Site to Site Vpn Kurulum ve Konfigürasyonu

Merhaba. Bu makalemde site to site vpn kurulumu ve konfigürasyonu anlatmış olacağım. Yapımıza bir göz gezdirmek gerekirse 2 site’ı  birbiriyle konuturuyor olmuş olacağız.

yapı

 

İp’lerimizi kontrol edersek dc makinamızını private1 adaptörüne ekliyoruz nat1 olan makinamızın 2 adet internet kartına ihtiyacı var. Çünkü aradaki vpn yapısı nat1 ve nat2 üzerinden geçip diğer tarafa ulaşacaktır. 1. ethernet kartına private1 diğerine iste private3 kartını ekliyoruz. nat2 makinasına ise private3 ve private2 kartlarını ekliyorum. En son olarak adc rolünü yükleyeceğim makinama private2 network kartını ekliyorum.

Private3  network kartınız yok iste Hyper-v Manager/Actions tabının altında Virtual Switch Manager’ gelerek kartımızı ekleyebiliriz.Screenshot (4)

 

İplerimizi verdikten sonra nat 1 makinama gidip Server Manager konsolunu açıyorum ve server roles tabında Remote Access işaretleyerek kuruluma devam ediyorumScreenshot (5)

 

Role Services bölümünde DirectAccess and Vpn ve Routing’i işaretliyorum.

Screenshot (6)

 

Role kurulumu bittikten sonra aynı rolü nat2 makinamızada kuruyorum.

nat2 makinamdada kurulum bittikten sonra nat1 makinamda Routing and Remote Access’i açıyorum.  Routing and Remote Access açıldıktan sonra NAT1(local) yazan kısma sağ tıklayarak Configure and Enable  Routing and Remote Access’i işaretliyorum.

Screenshot (7)

Açılan ekranda istersek Custom diyerek adım adım ilerleyip konfigürasyon sonunda ayarlamaları elle yapılandırabiliriz yada sihirbaz yardımıyla tamamlayabiliriz. Ben kurulum sihirbazını kullanarak Virtual private network (VPN) access and NAT ı işaretleyerek ilerliyorum.

Screenshot (20)

 

Burada bize internete çıkan ( dış network )’ün yerini belirtmemizi istiyor. Yapımı hatırlarsanız nat1 makinasının sol bacağı (192.168.1.1) iç networküme sağ bacağı (192.168.3.1) ise dış networküme tanımlıydı. Ben Private3 olan internet kartımı seçerek ilerliyorum.

Screenshot (21)

 

Ortamda herhangi bir dhcp rolüna sahip makinam olmadığı için iplerimizi el ile belirtiyoruz.

Screenshot (22)

 

İç networküme girilirken hangi ip adres aralığı ile girildiğini belirtiyorum. Ben 1.10 dan 1.100 e kadar 91 vpn bağlantısı kabul edebilecek şekilde ayarlamamı tanımlıyorum.

Screenshot (24)

 

Name and Address Translation Services bölümünde Enable basic name and adress services seçip devam ediyorum

Screenshot (25)

 

Yaptığımız konfigürasyonda bize artık bu değeri değiştiremeyecemizi iç network’e girişte 192.168.1.0 lı network blogunda ve 255.255.255.0 subnetinde geleceklerini belirtiyor. İlerliyoruz.

 

Screenshot (26)

 

Ortamımızda Raidus Server’ımız varsa buradan radius serverı gösterebilir yada yeni bir radius server kurarak içeri gelen istekleri değerlendiren bir sistem oluşturabiliriz. Şuanda buna gerek duymadığımız için ilerliyoruz.

Screenshot (27)

nat1 makinamızda şuanda  Routing and Remote Access konfigürasyonumuz tamamlandı. Şimdi nat2 makinamıza giderek onu yapılandıracağız.

 

 

Screenshot (28)

Nat2 makinamıza gidiyoruz ve kurulmuş olan  Routing and Remote Access i çalıştırıp Configure and Enable  Routing and Remote Access’i işaretliyorum.Açılan ekranda istersek Custom diyerek adım adım ilerleyip konfigürasyon sonunda ayarlamaları elle yapılandırabiliriz yada sihirbaz yardımıyla tamamlayabiliriz. Ben kurulum sihirbazını kullanarak Virtual private network (VPN) access and NAT ı işaretleyerek ilerliyorum.

Private3 bacağımı seçip devam ediyorum.

 

 

Screenshot (42)

 

Ortamımda dhcp olmadığı için From a specified of addresses i işaretleyerek 192.168.2.10 ile 192.168.2.100 arasında ipleri kiralatıyorum.

Screenshot (44)

 

 

 

 

 

 

 

 

 

 

Radius Server’ım olmadığı için yine atlıyorum ve nat1 makinama geri dönüyorum. Şuanda yapacağım işlem nat1 yada nat2 makinasındada olur. Zaten 2 makinadada tanımlama yapmamız gerecek.

Network interface’in üzerine sağ tıklayarak new demand-dial-interface işaretliyoruz.

31

 

Bizden yeni bir interface ismi belirtmemizi istiyor. Burada dikkat edilmesi gereken nokta her iki makinanında interface isimleri aynı olmalı. Çünkü biz birazdan ayaralayacağımız kısımda yeni bir local user oluşturup 2 sinin birbiriyle konuşasını bağlamış olacağız. Ben interface ismine sts diyerek devam ediyorum.

Screenshot (33)

 

Şuanda vpn ile bağlantı yapacağımız için burada VPN i işaretliyorum ama eğer servis sağlayıcı ile ilgili bir işlem olsaydı PPPoE yi seçmiş olacaktık.

 

Screenshot (34)

 

Eğer burada tipi Automatic Selection bırakırsak sırasıyla IKEv2, L2TP, PPTP yi deneyecektir. Ben L2TP ve IKEv2 için bir ayarlama yapmadım. PPTP ‘yi seçerek test edeceğim.

Screenshot (35)

 

Bana bağlanmak istediğim iç networkün router ip’sini soruyor. Burada Private 3’e çekili olan ve nat2 makinasında 192.168.3.2 olan ip’yi yazmam gerekiyor.

Screenshot (36)

Add a user account so a romete can dial in sekmesini işaretlememiz gerekiyor. Nedeni; bizim yerimize bağlantı yapılmadan önce bir kullanıcı oluşurup ( ismini en başta sts yapıştık) dial in tabından allow access i otomatik olarak seçmesini sağlamak için.

Screenshot (37)

Vpn olacak karşı tarafın ip blogunu yazıyoruz. Screenshot (38)

Şimdi sts kullanıcı hesabına bir şifre veriyoruz.Şuanda içeri girerken hangi kullanıcı ile girdiğimizi belirtiyoruz. Yine önemli noktalardan bir tanesi; nat 2 makinasındada aynı şifreyi belirtmek önerilmektedir.

Screenshot (39)

Bir önceki ekranda içeride hangi kullanıcı ile girdiğini belirtirken burada iste dışarıya çıktığına hangi kullanıcı ile çıktığını belirtiyorsun.

 

 

Screenshot (40)

 

Nat1 makinamızda Demand-Dail İnterface konfigürasonu şuanda bitmiş bulumakta. Gördüğünüz gibi sts isimli interface şuanda açık ama bağlı değil. Şimdi nat2 makinamıza giderek bu sefer server2 ye göre bir konfigürasyon yapacağım.

Screenshot (41)

 

nat2 makinamızda network interface’e sağ tıklayarak demand-dial interface e tıklıyorum.

Bağlanmak istediğim iç netw. dış bacağını soruyor. 192.168.3.1 girerek ilerliyorum.

Screenshot (50)

Bizim için yine local bir kullanıcı oluştursun istiyorum.

 

 

 

Screenshot (51)

Şimdide karşı taraftaki iç ağın ip blogunu belirtiyorum

 

 

Screenshot (54)

kullanıcını adını yine sts yaparak şifresini belirtiyorum. Yine söylemek gerekirse şuanda içeride hangi kullanıcı hesabı gözüksün;

 

 

Screenshot (55)

Bu ise dışarı hangi kullanıcı hesabı ile gözüksün ayarıdır.

 

 

Screenshot (56)

Eğer son olarak Dial Out kullanıcısıda bittiyse nat2 makinamıza yeni bir interface tanımlamış olacağız. Şuanda artık test etmemiz gerekmekte. stst  isimli interface’e sağ tıklıyoruz ve Connect’e tıklıyoruz.

 

Screenshot (57)

Connect olması biraz uzun sürebilir (3-30 sn)

Screenshot (58)

Gördüğünüz gibi şuanda Connected olduğunu görüyoruz.

 

Screenshot (59)  Şimdi deneme amacıyla Server-5 yani site b deki makinadan dc ye ping atmayı deneyelim. Gördüğünüz gibi şuanda bir sorun gözükmemekte.Screenshot (62)

 

Kafanıza takılan bir soruyu lütfen sorunuz. Teşekkürler

Bir sonraki makalemde sizlere şuanda kurmuş olduğumuz site to site vpn’i kullanarak oluşturduğumuz site b deki server5 makinasına adc kurup, client makinamızın ona yakı olan domain controller makinasında oturum açmasını sağlayacağım.

 

 

8 comments

  • Pingback: Site yapısına Adc kurulumu | Mert Yakan | Teknoloji Blogu

  • Pingback: Domainler Arası Trust | Mert Yakan | Teknoloji Blogu

  • Merhaba,
    Bir firmada Teknik destek uzmanı olarak çalışırken bir teklif gel ve büyümeye çalışan orta ölçekli bir firmada Bilgi İşlem sorumlusu görevine başladım. Fakat bilgi seviyem Sistem yönetimi anlamında düşük denilebilir. Şirket patronunun arkdadaşı firmaya Bilgi İşlem olarak danışmanlık vermekte. Ben bu işte kendimi geliştirmek istiyorum. Makaleniz güzel. Burada merak ettiğim konu, Yeni bir şube kuruyoruz. Mantığını kavramaya çalışıyorum. Şuan kurulum aşamasında. Altyapısı kurulu. İşe girmeden hemen önce Türk telekom metro internet hattı alınmış. Yedekleme bir Fibernet ADSL alınmış. Server kurulumu yapılacak. Server alındı. Ve firma içinden bu iki şubenin birbiri ile konuşmasını istiyorlar. Burada danışmanımız Alınan servera Terminal server kuracağını, Side to Side VPN kuracağını belirtti. Benim burada anlamak istediğim 2 şubenin internetlerinin birbirini görmesi için Telekom firmasıyla görüşüp bu iki şubenin Dış IPlerinin birbiriyle konuşmasını isteyeceğiz diye düşünüyorum(Yanlışsam söylersiniz.) BU işlem nasıl yürüyor ve Bu haberleşmeyi nasıl kurarım, terminal serverı nasıl kurarım. ve bana tavsiyeleriniz nedir? yardımlarınızı rica ederim.

    • Gökhan selam,

      Öncelikle sektör araştırmayı ve uğraş isteyen bir sektör. Bundan sonra kafana takılan şeyleri direkt mail yoluyla sorabilirsin. Öncelikle 2 farklı site’ı birbiriyle konuşturman için arada bir iletişim aracı olmalı. İki lokasyon arasındaki firewal cihazlarının konfigürasyonu birbiriyle ping atabilir hale gelmeli. Geldikten sonra ping bağlantısının gidip gelmediğini kontrol etmen gerek. Aslında terminal server ile ilgili bir makalem vardı ama yayınlamamıştım. Müsait bir zamanda kurulumu makale halinde paylaşırım. Çok zor değil ama merak etme 🙂 Kolay gelsin

      • teşekkür ederim. yani bu işte yürümek istiyorum. takıldığım noktalarda sizden yardım talep edebilirim tabi sizde uygun görürseniz.
        teşekkürler..

  • elinize sağlık, resimler görünmüyor hocam.

    • Enes selam, makalenin aslını bulup düzenleyeceğim. Hosting taşıması oldu, bu sıra sorun olmuş büyük ihtimalle

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.