Forum

Pfsense AD baglanti...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Pfsense AD baglantisi

Murat Özkan
(@cimmerian)
Üye

Merhabalar herkese,

Pfsense ile actıve dırectory bağlantısı kurmaya çalışıyorum. CA kuruldu ve bir sertıfıka oluşturdum.  Ancak Pfsense de CA scriptını almak ıstedığimde şöyle bir hata alıyorum. Sebebı nedir acaba? Konfigürasyonda mı yanlışlık var?

pfsense ca
Alıntı
Konu başlatıcı Gönderildi : 01/03/2022 14:59

Kadir YAPAR
(@kadiryapar)
Tecrübeli Üye Forum Yöneticisi

Bağlantıyı ne amaçla ve nasıl kurmaya çalışıyorsunuz? Kısaca özetlerseniz nasıl yapacağınızı anlatabilirim.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/03/2022 16:17

Murat Özkan
(@cimmerian)
Üye

@kadiryapar Merhaba Kadir bey,

Şirketimizin iki farklı lokasyonu mevcut. Şuan OpenVPN ile iletişim kuruyoruz. Ama sık sık bağlantı sıkıntısı yaşıyoruz.

AD şubemizde mevcut değil. Hepsi merkez AD sine bağlı.

Pfsense ile önce IPsec side 2 side VPN oluşturup (şubede netgate pfsense mevcut) AD de bulunan kullanıcıların istediğimiz şekilde merkeze ulaşmalarını sağlamak istiyoruz.

Planlamada hata olabilir. Daha efektif güvenli bir yolu da deneyebiliriz.

CevapAlıntı
Konu başlatıcı Gönderildi : 01/03/2022 21:23

ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Evet sanki plan, yorum hatası var gibi. Pf sizin şube user'ların merkeze erişimini sağlamaz sadece ör radius gibi çeşitli roller için user auth. yapabilmenize sağlar. 
StS vpn için openvpn kullanmak zorunda değilsiniz pfsense site to site diye aratın kendi support dahil çok fazla makalesi var. Bunu tamamladıktan sonra şube member'larınız AD'e erişebilmiş olur.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/03/2022 00:01

Murat Özkan
(@cimmerian)
Üye

Ibrahım bey yorum için teşekkür ederim. Ancak söylediklerinizi tam anlayamadım.

Öncelikle Pfsense AD bağlantısı neden kurulur onu araştırmam gerek sanırım. Maksadım. AD de bir grup oluşturup hem merkez hem şubedeki ilgili kullanıcıların istediğim yerlere giriş yapabilmesini sağlamak. Bu AD Pf bağlantısıyla yapmaya çalışıyorum.

 

ikincisi şuan kullanmakta olduğumuz kulanıcı baylı openvpn yerine IPsec site to site oluşturarak daha güvenli sorunsuz olarak sisteme ulaşmalarını istiyorum.

Sizin önerdiğiniz webde pfsense site to site aramasını yaptım. Sonuçların hemen hemen tamamı IPsec site to site olarak çıkıyor. Yani benim şuan yapmaya çalıştığım. Halihazırda lab ortamında iki pfsense iki server ve bir router ile bunu kurmaya çalışıyorum ancak bağlantı kuramıyorum. Nerede hata yaptığımı henüz bulamadım.

Konfigürasyonum şu şekilde

zümpark
CevapAlıntı
Konu başlatıcı Gönderildi : 02/03/2022 13:39

Kadir YAPAR
(@kadiryapar)
Tecrübeli Üye Forum Yöneticisi

Öncelike 1. sorunu çözelim:

 

IPSEC VPN yapmak pfsense tarafında çok kolay. 2 pfsense tarafında VPN->IPSec->Tunnels kısmında öncelikli tunnel oluşturmanız gerekmektedir.

image

 

Daha sonrasında P1 leri ayarlamanız gerekmektedir:

image

Status->IPSec->Overview kısmından Connect dediğiniz şu şekilde olması lazım

image

 

Aynı configleri karşılıklı olarak yapılması gerek. Bir yerdeki local subnet diğer tarafta remote subnet olmalı.

 

Daha sonrasında Firewall rules sekmesinden IPSec interfacesinde gerekli kuralları yazabilirsiniz.

 

2. sorun olarak:

 

AD userlarına kullanıcı bazlı firewall kuralı yazacaksınız bunu pfsense yapmıyor. Squidproxy kurup AD gruplarına proxy izinleri yazabilirsiniz.

 

Eğer OpenVPN gibi sistemlerde AD authentication istiyorsanız onu paylaşabilirim.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/03/2022 13:51

Murat Özkan
(@cimmerian)
Üye

Kadir bey detaylı anlatım için teşekkür ederim. Söylediğiniz gibi herşey aslında o kadar kolay ki insan kendini camdan atası geliyor.

Yukarıda yapılan konfigürasyonların tamamını detaylı olarak izlediğim bir çok video sonrasında yine defalarca yaptım. Ipsec P1-P2 ayarları, fırewall ruleları vs yaptım. Şimdi pfsense leri yeniden kurup denemeyi düşünyorum.

IPsec tunnelleri aşağıdaki gibi

ipsec tunnels

Bağlantı sonucu aldığım sonuç

Status Ipsec

Ve son olarak log durumu

Ipsec logs

Umarım bildiğiniz bir durumdur. Yoksa pencere yan tarafta 🙂

Bu arada AD authentıcatıon ile de bilgi verirseniz sevinirim.

 

CevapAlıntı
Konu başlatıcı Gönderildi : 02/03/2022 14:40

Murat Özkan
(@cimmerian)
Üye

Acaba Router ile ilgili mi bir sorun var. Server datacenter üzerine kurdum. İki adet virtual ethernet kartı var. Ve her iki taraf için  gateway olarak kullanıyorum.

CevapAlıntı
Konu başlatıcı Gönderildi : 02/03/2022 14:42

ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Sorunuza oldukça detaylı cevap verilmiş her zaman bulamayabilirsiniz bunu.:) Ben ise yeri geldiği üzere buradan geçen ki ilk konunuza atıf yapacağım Hakan abinin dediği gibi ve yazdıklarınız üzerinden bu deneyim düzeyi ile kerio dan pf'e uzun bir süre deneyim kazanmadan kesinlikle yapıyı taşımayın çok çok zorlanırsınız. Hakeza firewall deneyiminiz az ise şuan olduğu gibi kavramlar ve uygulamada pf sizi çok zorlar, aslında base bilgisi oldukça yaygındır ama detaylar ve uygulaması sıkıntılı ve daha önemlisi alışkanlıkları farklı olan bir canlı kurum yapısı için canlı support olmaması büyük handikap olur. Kerio da güçlü değil ama pf ile denk değil kesinlikle.
Ben de bazı yerlerde tercih ediyor, kullanıyorum ama çözüm noktası forumlar olan bir çözüm küçük kobi katlanır belki ama diğerleri için doğru değildir. 
Düşük maliyetli bir çözüm yada illa pf olsun isteniyorsa mutlaka coslat ile görüşün support alabilmiş olacaksınız ve sizin düzeyinizde uygulaması zorlayacak bir çok aksiyon arayüzde basitleştirilmiş durumda.
O konuyada yazacaktım bence öncelikle ürünler arasında option, yeterlilik, hedefler listesi yapıp yönetime sunun. 6 ay sonra aa bunu yapamıyor muyuz durumunda kalmayın. 
https://www.saashub.com/compare-pfsense-vs-kerio-control
Kendinize bundan çok daha detaylı tablolar yapabilirsiniz.

https://forum.netgate.com/topic/140906/pfsense-replacing-kerio
https://www.reddit.com/r/PFSENSE/comments/7io87g/pfsense_kerio_control_ipsec/
Göreceğin üzere global de yanıt seviyesi de budur. 🙂

Kadir hocam fazlasıyla detaylı cevabı vermişti araştırman için squid, captive portal kelimelerini kullanabilirsin. Ben kerio bilmiyorum (bu firmanın ürünleri kendi varlığı, desteğinden ne yazık ki daha iyi bence:) ) ama şunu baştan bilmelisin piyasada yaygın çözümlere göre AD user auth, filtering yöntemlerine pfsense base haliyle hiçbir zaman ulaşamayacaksınız planlamalarınız da IP temel faktör olacak. Yine de kurum bu işe para ödemek istemiyorsa beklentilerini düşürüp sağlam donanımlar üzerine kurularak gönül rahatlığıyla kullanabilir tabi ki.

Bu arada aksiyonların neden olmadığını anlamaya çalışıyorsun.
https://docs.netgate.com/pfsense/en/latest/monitoring/logs/firewall.html

pf'in log tarafına çalışmalısın her aksiyonla ilgili log var ancak bu şekilde çözüme kavuşturabilirsin.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/03/2022 14:55

Kadir YAPAR
(@kadiryapar)
Tecrübeli Üye Forum Yöneticisi

@cimmerian hocam wan ların private ip de,

 

firewall önünde modem vs. varsa o modemlerden portları senin natlaman gerekiyor. Eğer router varsa önde public ip onda varsa oradan da nat yapman gerekiyor.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/03/2022 15:54

Murat Özkan
(@cimmerian)
Üye

İbrahim bey detaylı yorumlariniz için teşekkür ederim. Logları okumaya yeni başladım sadece pfsense değil başka konularda da. Özellikle durumu açıklığa kavuşturmak için çok faydalı. Zamanla oturacak diye düşünüyorum. Yaptığım konfigurasyonlardaki hatayı şimdi farkettim. 

Router yerine kurduğum datacenter edition in Kadir hocamın da dediği gibi natlarini yapmamış olmam sanırım. Bugün first level supporttan vaktim olmadı. Ama yarın yaparım umarım.  

CevapAlıntı
Konu başlatıcı Gönderildi : 04/03/2022 00:48

Murat Özkan
(@cimmerian)
Üye

Kadir bey olayı nat olayını daha önce düşünmüştüm ama düşüncede kalmıştı. Asıl ufkunu açan public ip olayı. Hiç aklıma gelmemişti. En kısa zamanda yapacağım. Çok  teşekkür  ederim. 

Bu arada datacenter i kaldırdım. Yerine pfsense kurdum. Ileri değiştirip yeniden deneyeceğim. 

Çözümpark ailesi iyiki var. İşinin uzmanlarından bu kadar hızlı ve tam yerine oturan cevaplar almak  harika. Bence Türkiye için büyük bir şans. 

İyiki varsınız. 🖐️ 

 

CevapAlıntı
Konu başlatıcı Gönderildi : 04/03/2022 00:56

Kadir YAPAR
(@kadiryapar)
Tecrübeli Üye Forum Yöneticisi

Sorunuza çözüm bulmak bizi de mutlu etti. Konuyu çözüldü olarak işaretliyorum.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 04/03/2022 01:06

Murat Özkan
(@cimmerian)
Üye

Evet çözüldü. Tekrar yorumlar için teşekkür ederim. 

Kadir bey OpenVPN - AD authentication paylasiminizi bekliyorum.

CevapAlıntı
Konu başlatıcı Gönderildi : 04/03/2022 01:30

Kadir YAPAR
(@kadiryapar)
Tecrübeli Üye Forum Yöneticisi
image
image

Yukarıdaki ayarlar firewall a AD ile bağlanmak için yapılır. 

image

Devamında firewall da yetkili olacak AD grubunu oluşturmanız lazım AD bilgilerinde verdiğiniz. Bu gruba da sayfa yetkilendirmesi yapmanız gerekiyor.

image

OpenVPN i AD ile entegre etmek için AD sunucusu üzerine NPS kurmanız ve radius ayarlarını yapmanız gerekmektedir.

image

Bundan daha sonrasında detaylı nasıl yapıldığının bilgisini veremiyorum o taraf danışmanlığa girer. Buradan elinizde olması gereken her şeyi size sağladım. Biraz araştırarak sonuçlandırabilirsiniz.

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 04/03/2022 09:32

Murat Özkan
(@cimmerian)
Üye

Kadir bey verdiğiniz bilgiler benim için oldukça yeterli çok teşekkür ederim. Tabiki araştırma yapacağım. Bilişim alanında araştırma olmadan gelişme olmuyor  özellikle benim gibi bir yeni yetme için. 😀 

CevapAlıntı
Konu başlatıcı Gönderildi : 05/03/2022 16:04

Murat Özkan
(@cimmerian)
Üye

Tekrar merhabalar sorunu çözdüm ama farklı bir konfıgürasyon ile.

Pfsense IPSEC Conf

Routeri Pfsense VM olarak public IP ile kurdum.

NAT pfsense otomatik yapti.

Konfigürasyonlar tamam ama routera ping atilamiyordu.

En Son router WAN LAN ve OPT larina birer Firewall kurali yazdim ve baglanti kuruldu.

Tekrar yorumlari ile yardimci olanlara tesekkür ederim.

CevapAlıntı
Konu başlatıcı Gönderildi : 07/03/2022 12:27

Murat Özkan
(@cimmerian)
Üye

Unutmadan bir de iki adet statik route ekledim karsilikli olarak.

Karsi tarafin WAN ve LAN networklerine.

CevapAlıntı
Konu başlatıcı Gönderildi : 07/03/2022 12:41

Paylaş: