Forum

Server'ın internet ...
 
Bildirimler
Hepsini Temizle

Server'ın internet erişimini, modem üzerinden VPN yapılan IP adresleri dışında tüm internet (WAN) erişimine kapatmak

16 Yazılar
3 Üyeler
0 Likes
4,798 Görüntüleme
(@OzerUCGUN)
Gönderiler: 23
Eminent Member
Konu başlatıcı
 

3 farklı lokasyonda birbirinden uzak binalarımız var. Söz konusu her bina için server alma imkanı olmadığından dolayı her bina için TP-Link TD-W8960N marka/model VPN destekli modem aldım. Her bina için 192.168.1.0, 192.168.2.0 ve 192.168.3.0 gibi farklı yerel ağ adresleri oluşturup her bir modem için gerekli IpSec ayarlarını girerek modemler üzerinden her üç binamızdaki bilgisayarları tek bir ağdaymışçasına topladım. Amacım Modemler üzerinden gerçekleştirdiğim bu donanımsal VPN yardımıyla, uzak binalarımızdaki Clientler de dahil olmak üzere tüm clientleri merkez binamızdaki tek bir server üzerinden etki alanı ve etkin group policy ayarları ile yönetebilmek. Buraya kadar sorun yok.

 

Merkez bina dahil olmak üzere tüm hizmet binalarımızdaki clientlerın internete erişiminde (server üzerindeki group policy kısıtlamaları haricinde) modem üzerinden herhangi bir kısıtlama olmasın ancak, merkez binadaki server internete çıkamasın. Yani server modem üzerinden yapılacak bir ayar ile LAN dan WAN'a çıkmak istediğinde sadece VPN (IpSec) ile belirlenen noktaların sabit WAN IP adreslerine erişim sağlayabilsin. Bunun dışında hiçbir düzeyde hiçbir internet çıkışı bulunmasın. Bu ayarlama modem üzerinde olsun ve en temel düzeyde, tüm portları kapsayacak şekilde yapılandırılsın. Ama bu internet erişimi kısıtlaması sadece web sitesi anlamında değil, işletim sisteminin kendi kaynak kodlarında belirtilen ve arka planda bilinmeyen tüm internet erişimlerini de engelleyebilecek kadar temel düzeyde ve sağlam olsun. Bir nevi, MAC adresi belirli bir bilgisayarın modem üzerinden ağa dahil edilemediği ve bu sebeple de internete çıkmadığı kadar kesin bir durum olsun (tabi MAC filtrelemeyi kullanamam çünkü LAN'a ve modem üzerinden yapılan donanımsal VPN bağlantısına da erişimi olmaz bu durumda serverın)

 

Umarım ne demek istediğimi anlatabilmişimdir... 

 
Gönderildi : 15/06/2013 16:31

(@OzerUCGUN)
Gönderiler: 23
Eminent Member
Konu başlatıcı
 

Bir fikri olan yok mu arkadaşlar?

 
Gönderildi : 16/06/2013 23:32

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Hocam soruyu anlamadım desem.

 
Gönderildi : 17/06/2013 05:16

(@OzerUCGUN)
Gönderiler: 23
Eminent Member
Konu başlatıcı
 

Siz anlamamış değil, muhtemelen ben anlatamamışımdır.

Aynı ilçede 3 farklı binamız var, aralarında uzunca bir mesafe var. Bu binalarımızdan birini merkez bina, diğer ikisini de şube gibi düşünebilirsiniz. Her binada birden çok sayıda internet erişimi olan bilgisayar var. Bu bilgisayarlar TTNET ADSL modemler ile internete çıkıyorlardı. Her binalarımızın birbirinden bağımsız kendi TTNET ADSL internet erişim hesabı ve faturalandırması var.  Benim amacım tüm binalarımızda kullanılan tüm bu internet bilgisayarlarını etkin bir biçimde yönetebilmek, gerekli her türlü kısıtlamayı vs. yapabilmek. Tabi Windows üzerinde kısıtlı kullanıcı oluşturmak da çözüm olmuyor, çoğu kez bir program kurma yetkisine de sahip olması gerekiyor kullanıcıların. Ve daha bunun gibi çok farklı yetkiler ve/veya kısıtlamalar olmasını istiyorum. Tahmin edersiniz ki bu da oldukça esnek ve etkin bir yönetim gerektiriyor. Bu sebeple uygulamam gereken tabii ki Domain yapısı ve GPO. Eldeki imkanların fazla yeterli olmaması nedeniyle, yalnızca 1 adet server yapabileceğimiz bilgisayarımız var. Ve ihtiyaç duyulan tüm roller bu sunucu bilgisayarda bulunacak. Dolayısıyla bu bilgisayarı merkez binaya konumlandırmam uygun olurdu ve öyle de yaptım. Peki diğer 2 binamızdaki bilgisayarları etki alanına nasıl alacaktım. Dediğim gibi her binaya bir sunucu alma imkanı olmadığından, çözüm VPN bağlantısıydı. Tabi server imkanı olmadığı için de donanımsal VPN yapmalıydım. Bu amaçla 3 binamızın tümüne TP-LINK TD-W8960N marka/model, kablosuz ve donanımsal VPN (IPsec) destekli modem aldım ve yapılandırdım. Modem arayüzünden, her üç binamızdaki tüm bilgisayarların da aynı ağdaymışçasına birbirine ping atabilecekleri şekilde gerekli VPN (IPsec) tanımlamalarını yaptım. Merkez binadaki sunucum da hazır ve Windows 7 Ultimate Edition SP1 64 Bit işletim sistemi üzerine VMWare programını kurdum. VMWare üzerine de sanal bir Windows Server 2008 R2 Enterprise Edition kurdum. Buraya kadar mevcut durumu özetlemiş oluyorum size. Şimdi ise yapmak istediğim ama araştırmalarıma rağmen bir türlü cevap bulamadığım soruya geçiyorum:

 

Merkez binamızda yer alan ve tüm binalarımızdaki internet bilgisayarlarına Domain Controller hizmeti verecek olan sunucumuzla ilgili farklı bir isteğim var. Bu isteğime cevap verecek farklı yöntemler vardır muhtemelen. Ancak benim isteğim, sunucu üzerinden yazılımsal çözümler değil, bizzat sunucunun bağlı olduğu merkez binamızdaki söz konusu marka/model modem üzerinden uygulanabilecek bir çözüm. Biliyorum ki çok garip bir istek, belki de bu yüzden cevabını bulamadım ve size anlatamadım. Ama bir konu gereği böyle olması gerekiyor. Merkez binamızdaki ve tüm lokasyonlara hizmet verecek olan bu tek sunucu bilgisayarın internet erişiminin olmamasını istiyorum. Bunu yapmanın birçok yöntemi olabilir ancak bu bilgisayar sonuçta bir Domain Controller ve mevcut binada ve diğer iki binadaki etki alanına dahil edilecek bilgisayarlarla iletişimi sorunsuzca aynen devam etmeli. Ve diğer binalardaki bilgisayarlar da modemler üzerinden yapılandırılan donanımsal VPN ile (yani internet üzerinden açılan bir güvenli tünel ile) domain controller'a erişim sağlayabiliyor. Benim bu sunucunun internet erişimini modem üzerinden engellemem lazım ama bunu yaparken de modem üzerinden diğer binalarımıza doğru yapılandırdığım IPSec VPN bağlantılarını da engellemeyecek bir çözüm bulmam lazım. Çünkü sonuçta sunucu bilgisayarın diğer binalardaki etki alanına dahil olan/olacak bilgisayarlara ulaşabilmesi için internet çıkışına ihtiyacı olacak (Sonuçta donanımsal VPN de internet üzerinden güvenli bir tünel ile oluşturuluyor). Yani sunucu bilgisayarın LAN'a çıkışını kesecek veya LAN'a çıkabileceği ama WAN'a tümden kapalı bir kısıtlama da işimi görmüyor. Modem üzerinde ve mümkün olan en temel düzeyde öyle bir şey yapmalıyım ki;

1- Bu sunucu bilgisayar kendi yerel LAN'ındaki (aynı binadaki) etki alanına dahil tüm client pclerle sorunsuz haberleşebilsin,

2- Diğer iki binamızdaki etki alanına dahil tüm clientlere de modem üzerinden donanımsal olarak yapılandırılmış VPN bağlantısı ile de sorunsuz haberleşmeye devam etsin,

3- Ancak söz konusu bu sunucu bilgisayar LAN dan WAN'a çıkmak istediğinde ve bu veri paketi modeme ulaştığında modem şöyle sorgulasın: LAN dan WAN a çıkacak bu veri paketinin hedefi neresi? Eğer bu veri paketinin hedefi yine bu modem üzerinde yer alan donanımsal VPN (IPSec) yapılandırmalarında belirtilen diğer binalarımızın sabit dış bacak IP'leri ise bu veri paketinin gönderilmesine izin versin. Ancak sunucu bilgisayarından modeme ulaşan ve LAN'dan WAN ortamına çıkmak isteyen bu veri paketinin hedefindeki IP adresi donanımsal VPN yapılandırmamızda yer alan diğer iki binamızdaki modemlerin sabit dış bacak IP lerinden farklı ise bu veri paketinin LAN dan WAN a çıkmasına izin verilmesin ve veri paketi modem üzerinde yok edilsin.

4- Modem üzerinden yapılacak bu kısıtlama sadece sunucu bilgisayarın gönderdiği veri paketlerine uygulansın. Modeme ulaşan ve LAN dan WAN'a (internete) çıkmak isteyen herhangi bir veri paketi sunucu bilgisayarın LAN IP sinden değil de yerel ağdaki herhangi bir client pcden geliyor ise modem bu veri paketinin WAN üzerinde istediği bir IP ye gönderilmesine engel olmasın.

 

Umarım bu kez anlatabilmişimdir. Biraz garip bir istek ama bir konu gereği böyle olması gerekli. Bu arada merkez binamızdaki söz konusu marka/model modemin 4 adet kablolu çıkış (LAN) portu var. Bunlardan biri modemden switche geliyor ve bu switche etki alanına dahil tüm clientler pcler bağlı. Modemin LAN çıkışlarından biri ise doğrudan sunucu bilgisayarımıza bağlı. Diğer hizmet binalarımızda ise yine aynı marka/model modemlerin LAN çıkışı switchlere bağlı ve bu switchlere de tüm etki alanına dahil tüm client pcler bağlı.

İlginize teşekkürler...

 
Gönderildi : 17/06/2013 11:59

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Hocam yazının hepsini okumadım ama ilçe demişsiniz bu nedenle bu VPN yerine size wifi önersem Aiirlive 5GHZ cihazlarla kolayca bu noktalarını birbirlerine çok hızlı şekilde bağlayabilirsiniz. Sonuçta hepsi birbirlerini gösmiyorsa bile muhtemel olarak ortak gördükleri bir yer vardır.

 
Gönderildi : 17/06/2013 13:53

(@OzerUCGUN)
Gönderiler: 23
Eminent Member
Konu başlatıcı
 

Kamu kurumuyuz, bazı prosedürler, prensipler gereği kablosuz mümkün değil. Fırsatınız olduğunda yazdıklarımı okursanız sevinirim, zira sorun bağlantı problemi, network yapısı vs. değil. Her üç bina arasında çalışan bir sistem zaten var. Ben sadece bunların üzerine bir işlem yapmak istiyorum. Modem arayüzünden yapılacak bir yapılandırma sadece. Detaylarını yukarıda bulabilirsiniz. Yardımcı olursanız sevinirim, ilginize teşekkürler...

 
Gönderildi : 17/06/2013 15:02

(@CuneytAlar)
Gönderiler: 6
Active Member
 

Kamu kurumuyuz, bazı prosedürler, prensipler gereği kablosuz mümkün değil. Fırsatınız olduğunda yazdıklarımı okursanız sevinirim, zira sorun bağlantı problemi, network yapısı vs. değil. Her üç bina arasında çalışan bir sistem zaten var. Ben sadece bunların üzerine bir işlem yapmak istiyorum. Modem arayüzünden yapılacak bir yapılandırma sadece. Detaylarını yukarıda bulabilirsiniz. Yardımcı olursanız sevinirim, ilginize teşekkürler...

 

Anladığım kadarıyla merkez tarafında bulunan sunucunuzun herhangi bir şekilde internete çıkamamasını fakat, aynı zamanda vpn yapınızın sorunsuz şekilde çalışmasını ve sunucu dışındaki şube ve merkezdeki tüm clientların da aynı zamanda internete sorunsuz çıkmasını istiyorsunuz. Doğru anladıysam eğer bunun için yapmanız gereken işlemler şöyle olmalıdır.

Merkez Sunucunuzun ip si : 192.168.1.10 - sub: 255.255.255.0/24

Şube 1 Wan ip : 77.78.79.80/32

Şube 2 Wan ip : 55.56.57.58/32  varsayalım.

 

Merkezde bulunan modeminizin firewall kurallarında sırasıyla şu işlemler yapılmalı;

1.) Lan to Wan:

local ip : 192.168.1.10 

dest. : 77.78.79.80 

izin verilir.

2.) Lan to Wan:

local ip : 192.168.1.10

Dest ip : 55.56.57.58

izin verilir.

3.) wan to Lan:

Local: Any

dest ip : 192.168.1.10

izin verilir.

4.) Lan to Wan:

Local ip: 192.168.1.10

Dest. ip: Any 

Blok kuralı yazılır.

4. kural sunucunuzun dışarı çıkmak isteyeceği tüm portları kapatır. Sadece izin verdiğiniz firewall kuralları çalışır. Bu kural her zaman kuralların en sonunda bulunmalıdır. İzin verilecek bir durum olursa şayet pass kurallarınızı bu kuralın üzerinde tanımlayarak çalıştırabilirsiniz. Tüm portları kapatmayıp başka şekilde de sunucunuzda internete çıkışı yine yasaklayabilirsiniz.

keyword oluşturunuz: http, https, www bu çok kelimeyi bir grup içinde toplayınız ve lan to wan bir kural yazınız;

Lan to Wan

Local ip : 192.168.1.10 

dest ip : Any 

Kelime grubunu seçiniz ve blok kuralı olarak çalıştıırınız. 

 

Böylece sunucunuzun internete çıkışı yasaklanmış olup, vpn trafiğinin sağlanması için yazılmış pass kuralları ile şubeniz ile iletişim sorunsuz devam eder.

 

 
Gönderildi : 17/06/2013 18:28

(@OzerUCGUN)
Gönderiler: 23
Eminent Member
Konu başlatıcı
 

Kamu kurumuyuz, bazı prosedürler, prensipler gereği kablosuz mümkün değil. Fırsatınız olduğunda yazdıklarımı okursanız sevinirim, zira sorun bağlantı problemi, network yapısı vs. değil. Her üç bina arasında çalışan bir sistem zaten var. Ben sadece bunların üzerine bir işlem yapmak istiyorum. Modem arayüzünden yapılacak bir yapılandırma sadece. Detaylarını yukarıda bulabilirsiniz. Yardımcı olursanız sevinirim, ilginize teşekkürler...

 

Anladığım kadarıyla merkez tarafında bulunan sunucunuzun herhangi bir şekilde internete çıkamamasını fakat, aynı zamanda vpn yapınızın sorunsuz şekilde çalışmasını ve sunucu dışındaki şube ve merkezdeki tüm clientların da aynı zamanda internete sorunsuz çıkmasını istiyorsunuz. Doğru anladıysam eğer bunun için yapmanız gereken işlemler şöyle olmalıdır.

Merkez Sunucunuzun ip si : 192.168.1.10 - sub: 255.255.255.0/24

Şube 1 Wan ip : 77.78.79.80/32

Şube 2 Wan ip : 55.56.57.58/32  varsayalım.

 

Merkezde bulunan modeminizin firewall kurallarında sırasıyla şu işlemler yapılmalı;

1.) Lan to Wan:

local ip : 192.168.1.10 

dest. : 77.78.79.80 

izin verilir.

2.) Lan to Wan:

local ip : 192.168.1.10

Dest ip : 55.56.57.58

izin verilir.

3.) wan to Lan:

Local: Any

dest ip : 192.168.1.10

izin verilir.

4.) Lan to Wan:

Local ip: 192.168.1.10

Dest. ip: Any 

Blok kuralı yazılır.

4. kural sunucunuzun dışarı çıkmak isteyeceği tüm portları kapatır. Sadece izin verdiğiniz firewall kuralları çalışır. Bu kural her zaman kuralların en sonunda bulunmalıdır. İzin verilecek bir durum olursa şayet pass kurallarınızı bu kuralın üzerinde tanımlayarak çalıştırabilirsiniz. Tüm portları kapatmayıp başka şekilde de sunucunuzda internete çıkışı yine yasaklayabilirsiniz.

keyword oluşturunuz: http, https, www bu çok kelimeyi bir grup içinde toplayınız ve lan to wan bir kural yazınız;

Lan to Wan

Local ip : 192.168.1.10 

dest ip : Any 

Kelime grubunu seçiniz ve blok kuralı olarak çalıştıırınız. 

 

Böylece sunucunuzun internete çıkışı yasaklanmış olup, vpn trafiğinin sağlanması için yazılmış pass kuralları ile şubeniz ile iletişim sorunsuz devam eder.

 

 

Sorumu çok iyi anlamışsınız ve bana çok tatmin edici bir cevap verdiniz. Tam olarak yapmak istediğim şey buydu. Çok teşekkür ederim. Modem arayüzünde bahsettiğiniz kısımları arayıp gerekli veri girişlerini yapacağım.

 

İkinci olarak belirttiğiniz yöntem ise sanırım bana tam olarak hitap etmiyor. Çünkü sunucunun internet erişimini sınırlandırmak isterken mümkün olduğunca temel düzeyde bunu yapmak istiyorum. Yani amacım sunucu pcden browser aracılığıyla yapılacak internet erişimlerini engellemekten çok daha fazlası. Bu nedenle sanırım ilk belirttiğiniz yöntem uygulandığında sunucu üzerindeki hiçbir program ve hatta işletim sisteminin geri planda çalışan uygulamalarından hiçbiri benim izin vermiş olduğum ve VPN yaptığım WAN IP numaraları dışında internet üzerinde hiçbir cihazla doğrudan bir iletişime geçemeyecek. Yani bir nevi kablosunu kesmiş kadar kesin bir biçimde bu böyle olacak sanırım. Yanılıyorsam düzeltin.

 

Her ikinize de ilginizden dolayı çok teşekkür ederim, sağolun... 

 
Gönderildi : 17/06/2013 20:05

(@CuneytAlar)
Gönderiler: 6
Active Member
 

Kesinlikle karşılıklı olarak doğru bir noktada bulunuyoruz. O zaman ilk yapnızı sağladıktan sonra umarım istemiş olduğunuz yapıyı sağlarsınız.

 
Gönderildi : 17/06/2013 20:21

(@OzerUCGUN)
Gönderiler: 23
Eminent Member
Konu başlatıcı
 

Cevabınızı okuduğumdan bu yana modem arayüzünde bahsettiğiniz ayarları girebileceğim kısmı arıyorum ancak tam olarak bulamadım. İlgili olabileceğini düşündüğüm kısımlar var ancak firewall ifadesi menüde hiçbir yerde yok. Advanced Setup>NAT ve Advanced Setup>Security menüleri altında olabilir diye düşünüyorum.

İlgili olabilecek kısımlar şunlar:

 

 

 

 

 

 

 

Bahsettiğiniz yapılandırma için hangi menüyü kullanmalıyım? 

 
Gönderildi : 17/06/2013 21:55

(@CuneytAlar)
Gönderiler: 6
Active Member
 

NAt>>Security>> ip filtreleme kısmı yapılandırmanızı gerçekleştireceğiniz yer olsa gerek 

 
Gönderildi : 18/06/2013 12:53

(@OzerUCGUN)
Gönderiler: 23
Eminent Member
Konu başlatıcı
 

NAT>Security>IP Filtering kısmına önermiş olduğunuz kural tanımlamaları arasında 4. ve son kural olan, sunucunun WAN'a çıkmasını engelleyecek kuralı girdim, denedim ve gerçekten sunucum internet ortamına çıkamadı. Ancak söz konusu menüde sadece "Outgoing IP Filtering" yazıyor ve IPSec yaptığım noktaların WAN IP lerine allow kuralı girebileceğim bir arayüz yok karşımda. Yani buraya girdiğimiz veriler için allow mu yoksa deny mi diye sormuyor, buraya girilen koşulları sağlayan bağlantıların hepsini deny ediyor. NAT kısmına bakıyorum ama orada da böyle bir şeye izin verecek bir kısım göremedim. Modemim bahsettiğiniz Firewall kurallarının yapılandırılmasını desteklemiyor olabilir mi? Yada grafiksel arayüzü dışında komut ekranından belirli bir standartta komut yazarak dediğiniz kuralları oluşturabilir miyim?

 
Gönderildi : 18/06/2013 14:11

(@CuneytAlar)
Gönderiler: 6
Active Member
 

NAT>Security>IP Filtering kısmına önermiş olduğunuz kural tanımlamaları arasında 4. ve son kural olan, sunucunun WAN'a çıkmasını engelleyecek kuralı girdim, denedim ve gerçekten sunucum internet ortamına çıkamadı. Ancak söz konusu menüde sadece "Outgoing IP Filtering" yazıyor ve IPSec yaptığım noktaların WAN IP lerine allow kuralı girebileceğim bir arayüz yok karşımda. Yani buraya girdiğimiz veriler için allow mu yoksa deny mi diye sormuyor, buraya girilen koşulları sağlayan bağlantıların hepsini deny ediyor. NAT kısmına bakıyorum ama orada da böyle bir şeye izin verecek bir kısım göremedim. Modemim bahsettiğiniz Firewall kurallarının yapılandırılmasını desteklemiyor olabilir mi? Yada grafiksel arayüzü dışında komut ekranından belirli bir standartta komut yazarak dediğiniz kuralları oluşturabilir miyim?

Cihazınızın arayüzüne biraz yabacıyım o nedenle yanlış yönlendirmek istemem bence üretici firma tarafından destek almayı deneyin. Bunun dışında Draytek ürünlerine bakmanızı da tavsiye ederim oldukça güzel ve isteiğinizi karşılayacak cihazlardır.

 
Gönderildi : 18/06/2013 14:54

(@OzerUCGUN)
Gönderiler: 23
Eminent Member
Konu başlatıcı
 

İlginize çok teşekkür ederim. TP-Link destek kısmına elektronik ortamda yazılı olarak sorumu yöneltmiştim. Şimdiye kadar cevap gelmedi, bekliyorum. Çok sağolun...

 
Gönderildi : 18/06/2013 15:01

(@OzerUCGUN)
Gönderiler: 23
Eminent Member
Konu başlatıcı
 

Bu konuyu internette çok araştırmış ancak bir cevap bulamamıştım. Benzer ihtiyacı olan arkadaşlar bir sonuca varabilsinler diye geri dönüş yapmak istedim, umarım faydalı olur. 

Teknik destekle görüştüm. Malesef mevcut modemimde (TP-Link TD-8960N Versiyon:4) Firewall kuralı girebileceğimiz bir kısım olmadığını söylediler. Bu modemin bir üst modelini önerdiler, onda bahsedilen firewall kurallarını arayüzünden kolaylıkla gerçekleştirebileceğimi söylediler. Ben de TP-Link'in sitesinden önerdikleri modemin arayüz simülatörünü gezdim, gerçekten böyle bir bölüm var ve kullanımı çok anlaşılır ve basit. Menüde doğrudan Firewall seçeneği var ve altında da Rule tabı mevcut, buradan kolaylıkla giriş yapılabiliyor. Modemi önerilen modemle değiştireceğimi sanmıyorum açıkçası. Çünkü şu andaki modem de alınalı 2 ay kadar oldu ve tekrar tekrar masraf yapmak istemiyorum. Bu arada bana önerilen TP-Link'in TD-W8970 model modemi. IPSec donanımsal VPN desteği ve Firewall Kuralı oluşturabilme özellikleri mevcut. 

 
Gönderildi : 19/06/2013 11:12

(@OzerUCGUN)
Gönderiler: 23
Eminent Member
Konu başlatıcı
 

Önerilen modemin simülatörüne de buradan bakabilirsiniz:

  http://www.tp-link.com.tr/resources/simulator/TD-W8970_v1/index.htm  

 
Gönderildi : 19/06/2013 11:13

Paylaş: