SSL VPN ve Radmin
 
Bildirimler
Hepsini Temizle

SSL VPN ve Radmin  

  RSS
Gökhan Arda
(@gokhanarda)
Üye

Merhaba Arkadaşlar,

sistemimizde bulunan fortigate 80E fw ile SSL VPN ile sunucularımıza erişim sağlamaktayız. Ayrıca İşletme çatısı altında kullanıcılarımıza Radmin ile uzak destek vermekteyiz. bu bilgiler ışığında aşağıda bahsettiğimi yapıyı kurmak ne kadar mümkün ve mümkünse yol gösterici fikilerinizi rica ederim. 

 

işletme çatısı altında olmayıp evden çalışan destek personeli ve son kullanıcının SSL VPN'ler ile sisteme bağlanıp SSL VPN üzerinden aldığı ip aracılığı ile radmin bağlantısı sağlamak, bir nevi SSL VPN ip adresini Radmin üzerinden Any desk , Teamviewer ID gibi kullanılması sağlamak istiyoruz.  

Alıntı
Gönderildi : 21/05/2020 11:01
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi

Selamlar @gokhanarda 

 

Yapabilirsiniz. DEstek  personeli ve  kullanıcı da  ssl vpn bağlantısı  kuracak ve  kullanıcının  ssl vpn ile  almış oldugu  ip  adresine radmin ile  bağlantı  sağlayacak.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 22/05/2020 00:09
Gökhan Arda
(@gokhanarda)
Üye

merhaba @cumhuraltan,

bende sizin düşündüğünüz gibi bu işlemi teoride düşünüp direkt uygulamak istediğimde bağlantı sağlayamıyorum. bununla alakalı muhtemelen bir policy yazılması gerekiyor. SSL_VPN_USER - to - SSL_VPN_USER gibi bir policy yapılması gerekiyor sanki ama denememe rağmen bu bağlanıyı sağlayamadım. 

CevapAlıntı
Gönderildi : 23/05/2020 13:11
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Erişimin olmadığı aşama nedir? onu belirtirseniz fortigateciler ona göre yorum getirebilir.
Radmin sonuçta ip temelli çalışıyor. Kişinin vpn ile gelmesi artık iç ip den erişebilmek demektir yani iç bacaklarda sınırlamadıysanız port engeli gibi bir durum olmamalı. Kolay Takip için de dhcp üzerinden mac'lerine göre statik hale getirebilirsiniz. Ben misal bu şekilde ultravnc ile erişiyorum araya firewall karışmıyor bile.   

CevapAlıntı
Gönderildi : 23/05/2020 15:24
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Son durum nedir?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 25/05/2020 21:17
Gökhan Arda
(@gokhanarda)
Üye

merhaba,

 

şuanki yapıda SSL VPN ile dış networkteki destek cihazı iç networkteki herhangi bir cihaza erişim sağlıyor. @ibrahim hocam belirttiğiniz gibi radmin ip tabanlı bir bağlantı tipi sağlıyor herhangi bir port bloklama işlemine de tabi değil yapı. iki dış networkteki SSL VPN kullanıcılarının birbirleri ile olan bağlantısını hala sağlayamadık. sizin yapınızdaki örneği baz alırsak Ultra VNC gibi ip tabanlı bağlantı araçları ile kullandığınız FW tarafında yazılan ekstra bir policy ya da ekstra bir işleme ihtiyacı olduğunu düşünüyorum. sizde de böyle bir yapılanma gerekti mi yoksa tak çalıştır modelinde bir entegrasyon mu oldu.

CevapAlıntı
Gönderildi : 25/05/2020 21:49
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

" iki dış networkteki SSL VPN kullanıcılarının birbirleri ile olan bağlantısını hala sağlayamadık."
Bunu biraz açar mısınız. Niçin iki dış network? Ezbere doğru anladıysam 2 vpn client'ı bir biriyle konuşturacak şey içerdeki vpn gateway'dir bu olmuyorsa buna yönelik ayarlara bakmak lazım.

Sorduğunuz için diyim ben bu ultravnc kullanılan ortamı pfsense üzerinde ipsec ikev2 vpn ile sağlıyorum bunun config'i dışında bir rule ihtiyacı olmuyor ancak fortigate'i ezbere bilmiyorum. VPN aşamalarını gösteren makaleleri tekrar kontrol ettiyseniz mesela aynı uzak client'lara rdp yapabiliyor musunuz?
Firewall tarafı birazda sizin daha önce ki uyguladığınız policy'lere göredir net den benzer senaryo bulamayabilirsiniz o yüzden mevcut kural listelerinize bir göz atmanız lazım.  

CevapAlıntı
Gönderildi : 25/05/2020 22:00
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi

Selamlar , iyi  bayramlar @gokhanarda .

Aslında  çok basit  olan  bir  konu yapınız  hakkında  bilgi  vermediğiniz için maalesef  oldukça uzamaktadır. Yapınızda  kullanıdıgınız  SSL  VPn yapılandırmasında SPLIT TUNNNELING kullandıgınızı  tahmin  ediyorum. ( Yani ssl  vpn e  bağlanan  kullanıcılar  internet  için  kendi  internetini kullanıyor  ve  sadece  ssl  vpn için  anons  ettiğiniz  local networklerinize  erişim için paketler  vpn  tuneline giriyor. )

Local  networkunuz  192.168.1.0/24  olsun SSL  vpn ile  bağlanan  kullanıcılarınızda  192.168.254.0/24  networkunden  ip  alıyor  olsunlar ( benim  örnek olması  için verdiğim networkleri kendi yapınıza  göre  düzenleyiniz  lütfen ) 

VPN/ SSL VPN PORTALS    menusune  girin ve aşağıdaki  ekran görüntüsü  örneğindeki  gibi  source  network  kısmına  ssl vpn networkunuzu de  ekleyin. Sonrasında  tek  yapmanız  gereken   yeni  bir  policy  yazmak.

Örnek  policy ekran görüntüsünü de  ekledim.  Source ve Dest interface SSL VPN TUNNEL  INTERFACE .

Source kısmına  SSL  vpn  networkunuzu ve  SSL  vpn için  oluşturdugunuz  grubu  seçip  dest  tarafında da  yine  SSL  vpn networkunuzu  seçip  NAT kısmını  kapatarak  yeni  bir  policy  yazmanız  yeterli  olacaktır.

Örnek  trace  çıktısında  oldugu  givi  192.168.254.1 ve  192.168.254.2  ssl vpn e  bağlı 2  adet  bilgisayar.

İleride  açacağınız  postlarda yaptığınız  işlemler  hakkında  mutlaka  bilgi veriniz. Örneğin  ssl vpn yapılandırmanızı ne  gibi  ayarlar  ve  testler  yaptıgınızı  paylaşmış  olsaydınız bu postu ilk cevabımda  yazabilirdim sizin için de  vakit  kaybı  olmazdı.

 

Yukarıdaki işlemlere  rağmen  bağlantıda  problem  oluşuyor  ise  cihazlardaki Windows Firewall veya End point  Security  uygulamanızın  Firewall ı  paketler  blokluyordur  test  için  kapalı duruma  getirerek  test  edip  geri  dönüş  yapabilirseniz  durumunuza  göre  devam edelim.

 

 

image
image
image

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 26/05/2020 00:00
Hakan Uzuner beğendi
Paylaş: