Site to site vpn
 
Bildirimler
Hepsini Temizle

Site to site vpn  

Ercan KESKIN
(@ErcanKESKIN)
Üye

Merhaba arkadaşlar,

 

2 Fabrikamız var, birinci fabrikanın network adresi 192.168.1.x,  ikincinin ise 192.168.2.x. RRAS'ın çalışma mantığını okuduğum döküman ve videolar ile öğrendim. Küçük çaplı bir uygulama da yaptım.

Yöneticiler tek forest, tek domain olması taraftarı. Yani 1 nci fabrikada x.com olan  domain'i addinational olarak diğer tarafa da kurmamı istiyorlar.

Birinci sorum,  dns servisi henüz kurulu değil iken addinational'a x.com isimli domain adresini çözümlemesini nasıl sağlayacağım.

Çözümledikden sonra lan kartının ayarlarında dns adresini 127.0.0.1'e çevirmem gerekecekmi. 

Normalde dns server'ın ayarlarına forwarder'a bildiğim telekom ve opendns adreslerini yazıyordum. Fakat addinational olduğu zaman iki tarafında dns server ayarları aynı oluyor. Karşılıklı ip adreslerini çözümlemesi için yapmam gereken ayar varmı? Yoksa otomatik algılarmı?

 

Son olarak da, vpn, l2tp, site to site ve adserver'ların birbiri ile iletişim kurması için gerekli olan tcp ve udp portları nelerdir. Extra olarak açmamda fayda olan port varmı?

Teşekkürler. iyi çalışmalar.

Alıntı
Topic starter Gönderildi : 08/12/2011 17:58
Kamer KOSEOGLU
(@kamerkoseoglu)
Üye

Merhaba,

Fabrikalar arası VPN bağlantısı tamam diye varsayıyorum. 2 sunucu bir birini ping atıyor problem yoksa, AD kuracagın sunucu üzerine DNS server rolunu kur ve domain adı ile bir zone oluştur "domain.local" DC nin adı ile bir A kaydı oluştur DCPROMO ile kuruluma başla gerisi gelecektir, kurulum bitiminde DNS sunucunu Active Directory Intengrated Zone olarak çevirirsin.

DNS ayarlarına gelince kurulum bittikten sonra veya önce Microsft Best Practice

DC sunucu 1. DNS AD 2. DNS 127.0.0.1

AD sunucu 1. DNS DC 2. DNS 127.0.0.1

Genelde VPN bağlantılarında güvenlik için sadece gerekli portların açılması önerilir fakat ben all to all yapıyorum.

CevapAlıntı
Gönderildi : 08/12/2011 18:20
Ercan KESKIN
(@ErcanKESKIN)
Üye

Gerekli olan portlar nelerdir?

CevapAlıntı
Topic starter Gönderildi : 08/12/2011 18:38
Kamer KOSEOGLU
(@kamerkoseoglu)
Üye

Merhaba,

Yazmayı unutmuşum kusura bakmayın. aşağıdaki linkte detaylı inceleye bilirsiniz

http://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx

 

 

CevapAlıntı
Gönderildi : 08/12/2011 18:46
Ercan KESKIN
(@ErcanKESKIN)
Üye

[quote user="Kamer KOSEOGLU"]

Merhaba,

Yazmayı unutmuşum kusura bakmayın. aşağıdaki linkte detaylı inceleye bilirsiniz

http://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx

 

 

[/quote]

 

Bu kadar çok port'a gerek varmı hocam :S Portları windows firewall değil, donanımsal olarak açacağım. Tunelleme site to site vpn yaptığımızda windows firewall kapalı ise iki tarafında bütün portları açılmıyormu?

Windows firewallarım kapalı, sadece donanımsal olarak nat'lamam ve  donanımsal firewalldan açmam gereken portlara ihtiyacım var.

CevapAlıntı
Topic starter Gönderildi : 08/12/2011 18:56
Kamer KOSEOGLU
(@kamerkoseoglu)
Üye

Merhaba,

🙂 domain kuracaksan firewall açıksa o portlar windows firewall üzerinde otomatik açılır. Arada vpn olacağı için nat yapmana gerek yok. VPN üzerinde kısıtlama yapacaksan sadece şunları ekleyin yeterli olacaktır.

Service Name UDP TCP

LDAP              389  389

LDAP                     636

LDAP                     3268

Kerboros         88    88

DNS                53    53

smb over IP     445   445

CevapAlıntı
Gönderildi : 08/12/2011 18:57
Ercan KESKIN
(@ErcanKESKIN)
Üye

[quote user="Kamer KOSEOGLU"]

Merhaba,

🙂 domain kuracaksan firewall açıksa o portlar windows firewall üzerinde otomatik açılır. Arada vpn olacağı için nat yapmana gerek yok. VPN üzerinde kısıtlama yapacaksan sadece şunları ekleyin yeterli olacaktır.

Service Name UDP TCP

LDAP              389  389

LDAP                     636

LDAP                     3268

Kerboros         88    88

DNS                53    53

smb over IP     445   445

[/quote]

 

Teşekkürler

CevapAlıntı
Topic starter Gönderildi : 08/12/2011 19:16
Ercan KESKIN
(@ErcanKESKIN)
Üye

Tekrar merhaba arkadaşlar,

Site to site vpn kurulumunda herhangibir sıkıntım yok, iki lokasyonda birbirine ping atabiliyor.

Fakat, ikinci lokasyona kuracağım addinational dc'yi kurarken, dcpromo'yu çalıştırdığımda domain adımı çözümlemiyor, atladığım bir püf noktamı var, yoksa radius kurmak gerekiyormu?

iki server'da 2008 r2, biri standart diğeri enterprise...

CevapAlıntı
Topic starter Gönderildi : 13/12/2011 18:29
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

[quote user="Ercan Keskin"]

Tekrar merhaba arkadaşlar,

Site to site vpn kurulumunda herhangibir sıkıntım yok, iki lokasyonda birbirine ping atabiliyor.

Fakat, ikinci lokasyona kuracağım addinational dc'yi kurarken, dcpromo'yu çalıştırdığımda domain adımı çözümlemiyor, atladığım bir püf noktamı var, yoksa radius kurmak gerekiyormu?

iki server'da 2008 r2, biri standart diğeri enterprise...

[/quote]

 

 

netbios-ns    137/tcp                # NETBIOS Name Service
netbios-ns    137/udp
netbios-dgm    138/tcp                # NETBIOS Datagram Service
netbios-dgm    138/udp
netbios-ssn    139/tcp                # NETBIOS session service
netbios-ssn    139/udp
 

CevapAlıntı
Gönderildi : 13/12/2011 19:16
Ercan KESKIN
(@ErcanKESKIN)
Üye

[quote user="Ertan ERBEK"][quote user="Ercan Keskin"]

Tekrar merhaba arkadaşlar,

Site to site vpn kurulumunda herhangibir sıkıntım yok, iki lokasyonda birbirine ping atabiliyor.

Fakat, ikinci lokasyona kuracağım addinational dc'yi kurarken, dcpromo'yu çalıştırdığımda domain adımı çözümlemiyor, atladığım bir püf noktamı var, yoksa radius kurmak gerekiyormu?

iki server'da 2008 r2, biri standart diğeri enterprise...

[/quote]

 Ertan hocam,

 

O zaman dc servislerinin de portlarını açmak gerekecek. Yanlışmı düşünüyorum?

 

netbios-ns    137/tcp                # NETBIOS Name Service
netbios-ns    137/udp
netbios-dgm    138/tcp                # NETBIOS Datagram Service
netbios-dgm    138/udp
netbios-ssn    139/tcp                # NETBIOS session service
netbios-ssn    139/udp
 

[/quote]

CevapAlıntı
Topic starter Gönderildi : 13/12/2011 19:57
Kamer KOSEOGLU
(@kamerkoseoglu)
Üye

[quote user="Ercan Keskin"]

Tekrar merhaba arkadaşlar,

Site to site vpn kurulumunda herhangibir sıkıntım yok, iki lokasyonda birbirine ping atabiliyor.

Fakat, ikinci lokasyona kuracağım addinational dc'yi kurarken, dcpromo'yu çalıştırdığımda domain adımı çözümlemiyor, atladığım bir püf noktamı var, yoksa radius kurmak gerekiyormu?

iki server'da 2008 r2, biri standart diğeri enterprise...

[/quote]

DCPROMO öncesi AD üzerine gecici DNS kurulumu yaparsan problemin kalmaz ilk konuda bahsetmişti sonrasında zaten Integrated olarak cevirirsin.

CevapAlıntı
Gönderildi : 14/12/2011 16:04
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

[quote user="Ercan Keskin"]

Tekrar merhaba arkadaşlar,

Site to site vpn kurulumunda herhangibir sıkıntım yok, iki lokasyonda birbirine ping atabiliyor.

Fakat, ikinci lokasyona kuracağım addinational dc'yi kurarken, dcpromo'yu çalıştırdığımda domain adımı çözümlemiyor, atladığım bir püf noktamı var, yoksa radius kurmak gerekiyormu?

iki server'da 2008 r2, biri standart diğeri enterprise...

[/quote]

 

Hocam şu mail ile haber verilme sistemi kaldırıldığı için bazen konuları geç görüyoruz. Aslında VPN yaptığınızda herhangi bir firewall sistemi uygulanmıyor ise direk ulaşabilmen lazım. Mesala DrayTek cihazları site to side VPN lerde IPSEC profili içinde netbui isimlerini kesiyor bu nedenle bunları devre dışı bırak madan DNS bağlantıları sorun yaratır. Aynı şey yapınızda ki cihazlarda da olabilir.

CevapAlıntı
Gönderildi : 10/01/2012 23:18
Paylaş: