Microsoft Always on VPN Routing and Remote Access Service(RRAS) Kurulumu Part -3

Daha önce sertifakalarımız ve bazı active directory güvenlik gruplarını oluşturmuştuk. Ardından RADIUS authentication yapabilmek için Network Policy Server kurulumunu tamamladık. Always on VPN yapılandırmamıza şimdi Remote Access sunucu rolünün kurulumu ve konfigürasyonuyla devam edeceğiz.

Windows Server 2019 sunucumuz üzerinde VPN rolümüzü yapılandırmak için RRAS rolünü yükleyeceğiz. Bu sunucu kurulumunu ister domaine üye olup olmaması tamamen opsiyonel olup bizler domaine üye bir sunucumuz ile devam edeceğiz ve yapılandırılmasını ona göre gerçekleştireceğiz.

Bir önceki NPS sunucumuzun kurulumunda olduğu gibi RAS sunucumuzu da ilk kurulum aşamalarında oluşturmuş olduğumuz  Active Directory VPN Servers isimli güvenlik  grubumuza üye olarak  ekleyerek devam ediyoruz. Böylelikle sertifika isteğinde bulunacak ve ihtiyacımız olan ilgili sertifikayı almasını sağlayacağız.

VPN Servers isimli güvenlik grubumuza eklediğimiz sunucumuzu gruba eklendiğini ve ekli olduğu gruba üye olup olmadığının kontrolünü gresult /r komutu ile kontrol ediyoruz.Ekran görüntüsünde de gördüğümüz gibi  VPN Servers isimli güvenlik grubumuza üye olduğunn teyitini gerçekleştirdik.

Network konfigürasyonu tarafında ise birden fazla yöntem olsa da bizler bu çalışmamızda  iki adet network kartı kullanarak devam edeceğiz.

Ekran görüntüsünde de görüldüğü gibi WAN ve Internal olmak üzere iki adet interface bulunuyor. Konfigürasyonlarımızı yaparken İlerleyen süreçlerde internal trafiğimiz için ilgili route tanımlamalarımızı da gerçekleştireceğiz.

WAN arayüzümüz üzerinde ip tanımlamalarımızı ekran görüntüsünde de görüldüğü gibi DNS adresimizi burada kullanmıyoruz.

Internal isimli arayüzümüzde ise ağ geçidini vermedik. DNS tanımlamalarımızı yaptık. Böylelikle network kartlarımız üzerinde konfigürasyon adımlarını tanımladık.

Peki arka tarafta olan yani internal tarafta olan network erişimlerimiz için bir  static route tanımlamalarını yapmalıyız. Çünkü konfgürasyonda da görüldüğü gibi internal tarafında herhangi bir ağ geçidi tanımlamadık. Bu sebeple arka tarafta yer alan network erişimlerimiz için gerekli bir static route tanımlamalarımızı tamamlamalıyız.

İlgili tanımlamalarımızı gerçekleştirdikten sonra bizler için önemli olan bir başka konuda sertifika konusu. Makalemizin en başında oluşturduğumuz templatelerimiz bulunmaktaydı. Oluşturduğumuz bu sertifika şablonundan bir istekde bulunacağız ve tanımlamaları gerçekleştireceğiz.

NPS sunucusunda benzer olsa da NPS sunucumuz üzerinde otomatik olarak assign edilmişti. Fakat VPN sunucumuz için oluşturduğumuz ve burada kullanacağımız sertifika şablonunda farklılık bulunmaktaydı. Bu sebeple VPN sunucumuz için manuel bir istek yapacağız ve sertifikamızı oluşturacağız.

Sertifika ekranımıza geldiğimizde personel üzerinde request new certificate seçimini yapıyoruz ve ilerliyoruz.

Enrollment ekranımızda Active Directory Enrollment Policy seçimini yaparak devam ediyoruz. PKI sunucumuzdan isteyeceğimiz bu sertifikamız bizlerin IKEv2 için kullanacağımız IPSec sertifikamız olacak.

Sertifika şablonumuzu oluştururken bazı detaylara ihtiyacımız olduğunu tanımlamıştık. Dolayısı ile sertifika şablonunda istediğimiz bilgilerin tamamlanması sağlayacağız.

İlgili Common name ve Alternative name olarak DNS seçimleri sonrasında sunucu adımızı tanımlayarak devam ediyoruz.

General tabında sertifikamız için tanımlayıcı isimlendirmemizi yaptıktan sonra IKEv2 için IPSec sertifikamızın ihtiyaç duyduğu gerekli tanımlamalarımızı yaptıktan sonra sertifika isteğimizi göndermeye hazırız.

Artık sertifika sunucumuza istediğimizi Enroll diyerek gönderiyoruz.

Sertifika isteğimizin başarılı bir şekilde tamamlandığını görüyoruz. Artık IKEv2 için IPsec sertifikamız oluşturuldu.

Bizler için en önemli olan adımlardan biri daha olan ve public tarafta kullanacağımız TLS sertifikamız için sertifika isteği oluşturacağız. Burada oluşturacağımız TLS sertifikamız public bir sertifika olacak. O sebeple bu adımları dikkatli oluşturmalıyız.

TLS sertifikamızın isteğini oluşturmak için yine VPN sunucumuz üzerinde sertifika ara yüzümüze geçiyoruz.

Sertifika ara yüzümüz üzerinde Advanced Operations altında yer alan Create Custom Request seçimini yaparak devam ediyoruz.

Gelen ekranımızda artık bizler isteği kendi ortamımız da yer alan PKI sunucusuna göndermeyeceğiz. Public bir sertifika sağlayıcıdan istekte bulunacağız. Ekran görüntüsünde görüldüğü gibi seçimimizi yapıyoruz ve next ile ilerliyoruz.

Gelen ekranımızda varsayılan ayarlarımızda herhangi bir değişiklik yapmıyoruz.

Sertifika için gerekli bilgileri tanımlayabilmek için Properties seçimini yapıyoruz.

General sekmesinde isim olarak kullanacağım DNS adını tanımladım. Bizler için burası tanımlayıcı bir isim olacak dolayısıyla verdiğimiz isimlendirme tamamen opsiyoneldir.

Sertifikamız içerisinde common name ve dns name olarak vpn için yönlendirmelerimizi yapacağımız public dns tanımlamalarımızı gerçekleştiriyoruz.

Extension tabında ihtiyacımız olan sadece Server Authentication olacak. Burada kullanmamızın sebebi kimlik değişimlerinde yani VPN sunucumuza gelen istekler arka tarafta daha önce hazırladığımız ve konfigürasyonunu yapmış olduğumuz Network Policy Server ile kimlik değişimi yapacak. Bu sebeple Server Authentication ekleyerek EKU ile ilgili tanımlamalarımızı gerçekleştirdik.

Service provider olarak baktığımızda varsayılan olarak RSA gelmekte. Burada varsayılan olarak gelen RSA seçimini kaldırarak ECDSA_P256 Microsoft Software Key Storage Provider seçimini yapıyorum. Burada RSA ile devam edilebilirdi fakat bizler için en iyi güvenlik seçimi olmayacağını bildiğimiz için provider seçimini ona göre gerçekleştirdim. Aralarında olan farkları merak ederseniz aşağıda vermiş olduğum adres üzerinden karşılaştırmasını inceleyebilirsiniz.

Bununla birlikte Key Options adımında private Key Exportable seçimini yapıyoruz. Daha sonra kullanabilmek ya da cluster bir yapı olacaksa bu sertifikaya ihtiyacımız olacak. Dolayısı ile exportable yaparsak daha sonra yeniden ihtiyacımız olduğunda ya da yedekleme anlamında bu sertifikaya ihtiyacımız olması nedeni ile seçiyoruz.

Artık TLS için istek dosyamız hazır. Bunu farklı üreticilerden isteğimize göndererek sertifikamızı oluşturulmasını sağlayabiliriz.

Routing and Remote Access Kurulumu

Sertifika süreçlerini tamamladıktan sonra artık Remote Access Service kurulumuna başlayacağız.

Kurulum için yine powershell ekranına geçiyorum.

Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools

 Komut setini çalıştırdıktan sonra kurulumun artık RRAS kurulumunu tamamlamış oluyoruz.

Install-RemoteAccess -VpnType VPN -Legacy -PassThru

Komut setini çalıştırdıktan sonra artık RRAS üzerinde VPN konfigürasyonunu da gerçekleştirmiş oluyoruz. Bunu powershell üzerinde degilde RRAS management konsol üzerinden de yapılabilirdi.

Routing and Remote Access servisini kurulumunu tamamladık ve yönetim konsoluna geçtiğimizde servisimizin başlamış olduğunu görüyoruz. Varsayılan olarak kurulmuş olan servisimiz üzerinde konfigürasyonlarımızı yaparak devam edeceğiz.

RRAS rolümüz üzerinde sağ klik ardından properties seçimini yapıyoruz.

Gelen ekranımızda security tabına geçiyoruz ve authenticator altında yer alan sağlayıcımız olarak RADIUS seçimini yapıyoruz ve konfigürasyonumuzu gerçekleştireceğiz.

RADIUS olarak bizlerin yetkilendirilmesi için daha önce kurulum ve konfigürasyonunu yaptığımız Network Policy Server sunucumuzu tanımlayacağız. Aynı zamanda NPS sunucumuzu yapılandırırken Secret Key oluşturmuştuk. NPS üzerinde oluşturduğumuz Secret Key değerini de girerek sunucumuzu tanımlıyoruz. Böylelikle gelen istekler yetkilendirmelerimiz ve oluşturmuş olduğumuz policy değerlerine göre NPS sunucumuz üzerinden karşılanacak.

Accounting provider olarak yine bu ekranımızda RADIUS seçimini yapıyor ve bir önceki adımda tanımladığımız gibi bu adımımızda da NPS sunucumuzun tanımlamasını gerçekleştireceğiz.

NPS sunucumuz ve Secret Key değerlerini girdikten sonra onaylıyoruz ve konfigürasyonumuzu tamamlıyoruz.

Yine aynı ekranımızda devam edeceğimiz iki konfigürasyonumuz bulunmakta. Bunlardan bir tanesi de Authentication Method tanımını yapacağımız alanımız.

Bizler Authentication için EAP protokolünü ve IKEv2 ile cihaz sertifikalarımız ile doğrulayacağımız için bu tanımlamalarımızı gerçekleştiriyoruz. Tanımlamalarımızı yaptıktan sonra konfigürasyonlarımızı yapmaya devam ediyoruz.

Bu kez yine aynı ekranımızda SSL sertifikamızı Bind edeceğiz. Burada doğru olan ve default olan sertifikamız public sertifikamız olduğuna dikkat edeceğiz. View üzerinden sertifikamızı doğruluyoruz. Çünkü bu sertifikamız bizler için SSL ve SSTP sertifikası olarak kullanılacak sertifikamız. Bu tabımızda yer alan tanımlamalarımızı artık sonlandırdık.

IPv4 tabında ise bağlanacak olan istemcilerimize vereceğimiz IP havuzunu tanımlıyoruz. Burada verilen IP adresi arka tarafta yani iç networkümüz içerisinde yer almayan bir blok olması gerekmekte. Aynı zamanda bu blok için route table içerisinde kuralların olması gerekliliğini gözden kaçırmamamız gereken önemli bir alanımız.

Static IP havuzumuzu oluşturduk ve bu bağlantılarımızın hangi network adapter kullanacağımızı tanımladık. İç network tarafına bakan bacağımız yani Internal isimli network adapter seçimini yapıyoruz.

IPv6 tarafında da tanımlamalarımızı yaparak işlemlerimizi sonlandırıyoruz.

Yapılandırmamız sonrasında servisin yeniden başlatılacağı ile ilgili onayı verdikten sonra gerekli tanımlamalarımızı ve konfigürasyonlarımızı tamamlamış oluyoruz.

Bütün bu konfigürasyonlar tamamlandığında artık VPN sunucumuz üzerinde optimizasyon çalışmalarını gerçekleştireceğiz. Aksi halde kısıtlı bir şekilde çalışmaya devam ederiz. Default kullanımda yalnızca VPN portlarımız 15 bağlantıyı desteklemektedir.  Dolayısı ile burada birtakım ayarlarımızı güncellememiz gerekecek. Bunun dışında güvenlik tarafında yine güçlendirmek için değiştirmemiz gereken ayarlarımızı da güncelleyeceğiz.

VPN (RAS) Sunucumuz için Optimizasyon :

Öncelikle powershell üzerinde ekstra tool kullanımı yapacağız ve bunun kurulumunu yapabilmek için powershell üzerine geçiyoruz.

Install-Module AOVPNTools

İsimli modül kurulumunu gerçekleştiriyoruz.

Konsol üzerinden de yapabileceğimiz çalışmamızda aslında bizler varsayılan olarak 128 adet port bulunmakta. Configure seçimini yaparak burada yer alan değerleri değiştirebiliriz. Aynı Değerleri az önce powershell üzerinde kurulumunu yaptığımız AOVPNTools ile gerçekleştirebiliriz.

Set-VpnServerPortConfiguration -SstpPorts 1024 -Ikev2Ports 1024 -Restart

Komut setini çalıştırdıktan sonra artık bizler eşzamanlı 1024 kullanıcımıza hizmet verebilir duruma geldik. Aslında 128 olan değerimizi 1024 olarak değiştirmiş olduk.

Yapmış olduğumuz değişiklik ile ilgili RRAS konsolu üzerinde kontrol ettiğimizde 1024 olarak değerlerin değiştiğini görüyoruz.

Portlarla ilgili değişiklikleri yaptıktan sonra şimdi de IKEv2 IPSec güvenlik ayarlarını değiştireceğiz.

Varsayılan olarak gelen değerler ile ilerlemeyeceğiz. Bizler IPSec tarafında güvenlik ayarları ile RAS sunucumuzu güncelleyeceğiz.

Set-IKEv2VpnSecurityBaseline -EnhancedSecurity -Restart

Burada yine daha önce powershell üzerine kurulumunu yapmış olduğumuz AOVPNTools modülünden faydalanarak VPN Server konfigürasyonlarını uyguluyoruz.

Get-VpnServerConfiguration

Değişiklik sonrası aşağıda yer alan komutumuzu çağırdığımızda almış olduğumuz ve güncellenmiş olan IPSEC ayarları ile ilgili çıktıyı ekran görüntüsünde görüyoruz.

Şimdi ise Cihaz tabanlı kimlik doğrulama yapabilmek ve dolayısıyla bunu yaparken de bizlerin belirlediği cihazların olmasını istiyoruz. Bu cihazların sertifika ile doğruluğunu bizler internal CA üzerinde tanımladık. Dolayısı ile şimdi RAS sunucumuza bizlerin internal CA sunucumuzun kök sertifikasını tanımlayacağız.

Bizlerin ortamında yer alan kök sertifikamızın Thumprint değerini alıyoruz.

Set-IKEv2VpnRootCertificate -Thumbprint 1611fe3ba9478c75ff282ac63207ffc4bb95db8d -Restart

Komut setlerini çalıştırdıktan sonra servisimizi yeniden başlatıyoruz.

Komut setlerimizi çalıştırarak optimizasyonlarımızı yapmaya devam ediyoruz.

Enable-VpnServerIKEv2Fragmentation -Restart

Ve son optimizasyon için IKEv2 için gerekli komut setimizi çalıştırıyoruz ve yine servisimizi yeniden başlatıyoruz.

Enable-IKEv2CrlCheck -Restart

Böylelikle RAS sunucumuzun kurulum , konfigürasyon ve güvenlik güncellemeleri ile ilgili ayarlarımızı gerçekleştirdikten sonra servisimizi hazır hale getirmiş bulunuyoruz. Bundan sonra olan sürecimiz ise istemci tarafında olacak ve gerekli bağlantılarımızı ve ilgili testlerimizi yapacağız.

Exit mobile version