Windows 2003 Server üzerinden yapılan VPN bağlantılarına iki tür PPP ( Point ? to Point ) protokolü kullanılır
Noktadan Noktaya Tünel Protokolü (PPTP)
PPTP, kullanıcı düzeyindeki PPP kimlik doğrulaması yöntemlerini ve veri şifrelemesi için Microsoft Noktadan Noktaya Şifreleme (MPPE) yöntemini kullanır.
Internet Protokolü güvenliği (IPSec) ile Katman İki Tünel Protokolü (L2TP)
L2TP, IPSec'le veri şifrelemesi için kullanıcı düzeyi PPP kimlik doğrulama yöntemlerini ve bilgisayar düzeyi sertifikaları kullanır veya tünel modunda, IPsec'in kendi tarafından koruma sağlanan IPsec'i kullanır (yalnızca IP trafiği için).
Şirket yapılarında verinin önemli olması , biz sistem yöneticilerinin de kurduğumuz sistemlerdeki güvenlik seviyelerine dikkat etmemizi gerektirmektedir. Bu nedenle standart yapılan VPN i ( PPTP ) daha güvenli hale getirmemiz gerekmektedir.
L2TP ile vpn yapmak için aşağıdaki adımları izlememiz gerekmektedir.
Öncelikle yönetimsel araçlardan Routing and Remote Access açıyoruz .
Şekil -1
Ardından server ın üstüne sağ tıklayarak ?Configure and Enable routing and Remote Access? seçiyoruz
Şekil -2
Karşımıza çıkan ekranda ileri diyerek bir sonraki pencereye geçiyoruz.
Şekil -3
Bu ekranda ?Remote Access ( dial-up or VPN ) ? i seçerek devam ediyoruz.
Şekil -4
Bu ekranda VPN?i seçerek ilerliyoruz.
Şekil -5
Bu ekranda internete bağlı olan interface i seçmemiz gerekmektedir. Yani vpn istemcilerinin geleceği interface. Hemen altında paket filtrelemesi isteyip istemediğimiz sorulur . Ben bu işareti kaldırarak paket fitresini devre dışı bırakıyorum ve ilerliyorum.
Şekil -6
Bu ekranda ise vpn istemcilerinin erişeceği interface seçilir .
Şekil -7
Gelen VPN istemcilerinin alacağı ip ler hakkında yorum yapacağımız bir ekrandır. Eğer ortamda DHCP var ise ekran bu şekilde bırakılmalı ve devam edilmelidir ancak vpn istemcilerine siz elle ip vermek isterseniz ?From specified range of addresses? seçilerek ileri deriz.
Şekil -8
Gelen vpn istemcilerine iç networkten belirli bir ip aralığı ayırır ve ip dağıtırız.
Şekil ? 9
Ortamda RADIUS var ise bu belirtilir , benim yapımda olmadığı için ?no? diyerek ilerliyorum.
Şekil -10
Son ekranda ?Finish? diyerek işlemi bitiriyoruz.
Şu anda RRAS standart VPN istekleri için hazır dır , ancak gelen istemciler PPTP bağlantı yapması halinde RRAS buna izin verecektir , amacımız gelen isteklerin sadece L2TP bağlantısına izin vermesidir , bunun için Remote Access Policies kısmında bir policy belirlememiz gerekmektedir.
RRAS ile standart gelen policy leri siliyorum ;
Şekil -11
Kendime yeni bir policy oluşturmak için ?Remote Access Policies? kısmında sağ tıklayarak yeni bir policy oluşturmaya başlıyorum
Şekil -12
Şekil -13
Karşılama ekranını ileri diyerek geçiyorum.
Şekil -14
Kuralıma bir isim vererek ilerliyorum
Şekil -15
Bir sonraki ekranda ?Add? diyerek ?Tunnel-Type? ı seçiyorum
Şekil -16
Kullanmak istediğim tünel tipini sağ tarafa geçirdikten sonra ok diyerek açılan bu pencereyi kapatıyorum.
Şekil -17
Kuralım için tek şart koşuyorum o da L2TP üzerinden gelmeleri
Şekil -18
Bu şartı sağlayanlar için yapılacak eylem i seçiyorum ( Grant diyerek l2tp üzerinden gelenlerin uzak bağlantı yapmalarına izin veriyorum )
Şekil -19
Kuralımın profili ile oynamadan ilerliyorum
Şekil -20
Ve son ekranda finish diyerek kuralı tamamlıyorum.
Sunucu üzerinde yapılması gereken son bir ayar kaldı. L2TP üzerinden gelecek istemciler için PreShared Key belirlemek. L2TP , IpSec li bağlantı yapmaktadır ve IP Sec için kimlik doğrulamanın 3 yöntemi vardır ;
Kerberos
Sertifika
PreShared Key
Eğer size bağlanacak istemci sizin domain yapınıza üye ise kerberos kullanabilir , veya şirketinizdeki CA tarafından dağıtılmış bir sertifika kullanabilir ancak her yapıda çalışacak yöntem ise PreShared Key dir , bende bu yönteme değineceğim.
RRAS üzerinde yapılacak küçük bir ayar ile IPSec bağlantıları için PreShared Key tanımlıyoruz.
Bunun için Sunucu üzerinde sağ tıklıyor ve özelliklere giriyoruz.
Şekil 21
?Allow custom IPSec policy for L2TP connection? seçeneğini işaretleyip bir key giriyoruz. Ben ?12345? girdim , apply dedikten sonra bu key artık görünmeyecektir ?
Server üzerinde yapılması gereken ayarlar burada bitmiştir , ancak L2TP için istemci makinede de buna uygun bir bağlantı yapılmalıdır.
İstemci makinede denetim masasından ağ bağlantılarına geliyoruz ve ?Yeni Bağlantı Oluştur? seçeneğini seçiyoruz ;
Şekil -22
Karşımıza aşağıdaki şekilde bir karşılama ekranı geliyor ;
Şekil -23
İleri diyerek devam ediyoruz ;
Şekil -24
Burada ikinci seçeneği seçerek ilerliyoruz ; ( Ağa çalışma yerimden bağlan , dial-up veya vpn ile )
Şekil ? 25
Bağlantı yöntemi olarak VPN i seçiyoruz ve ilerliyoruz ;
Şekil ? 26
Şirketimizin ismini veya istediğimiz bir açıklama yazıyor ve ilerliyoruz ;
Şekil ? 27
Bağlanmak istediğimiz VPN server ın ip adresini yazıyoruz
Şekil -28
Masa üstüne bir kısa yol atarak son a tıklıyoruz ve karşımıza hazırladığımız bağlantı penceresi çıkmaktadır.a bağlanmaya hazırız , bundan sonra masa üstündeki vpn istemcisine çift tıklıyoruz ve aşağıdaki ekran karşımıza çıkıyor ;
Şekil ? 29
BU ekranda ?Properties? kısmına tıklayarak L2TP için gerekli ayarları yapmaya başlıyoruz. Özellikler penceresinde öncelikle ?Securtiy? sekmesine geliyoruz
Şekil -30
Bu sekmede IpSec için PreShared Key i aynı RRAS üzerinde tanımladığımız gibi tanımlıyoruz.
Şekil ? 31
Bu işlem ile Security tabındaki işlemimiz bitti , hemen yanındaki Networking tabına geçip tünel tipini otomatikten L2TP ye çeviriyoruz .
Şekil -32
Bu işlem ile beraber L2TP bağlantımız için gerekli yapılandırmalar tamamlanmıştır , şimdi bağlantımızın gerçekten IPSec üzerinden gerçekleştiğini kontrol edelim , bunun için vpn sunucusuna bağlanalım ve bağlandıktan sonra bağlantı özelliklerini kontrol edelim.
Şekil -33
Artık VPN sunucu ile oluşturduğumuz tünel IpSec li olduğundan güvenli bir bağlantı yapmış bulunmaktayız.
Umarım makalem sizler için yararlı olmuştur , bir sonraki makalede görüşmek üzer.
Kaynak
http://technet.microsoft.com