SSG5 ile L2TP VPN k...
 
Bildirimler
Hepsini Temizle

SSG5 ile L2TP VPN kurma konusunda bir soru  

  RSS
Hazar Karabay
(@HazarKarabay)
Üye

Merhabalar; öncelikle uzmanlığımın network olmadığını, dolayısıyla abuk gelebilecek sorularıma karşı sizi önceden uyarmak isteyen bu satırla başlıyorum.

Basitçe yapmak istediğim şeyden bahsedeyim. Öyle bir teknoloji olsun ki (bu teknoloji uzak masaüstü de olmasın), ben Internet bağlantım olan bir yerden işyerimdeki ağa giriş yapabileyim, ağdaki kaynaklardan faydalanabileyim, paylaşımları göreyim, web sunucusuna erişebileyim, hatta birşey bile yazdırabileyim.

Gördüğüm kadarıyla bu teknolojinin adı VPN. Ben de en basit nasıl bunu hallederim diye Internet'te aramalarım sonucu burayı ( http://www.cozumpark.com/blogs/gvenlik/archive/2009/03/08/juniper-firewall-ssg-serisinde-layer-2-tunnel-protocol-l2tp-uygulamasi.aspx) buldum. Aynen uyguladım, sadece Objects'in altında Adresses olmadığı için Policy tanımladığım yerde elle girdim. Ayrıca Policy'de Service olarak ANY seçili bıraktım. Örnekte sadece RDP seçilmişti.

Bağlantım başarıyla sonuçlanıyor. 192.168.44.44 gibi bir adres alıyorum buradan. Sonrasında, Internet bağlantım kısıtlanıyor (bunun çözümünü http://www.cozumpark.com/forums/thread/132753.aspx Ali Korkmaz'ın cevabından buldum) ve sonra, sonrası yok. 

Hiçbir kaynağıma erişemeden öyle kalıyorum. Bunun sebebinden tam emin olmamakla beraber; şöyle bir tezim var. Demin linkini verdiğim Forum linkinde denmiş ki "yani 192.168.10.x networkune erişmek için 172.10.10.x diye bir IP alıp gitmek zorundasın, 192.168.10.x networkune 192.168.10.x diye bir IP alıp erişemezsin". Şimdi, erişmeye çalıştığım yerin IP'leri 192.168.1.xxx şeklinde. Evimdeki networkun da adresleri 192.168.1.xxx şeklinde. Acaba burada mı bir sorun var? Çünkü VPN kurup 192.168.1.10'a ping atmaya çalışırsam (ki bu işyerindeki sunucunun iç IP adresidir) "192.168.1.2 cevabı: hedef ağ ulaşılamaz" diye bir sonuç alıyorum. Şirkette 192.168.1.2 diye birşey yok, evdeki routerımın adresi o.

Ayrıca SSG5'ten Policies > VPNbağlantım'ın Traffic Log'una baktığımda ICMP, DNS vb. bir sürü istek görüyorum ve karşısında "Traffic Denied" yazmakta. Bunun sebebini de bilmiyorum, sorunla alakalı mı emin değilim.

Firewall üzerinden VPN yapmak, sunucuyu çok kurcalamak istemeyen bendenizde daha kolaymış gibi bir etki bıraktı ama sanırım yanıldım. Anlayacağınız üzere sunucuda VPN adına hiçbir ayar yapmadım, firewall üzerinden yapılan bu ayarların yeterli olduğunu sanıyorum, umarım yanlış değilimdir. 

Kısacası, evden işe bağlanmayı beceremedim.  Her türlü yol gösterime, yardıma açığım. Şimdiden teşekkür ederim.

Alıntı
Gönderildi : 17/12/2009 22:29
İlyas YILDIZ
(@ilyasYILDIZ)
Üye

Merhaba ,

Siz bunu deneyim olsun , tecrübe kazanayım diye mi yapmak istiyorsunuz ya da bu tarz  bir ihtayacınız var da bunu nasıl gideririm diye mi düşünüyorsunuz ? İnanın anlayamadım. Öncelikle elinizde nasıl bir sistem var ?

CevapAlıntı
Gönderildi : 18/12/2009 12:21
Hazar Karabay
(@HazarKarabay)
Üye

Gayet açıklayıcı yazdığımı düşünüyordum, anlaşılan yanılmışım. Bu tarz bir ihtiyacım var evet. Evimde ya da dışarıda şirketteymiş gibi kaynaklara erişmek istiyorum. 

Elimde bir adet SSG5 ve bir adet W2K3 Server var. VPN oluşturmak istiyorum, yukarıda anlattıklarımı yaptım ama başarıya ulaşamadım. Neyi yapamadım, ne yapmalıyım? 

Saygılar.

CevapAlıntı
Gönderildi : 21/12/2009 21:16
Ali Korkmaz
(@alikorkmaz)
Üye

Selam,

Konuya vakif olmayan birinin, bu denli tertipli cumlelerle istegini anlatabilmesi ve anlasilir olmasi cok az rastlanan bi durum. Terside cok yadirgancak bir durum degil cunki fizik bilmeden sordugunuz fizik sorularinin anlasilmasi veya mazur gorun sacma olmasi normal, lakin siz gayet anlasilir yazmissin ve sunuda hemen belirteyim cevabinizida kendiniz vermissiniz.

Evet sorunun kaynagi, sizin is yeri networkunuzun 192.168.1.x seklinde olup, evinizde kullandiginiz subnet'te 192.168.1.x seklinde olmasidir.

Teknik olarak aciklayacak olur isek, sizin kullandiginiz isletim sisteminin routing tablosu (paketlerin nereye gidecegine karar veren tablo) sirket networkunuze gitmesi icin biraktiginiz bir paketi, aslinda sizin evinizin icinde bir bilgisayar gibi algilamakta ve paketi asla vpn tunnel icinden karsi networke gondermemesidir. Sirket networkunun subnet ini degistirmek cok makul gorunmuyor, mumkunse evinizdeki networku 192.168.35.x seklinde yapip deneyin.

Edit: Ne evinizdeki nede sirketinizdeki network subnet leri ile oynamadan bu isi nasil hallederim der iseniz, ulasmak istediginiz belirli bir ip var ise, ornek veriyorum sadece 192.168.1.10 (sunucu) adresine ulasmak istiyor iseniz, vpn baglantiniz kurulduktan sonra lutfen su komutu windows icin uygulayin.

cmd  ekraninda;   

route add 192.168.1.10 mask 255.255.255.255 192.168.44.44 metric 1

Yukaridaki  komutu uyguladiginiz takdirde, artik sadece 192.168.1.2 adresi icin vpn tunnel i kullanip sunucuya erisim saglayacaksiniz. "Peki her seferinde ben vpn baglantisi yaptigimda bu komutumu uygulayacagim?" der iseniz,  vpn yaptiginizda aldiginiz ip nin (192.168.44.44) ayni kalmasi kosuluyla su komutu uygulayabilirsiniz;

route -p add 192.168.1.10 mask 255.255.255.255 192.168.44.44 metric 1

yukaridaki -p  (permanent) parametresi kaliciligi ifade eder.

CevapAlıntı
Gönderildi : 28/12/2009 19:09
Hazar Karabay
(@HazarKarabay)
Üye

Merhaba Ali Bey, öncelikle detaylı cevabınız için çok teşekkür ederim.

Ev networkumu 192.168.2.x haline getirdim ve tekrar bağlanmayı denedim. 192.168.1.10 (uzak sunucu IP) adresine PING atmayı ya da Web browser'ıma adresini yazıp girmeyi denediğimde (üzerinde çalışan bir IIS var) sayfayı görüntüleyemiyorum, pingler de zaman aşımından kalıyor.

Bu olduğunda SSG5'ten Reports > Policies > Traffic Log 'a girip baktığımda bir adet ICMP ve bir adet HTTP isteği görüyorum ve karşısında "Traffic Denied" yazıyor. ICMP benim attığım ping, HTTP de browserdan yaptığım giriş denemesi olsa gerek. Anlaşılan o ki SSG5 beni engelliyor. 

Bu engelleme niyedir anlamadım. Untrust to Trust Policy'lerimin en üstünde VPN var, (Source: Dial-Up VPN, Destination: 192.168.44.0/26, Service: ANY, Action'un altında da açık (kilitlenmemiş) bir kilit ikonu var.) Erişmeye çalıştığım 192.168.1.10 için Trust To Untrust kategorisinde Any to Any izin var. Acaba birşeyler daha mı tanımlamam gerekiyor. Daha detaylı bilgi de istenirse sağlayabilirim.

Sanırım az birşey kaldı halletmemize, değerli cevaplarınızı bekliyorum. Saygılarımla.

CevapAlıntı
Gönderildi : 28/12/2009 22:26
Ali Korkmaz
(@alikorkmaz)
Üye

Merhaba,

Evet az kaldi sanirim halletcez demissiniz ve bence "(Source: Dial-Up VPN, Destination: 192.168.44.0/26" kisminda  destination alanina 192.168.1.0/24 seklinde tanimlama yapar iseniz sorununuz cozulecektir. Cunki siz dial-up olarak adlandiriyosunuz ve ulasmak istediginiz network 192.168.44.0/26 degil, 192.168.1.x networkudur, lutfen bunu degistirip deneyin.

CevapAlıntı
Gönderildi : 28/12/2009 23:15
Hazar Karabay
(@HazarKarabay)
Üye

Ali Bey, dediğinizi uyguladım. Malesef halen erişemiyorum. Tek fark; artık loglarda bir hata gözükmüyor (traffic denied gibi).

Başka bir öneriniz varsa uygulamak isterim. Saygılarımla.

CevapAlıntı
Gönderildi : 29/12/2009 00:39
Ali Korkmaz
(@alikorkmaz)
Üye

Tekrar Merhaba,

Tam bu asamadayken su komutu yazip tekrar denermisiniz.

route add 192.168.1.0 mask 255.255.255.0 192.168.44.44

44.44 sizin aldiginiz ip olarak dusundum, aldiginiz ip ne ise onunla degistirerek uygulayin.

 

 

CevapAlıntı
Gönderildi : 29/12/2009 01:12
Hazar Karabay
(@HazarKarabay)
Üye

Komutu yazınca 2 dakika süresince bilgisayar kilitlenmiş gibi bekledi ama sonuç olarak bağlanabildim, tüm ağı görebiliyorum. Çalıştı.

Yardımlarınız için çok teşekkür ediyorum Ali Bey. Saygılarımla.

CevapAlıntı
Gönderildi : 29/12/2009 22:46
Paylaş: