SSL VPN Kullanıcıla...
 
Bildirimler
Hepsini Temizle

[Çözüldü] SSL VPN Kullanıcılarının Evlerindeki private IP'lerinin DNS Servera Register Edilmesi Problemi  

  RSS
Remzi Başoğlu
(@remzibasoglu)
Üye

Öncelikle herkese sağlıklı ve sıhhatli günler dilerim.

Başlıkta da açıkça belirttiğim şekilde kullanıcılar SSL VPN yaptıktan sonra DNS Server'da kendi ev networkünden aldıkları IP adreslerinin yazıldığını fark ettim. Yani hem SSL VPN bağdaştırıcı kartındaki benim havuzdan verdiğim IP adresi, hem de evinden modemden aldığı IP adresini register ediyor.

Bu durumda da isim ip çözümlemeleri düzgüm çalışmıyor. Özellikle monitöring uygulamarında sıkıntı yaşattı bu durum bana. Ne tür bir öneri tavsiye edersiniz

Teşekkürler.

Alıntı
Gönderildi : 10/04/2020 01:56
Samet DİKER
(@sametdiker)
Üye

Merhaba,

Firewall SSL VPN ayarlarında DNS ile ilgili detayları belirtebileceğiniz bir bölüm olmalıdır. Fortigate tarafında bununla ilgili 2 seçenek var;

1) Same as Client system DNS ( Bu seçenek ile bilgisayar lokalde bulunan DNS ayarlarını alıyor. )

2) Specify ( Bu seçenek ise özel olarak belirtilen ayarları getiriyor. )

 

Client bazlı çözüm olarak ise;

C:\Windows\System32\drivers\etc dizininde bulunan Host dosyasına ilgili değerleri girebilirsiniz.

Başarılar,

 

CevapAlıntı
Gönderildi : 10/04/2020 15:11
serkanvargel
(@serkanvargel)
Üye

selam;

 

ssl -vpn settings altında Same as Client system DNS secercesiniz cözülecektir. bu ayarla fortigate nin ssl bacağından dns ayarlarına alacaktır. sanırım sizde specify secili ve sizin dns server adresiniz girili.

 

selamlar

 

CevapAlıntı
Gönderildi : 11/04/2020 18:18
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Son durum nedir?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 12/04/2020 00:19
Remzi Başoğlu
(@remzibasoglu)
Üye

Selam,

Tam olarak ifade edemedim sanırım. Şöyle ki SSL VPN yapan kullanıcıların benim Specify ettiğim IP adreslerini yani DNS Server IP adresim yazmam gerekiyor ki isim çözümlemelerini yapabilsinler.

Ama bunu uyguladığımda hem sanal Fortinet SSL VPN bağdaştırıcı kartınındaki IP adresi için hem de kişinin  evindeki modemden IP adresi alan fiziksel bağdaştırıcı kartına ait IP adresi için DNS Server.ımda A kaydı oluşuyor.

Bunun önüne geçebilir miyim acaba.

Teşekkürler.

CevapAlıntı
Gönderildi : 12/04/2020 00:30
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Bilgisayarlar bunun için tasarlanmıştır, yani eğer evdeki makine bir şirket makinesi ise ve bu ip yi alıyor ise bunu gidip güncellemesi normal bir durum. Güncellemiyor olursa anormal bir durum olur. Bunu dns client servisi yönetir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 12/04/2020 13:47
Remzi Başoğlu
(@remzibasoglu)
Üye

@hakanuzuner Hakan Bey ama bu durumda monitöring için kullandığım bir program isim IP çözümlemesi yaparken kişinin evdeki 192.168.1. bloğundaki IP adresini baz alıp ulaşmaya çalışıyor ve bu durumda da client makinaya ulaşamıyor haliyle :/ 

CevapAlıntı
Gönderildi : 12/04/2020 13:52
serkanvargel
(@serkanvargel)
Üye

selam;

Aslında Hakan hocamın söylediği doğru. Benim anlmadığım sizin dns serverda neden evdeki modemin ipsi çıktğı burda ssl bacağından aldığınız ip adresini görmelisiniz.

sorunuza cevap olabilir mi test etmedim ama windows clienta network ayarlarında forticlient in oluşturduğu ethernet tcp özelliklerinde dns sekmesinde "Bu bağlantının adreslerini DNS'e kaydettir" tıknını kaldırırsanız sanırım sizin için çözüm olablir.

not: test etmedim

 

selamlar

 

CevapAlıntı
Gönderildi : 12/04/2020 14:12
Remzi Başoğlu
(@remzibasoglu)
Üye

@serkanvargel Serkan Hocam merhaba. Aslında benim de problemim tam olarak bu. Neden bu kaydı yaptığını çözemedim. Eğer Fortinet'in oluşturduğu ethernet kartında Register.ı kaldırırsam VPN yaptığında Fortigate'in verdiği IP adresinin kaydını yapmayacaktır. Bu benim istediğim çözüm olmaz.

Bunun önüne geçmek için client.ın fiziksel ethernet kartından bu seçeneği kaldırmam gerekir. Ama bunu yapmam durumunda da VPN yapmayıp direkt şirketten bağlanan biri olursa bu sefer de bu IP adresi register edilemeyecek.

CevapAlıntı
Gönderildi : 12/04/2020 14:17
serkanvargel
(@serkanvargel)
Üye

selam;

fortigate hangi versiyonu. ssl vpnde default a 10.212.134.200 - 10.212.134.210 arası bir ip adresi alır vpn yapan kullanıcılar ve buda sizin dns e bu şekilde yazmalı.

CevapAlıntı
Gönderildi : 12/04/2020 14:27
Remzi Başoğlu
(@remzibasoglu)
Üye

@serkanvargel v5.6.9 kullanıyorum. SSL VPN Pool olarak 192.168.200.0 blogunu kullanıyorum. Fortinet ethernet kartı bu IP havuzundan IP alıyor ve bunun için bi A kaydı oluşuyor. 

CevapAlıntı
Gönderildi : 12/04/2020 14:32
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Bu tür durumlar normal, izleme programında exclude edeceksin. Diğer alternatif bu makinelerin tcp/ip ayarlarından dns register kutucuğunu kaldırma ama bu sefer makinelerin güncel ip adreslerini öğrenmezsin.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 12/04/2020 14:34
Remzi Başoğlu
(@remzibasoglu)
Üye

@hakanuzuner Hakan Bey teşekkür ediyorum cevaplarınız için. Exclude etmeyi deneyeceğim.

İyi günler dilerim

CevapAlıntı
Gönderildi : 12/04/2020 14:43
serkanvargel
(@serkanvargel)
Üye

@remzibasoglu fortigate günceller misin? çok karşılaştığımız bir problem değil.

cihaz biraz eski kalmış. 6.0- 6.0.9 var sonra 6.2 ve şuanda 6.4 var en azından 6.0.9 kadar çıkın çünkü bilen açıkları "CVE-2019-5586" kapatmış olursunuz

 

https://www. usom.gov.tr/tehdit/604.html

CevapAlıntı
Gönderildi : 12/04/2020 14:47
Paylaş: