Anasayfa » Forum

Draytek Modemler ar...
 
Bildirimler

Draytek Modemler arası VPN ve DHCP Yapılandırması  

Sayfa 1 / 2
  RSS
tuncay polat
(@tuncaypolat)
Üye

Merhaba, iki farklı lokasyon arası Draytek 2860 ve 2760 cihazlar ile VPN kurulumu yapıcam. Merkez lokasyonunda DC server 'ım mevcut. Server 2016 standart kurulu. Ben DHCP servisi server üzerine kurmayı düşünüyordum ama sanırım şube tarafınada bir cihaz kurmam gerekecek bunun için. Aksi taktirde şubedeki cihazlar merkezdeki dhcp servis yüklü dc ye ulaşamıyacak ve ip alamayacaklar. Şubedeki cihazlara elle ip vermek istemiyorum. Çünkü ortamda notebook cihazlar var. 

Bende DHCP servisi server üzerinde aktif etmeyerek, draytek cihazlar üzerinde aktif etmeyi düşünüyorum. Yani her cihaz kendi lokalindeki ip bloğunu dağıtacak. Böylelikle VPN bağlantısı kopsa bile en azından cihazlar ip alabildikleri için internetten düşmeyecekler, hemde ip dağıtımı için şubeye ayrı bir pc yapılandırmıcam. 

Yapılandırmam bu sebeplerden dolayı şu şekilde olacak;

 

MERKEZ: 

DC Server : 11.1.1.1

Draytek 2860 = İp:11.1.1.254 - Gateway:11.1.1.254 - Subnet Mask:255.255.25.0 - DNS1:11.1.1.254 - DNS2:11.1.1.1

Client PC 'ler = İp:11.1.1.10-11.1.1.250 arası - Gateway:11.1.1.254 - Subnet Mask:255.255.255.0 - DNS1:11.1.1.254 - DNS2:11.1.1.1

 

ŞUBE:

Draytek 2760 = İp:11.2.2.254 - Gateway:11.2.2.254 - Subnet Mask:255.255.25.0 - DNS1:11.2.2.254 - DNS2:11.1.1.1

Client PC 'ler = İp:11.2.2.10-11.2.2.250 arası - Gateway:11.2.2.254 - Subnet Mask:255.255.255.0 - DNS1:11.2.2.254 - DNS2:11.1.1.1

 

Bu şekilde bir yapılanmada cihazlar arası bağlantı sıkıntısı ve domain ortamında sıkıntı oluşur mu?

 

Alıntı
Gönderildi : 24/03/2017 19:56
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

merhaba,

site2site vpn stabil olduğu sürece, düşündüğünüz yapıda kullanılabilir.

dhcp tarafını her lokasyonda ayırmak doğru olacaktır.

belirttiğiniz config içinde sadece birincil dns dc, ikincil dns lokasyon gw olmalı.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 24/03/2017 22:40
Erol DURSUN
(@eroldursun)
Tecrübeli Üye

merhaba ;

Uç noktalarının birini dial-out diğerini dail-in yapmalısın .

 

CevapAlıntı
Gönderildi : 24/03/2017 23:53
tuncay polat
(@tuncaypolat)
Üye

[quote user="Turan COŞKUN"]

merhaba,

site2site vpn stabil olduğu sürece, düşündüğünüz yapıda kullanılabilir.

dhcp tarafını her lokasyonda ayırmak doğru olacaktır.

belirttiğiniz config içinde sadece birincil dns dc, ikincil dns lokasyon gw olmalı.

[/quote]

 

Turan Hocam, birincil dns 'i dediğiniz gibi dc yapıcam. Fakat dhcp tarafını her lokasyonda ayırmak doğru olacaktır derken ne demek istediniz?

 

[quote user="Erol DURSUN"]

merhaba ;

Uç noktalarının birini dial-out diğerini dail-in yapmalısın .

 

[/quote]

 

Erol Hocam, sanırım draytek cihazların birinde dial-out ve diğerinde dial-in seçilmeli demek istediniz. Dediğiniz gibi o şekilde ayarlama yapıldı VPN için. Draytek konusunda bilginiz varsa bir kaç soru sormak isterim.

CevapAlıntı
Gönderildi : 25/03/2017 02:35
Erol DURSUN
(@eroldursun)
Tecrübeli Üye

Merhaba ;

evet kastım oydu.

Bildiğim kadar birşeyler yazabilirim.

Draytek konusunda ertan erbek ulaşırsanız cevapsız sorunuz kalmaz 🙂

 

CevapAlıntı
Gönderildi : 25/03/2017 03:14
tuncay polat
(@tuncaypolat)
Üye

[quote user="Erol DURSUN"]

Merhaba ;

evet kastım oydu.

Bildiğim kadar birşeyler yazabilirim.

Draytek konusunda ertan erbek ulaşırsanız cevapsız sorunuz kalmaz 🙂

 

[/quote]

[quote user="Ertan ERBEK"]

[/quote]

 

O zaman Şu şekilde bir şansımızı deneyelim 🙂

 

Aklıma takılan sorular şunlar;

  • Site to site vpn için, draytek cihazlarda "VPN and Remote Access" bölümünde "LAN to LAN" ayarlarını yapmamız yeterli mi. iki lokasyonun bir birine ulaşabilmesi için firewall lardaki gibi route girmek gerekli mi karşılıklı?
  • Birde daha önce kullanmadım draytek cihazlarını, ne tür ayarlamaları yapmak önemlidir, özelliklede güvenlik için. Mutlaka düzenle ya da aktif et diyebileceğiniz konfigürasyon var mı cihazlar için. 
CevapAlıntı
Gönderildi : 25/03/2017 04:50
Erol DURSUN
(@eroldursun)
Tecrübeli Üye

Merhaba ;

Firewall aktif değilse yeterli.

Firewall aktif ederseniz 2 kural yazılmalı lan to lan wan to lan şeklinde.

ddos saldırı engelleme özelliğini aktif edebilirsin.

 

 

CevapAlıntı
Gönderildi : 25/03/2017 12:49
tuncay polat
(@tuncaypolat)
Üye

[quote user="Erol DURSUN"]

Merhaba ;

Firewall aktif değilse yeterli.

Firewall aktif ederseniz 2 kural yazılmalı lan to lan wan to lan şeklinde.

ddos saldırı engelleme özelliğini aktif edebilirsin.

 

 

[/quote]

 

Draytek Cihazlarında default olarak "ıdle timeout" süresi 300 olarak belirtilmiş. iki taraflı baglantınında her zaman aktif olmasını istiyoruz, "always on" seçili olması gerekmiyor mu?

CevapAlıntı
Gönderildi : 25/03/2017 14:01
Erol DURSUN
(@eroldursun)
Tecrübeli Üye

Dial-out yaptığın uçuta allways on yap

Enable PING to keep IPsec tunnel alive kısmınada karşı tarafın gateway iç IP sini yaz.

 

CevapAlıntı
Gönderildi : 26/03/2017 14:44
tuncay polat
(@tuncaypolat)
Üye

[quote user="Erol DURSUN"]

Dial-out yaptığın uçuta allways on yap

Enable PING to keep IPsec tunnel alive kısmınada karşı tarafın gateway iç IP sini yaz.

 

[/quote]

 

Erol Hocam cihazları aldığımız yerede yazmıştım always on esçilmemiş diye. Düz bir cevapla "always seçebilirsiniz" demişler sadece.

-birincisi; ayarlarında dial-out seçtiğim arayüzde "enable ping to keep pısec tunnel alive" kısmına karşı tarafın gateway iç ipsini yani karşı taraftaki draytekin ipsini mi yazıcam. bu bana ne kazandıracak. yani sadece "always on seçmem yetmiyor mu, bu işlemi neden yapıyorum.

ikincisi diğer taraftaki draytek cihazında da always on seçili olmalı mı sürekli bağlantı için ve gene gateway girmelimiyim.

 

Ben draytek kullanmadım daha önce ve ayarlarıda aldığım firmaya yapmaları için rica etmiştim. always on hiç seçilmemiş iki taraftada ve idle time olarak iki taraftada 300 second seçiliydi. Neden bunu başta ayarlamamışlar anlamadım. bu iki konudada aydınlatırsanız Erol Hocam çok sevinirim. Akşam üzeri kurulumları yapıcam çünkü, sorun çıksın çok istemiyorum ya da sonrasında bağlantının kendiliğinden kopmasını.

CevapAlıntı
Gönderildi : 26/03/2017 16:42
Erol DURSUN
(@eroldursun)
Tecrübeli Üye

merhaba ;

Evet karşı tarafın Draytek iç IP sini yazacaksın.

aşağıdaki linkleri oku çok faydalanırsın.

http://www.simet.com.tr/index.cfm?fuseaction=objects2.detail_content&cid=834

http://www.simet.com.tr/index.cfm?fuseaction=objects2.detail_content&cid=436

http://www.simet.com.tr/index.cfm?fuseaction=objects2.detail_content&cid=380

 

Şunlara dikkat et :

--bir taraf dialout diğer taraf dial-in

--Local IP ler farklı olsun

-- Şifreleme Algoritmlar faz1 faz2 her 2 taraftada aynı olmalı ve şifre

-- 2 uçta Public IP sabit olsun

 

 

CevapAlıntı
Gönderildi : 26/03/2017 22:53
tuncay polat
(@tuncaypolat)
Üye

[quote user="Erol DURSUN"]

merhaba ;

Evet karşı tarafın Draytek iç IP sini yazacaksın.

aşağıdaki linkleri oku çok faydalanırsın.

http://www.simet.com.tr/index.cfm?fuseaction=objects2.detail_content&cid=834

http://www.simet.com.tr/index.cfm?fuseaction=objects2.detail_content&cid=436

http://www.simet.com.tr/index.cfm?fuseaction=objects2.detail_content&cid=380

 

Şunlara dikkat et :

--bir taraf dialout diğer taraf dial-in

--Local IP ler farklı olsun

-- Şifreleme Algoritmlar faz1 faz2 her 2 taraftada aynı olmalı ve şifre

-- 2 uçta Public IP sabit olsun

 

 

[/quote]

 

 

[quote user="Turan COŞKUN"]

merhaba,

site2site vpn stabil olduğu sürece, düşündüğünüz yapıda kullanılabilir.

dhcp tarafını her lokasyonda ayırmak doğru olacaktır.

belirttiğiniz config içinde sadece birincil dns dc, ikincil dns lokasyon gw olmalı.

[/quote]

 

Öncelikle Erol hocam teşekkürler paylaşımlar için. makaleleri daha önce okumuştum ve dün fiziki olarak kurulumu yaptım. Karşı tarafa ping attı ve hatta rdp ile bağlantıda sağladım. Buraya kadar sorun yoktu Turan ve Erol Hocam, sıra domaine almaya geldi pcleri ve tutarsızlıklar başladı. İlk önce windows 10 pro bilgisayarı alıyım domaine degim. Domain adını girdim ve enterladığımda domain üyesi kullanıcı adı ve şifre istedi. Bilgileri girdikten sonra zaman simgesi döndü döndü bağlantı kuramadığını söyledi. dc ye yani 11.1.1.1 'e ping atıyor sıkıntı yok. pc yi kapattım açtım gene bir şey degişmedi, aynı hatayı aldım hep. Sonra yeni kurdugum bir server 2003 işletim sistemi vardı. birde onu domaine almaya deniyim dedim. ilk denemede aldı. bu cihazda otomatik ipyi draytekten alıyor, ama bu şak diye domaine girdi. 

sonra başka bir windows 10 pro yüklü notebook ta denedim domaine almayı, ama gene aynı noktada sıkıntı verdi. aradan biraz zaman geçti, ikinci denediğim notebook nedense hata vermeden şak diye domaine girdi. yani bir tutarsızlık var. 

dc nin ipsini belirttiğim gibi 11.1.1.1 verdim, subnetmask: 255.255.255.0 verdim, default gatways: 11.1.1.254, dns1: 11.1.1.1 ve dns2:11.1.1.254 olarak ayarladım.

bu arada bu denemeleri merkezdeki dc nin baglı olduğu lokasyonda yaptım. vpn ile bir ilgisi yok. neden böyle tutarsız davranıyor domaine alırken anlamadım. dc ye ulaşmasa domaine üye kullnanıcı adı neden istesin. pingte atıyor zaten.

 

diğer bir konuda, akşam bu işlerle uğraşırken ping atan, rdp ile bağlanılan vpnde, sabah bir baktım ne ping atıyor nede rdp ile bağlanılıyor. vpn bağlantısı modemler üzerinde connected olarak bağlı görünüyor. statüs durumu yeşil. draytek aldığım yerdeki teknik arkadaş vpn abğlantısı koparsa "idle time" süresin doldumu zaten tekrar bağlayacaktır. always on illede seçilmesi gerekmez demişti. bende always on işaretlememiştim. mesai saati bitince direk işaretlicem dile-out tarafında. muhtemelen bu sorunumu düzelticektir diye düşünüyorum.

 

İşin özü; domaine alma ve ufaktan vpn sorunum var. neden böyle yapar anlamadım.

CevapAlıntı
Gönderildi : 27/03/2017 17:32
Erol DURSUN
(@eroldursun)
Tecrübeli Üye

Merhaba ; 

DC nin olduğu tarafı dial-in yapın

sube tarafını dial-out yapın .

Sube devamlı merkeze arama yapacaktır.

Ve daha önce yazdıklarım geçerli (Bu şekilde sorunsuz çalışmalı)

DNS kısmı ise merkez ve sube tarafında 1. dns DC IP olmalıdır. (Bu şekilde de sorunsuz çalşmalı)

 

CevapAlıntı
Gönderildi : 27/03/2017 23:07
tuncay polat
(@tuncaypolat)
Üye

[quote user="Erol DURSUN"]

Merhaba ; 

DC nin olduğu tarafı dial-in yapın

sube tarafını dial-out yapın .

Sube devamlı merkeze arama yapacaktır.

Ve daha önce yazdıklarım geçerli (Bu şekilde sorunsuz çalışmalı)

DNS kısmı ise merkez ve sube tarafında 1. dns DC IP olmalıdır. (Bu şekilde de sorunsuz çalşmalı)

 

[/quote]

 

Şuan ping ve karşılıklı lokasyonlarda RDP yapabiliyorum, onda sıkıntı yok. ayarlamalar tamda dediğiniz gibi. Şuan sorunum merkezdeki windows 10 da denediğimde domaine almayı, etki alanını girip kullanıcı adı şifresini girdiğimde bir süre bekleyip; "xx" etki alanına katılma girişimi sırasında aşağıdaki hata oluştu. Belirtilen etki alanı yok veya bağlantı kurulamadı." hatası veriyor. şube tarafında ise etki alanını giriyorum ve kullanıcı adı şifre bile istemiyor. garip bir durum var. 

 

Ben dc yi kurduktan sonra ağ kablosunu diğer ethernet kartına takıp lokal statik ip yi ona verdim. Acaba ondan dolayı dc ya da dc saçmaladı mı anlamadım.

CevapAlıntı
Gönderildi : 27/03/2017 23:32
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

tunnel tarafı, hatlar stabil ise yapılandırmaları fazlası ile basit.

lokasyonlar arası rdp vb. erişimlerde sorun yaşamıyorsanız, sorun dc yapılandırmanızda olabilir.

özellikle dns tarafı ve nslookup çıktılarınızı kontrol etmenizde fayda var. bkz srv kayıtları

sadece w10 hostlarda sorun yaşıyorsanız, versiyon ve güncelleme kontrolü yapabilirsiniz.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 28/03/2017 01:54
Erol DURSUN
(@eroldursun)
Tecrübeli Üye

merkezi yerde de sorun oluyorsa dns /dc tarafında sorun vardır. 

dc tarafında nslookup yazdığınızda ne çıkıyor ? 

Aşağıdaki gibi bir ekran çıkmalı.

Default Server: dc.domain.local
Address: 192.168.1.1

 

CevapAlıntı
Gönderildi : 28/03/2017 02:47
tuncay polat
(@tuncaypolat)
Üye

[quote user="Erol DURSUN"]

merkezi yerde de sorun oluyorsa dns /dc tarafında sorun vardır. 

dc tarafında nslookup yazdığınızda ne çıkıyor ? 

Aşağıdaki gibi bir ekran çıkmalı.

Default Server: dc.domain.local
Address: 192.168.1.1

 

[/quote]

 

Erol hocam bende aşağıdaki şekilde çıktı. tabi ben dc üzerinde cmd ekranı açtım ve nslookup yazıp enter 'a bastım.

Default Server: UnKnown
Address: 11.1.1.1

CevapAlıntı
Gönderildi : 28/03/2017 02:59
 Anonim

Selamlar ;

 

ilk postunuzdan Client  bilgisayarlarda DNS SERVER  olarak  drayteklerin  ip  adresini  yazdığınızı  görüyorum  CLİENT  BİLGİSAYARLARA 1. DNS SUNUCUSU ROOT  DOMAIN  CONTROLLER IP  ADRESI  yazılmalıdır clientları  domaine  alma  problemi ile  ilgili  başka  bir  postunuzu daha  gördum aynı  sistem  ise  aynı  sorundan  dolayı  client  bilgisayarları  domaine  alamıyorsunuz.

 

[quote user="tuncay polat"]

[quote user="Erol DURSUN"]

merkezi yerde de sorun oluyorsa dns /dc tarafında sorun vardır. 

dc tarafında nslookup yazdığınızda ne çıkıyor ? 

Aşağıdaki gibi bir ekran çıkmalı.

Default Server: dc.domain.local
Address: 192.168.1.1

 

[/quote]

 

Erol hocam bende aşağıdaki şekilde çıktı. tabi ben dc üzerinde cmd ekranı açtım ve nslookup yazıp enter 'a bastım.

Default Server: UnKnown
Address: 11.1.1.1

[/quote]

CevapAlıntı
Gönderildi : 28/03/2017 04:00
tuncay polat
(@tuncaypolat)
Üye

[quote user="Cumhur ALTAN"]

Selamlar ;

 

ilk postunuzdan Client  bilgisayarlarda DNS SERVER  olarak  drayteklerin  ip  adresini  yazdığınızı  görüyorum  CLİENT  BİLGİSAYARLARA 1. DNS SUNUCUSU ROOT  DOMAIN  CONTROLLER IP  ADRESI  yazılmalıdır clientları  domaine  alma  problemi ile  ilgili  başka  bir  postunuzu daha  gördum aynı  sistem  ise  aynı  sorundan  dolayı  client  bilgisayarları  domaine  alamıyorsunuz.

 

[quote user="tuncay polat"]

[quote user="Erol DURSUN"]

merkezi yerde de sorun oluyorsa dns /dc tarafında sorun vardır. 

dc tarafında nslookup yazdığınızda ne çıkıyor ? 

Aşağıdaki gibi bir ekran çıkmalı.

Default Server: dc.domain.local
Address: 192.168.1.1

 

[/quote]

 

Erol hocam bende aşağıdaki şekilde çıktı. tabi ben dc üzerinde cmd ekranı açtım ve nslookup yazıp enter 'a bastım.

Default Server: UnKnown
Address: 11.1.1.1

[/quote]

[/quote]

Cumhur Hocam, sonraki postlarda belirmiştim ilk dns olarak dc yi gireceğimi. O şekilde de yaptım ama sonuç şuan bu. Benim sıkıntım Erol Hocam ında dedigi gibi sanırım dns de çözümleyemiyor. Yoksa pclerin ip ya da server adıyla serverı pinglemelerinde ulaşmalarında sorun yok.

CevapAlıntı
Gönderildi : 28/03/2017 09:47
Sayfa 1 / 2
Paylaş: