burada ikinci seçeneği seçerek ilerliyoruz ; ( Ağa çalışma yerimden bağlan , dial-up veya vpn ile )
Şekil ? 17
Bağlantı yöntemi olarak VPN i seçiyoruz ve ilerliyoruz ;
Şekil ? 18
Şirketimizin ismini veya istediğimiz bir açıklama yazıyor ve ilerliyoruz ;
Şekil ? 19
Bağlanmak istediğimiz VPN server ın ip adresini yazıyoruz ( Çizimime bakarsanız yazdığım ip adresi ISA server ın dış bacak ip adresidir )
Şekil -20
Masa üstüne bir kısa yol atarak son a tıklıyoruz ve artık vpn client olarak ISA server a bağlanmaya hazırız , bundan sonra masa üstündeki vpn istemcisine çift tıklıyoruz ve aşağıdaki ekran karşımıza çıkıyor ;
Şekil ? 21
Kimlik bilgilerimiz yazıyoruz ve bağlan tuşuna bastığımızda artık vpn bağlantısını gerçekleştirmiş oluyoruz , bundan sonra ISA server üzerinde tanımlı kurallar doğrultusunda bir vpn istemcisi olarak şirker içersindeki SQL , Exchange , DC vb kaynaklara erişebilmekteyim , tabi bunun için ISA üzerinde VPN Clients interface inden internal a doğru kural yazmayı unutmayın.
Umarım makalem sizler için yararlı olmuştur , bir sonraki makalede görüşmek üzer.