Merkez - sube yapilandirmasi hk.
-
şirketimiz bünyesinde yakın zamanda forumdan öğrendiklerimle pfsense 2.0RC1 kurulumu yaptım , acemice bir şeyler yaptım ama sonraki adımlara geçerken üstadların tecrübelerinden ve yönlendirmelerinden faydalanabilmek amacı ile network şemasını cizip sizlerle paylasmak istedim.
merkezde domain yapısı mevcut ve dhcp ve dns servisleri w2k8 server üzerinden yapılmakta,clientlar win serverdan ip alıp gateway olarak pf'i kullanıp internet çıkışı sağlıyorlar,gecen hafta squid-squidguqrd ve light squid kurulumu yaparak erişim denetimi ve kontrolü sagladim , şimdi yapmak istediğim subemizde de bir pfsense yapılandırmak merkezle arasında vpn baglantı kurmak kendi segmentlerinde ip alıp merkez segmentine erişebilmelerini domain yapısında olmalarını saglamak , ayni zamanda merkez pfde yaptıgım ayarların mesela yasaklı sitelerin ayni şekilde orda da yasaklanmasını sağlamak. Şimdi sorularım :
1. iki pf arasında site site vpn vpn için hangi methodu kullanmam ve su dns ayarlarını nasıl yapılandırmam gerekiyor,o kısımı bir türlü algılayıp çözemiyorum,(istediğim : sube domain yapısındaki dns istekleri için merkeze ulaşsın (policy uygulaması erp yazılım için merkez sunucu erişimi merkezdeki file server erişimi gibi) ama internet istekleri için direk kendi adsli üzerinden çıksın )
2. merkezde squid-squidguard-lightsquid var subede de ayni kısıtlamalar olmasını istiyorum ama aklıma söyle bir durum geldi saat bazlı kısıtlamalar var mesai saati dısında pass gecilen siteler var sube ile aramızda saat farkı olunca eger merkezin saatini goz onunde bulundurursa alakasız bir mesai saati uygulaması olucak gibime geliyor , bu cokta onemli degil aslında eger olamıyacak bir sey ise merkezdeki kuralların aynisini subedeki pf'de de uygulayabilirim ,
3. client to site uygulamasında ev kullanıcılarınında evlerindeki internetleri üzerinden vpn baglantı kurup kısıtlama olmadan sadece merkezdeki servera erisimini saglayip calisabilmelerini saglamak istiyorum tabi dedigim gibi vpn baglanti kurucaklar ama site yasaklamaları falan öyle bir sey olmayacak.
4. bazı yazılarda site to site sistemlerde subeye konulan vpn destekli modem ile merkeze baglanip calisma saglandigini okudum, ama benim ikinici pf yapilandırmamdaki amaç ayni zamanda subedekilerin internette bos dolasmalarını engellemek ve neler yaptiklarini tespit amaci icindir.
5. merkez ve sube pflerinin yapilandirmasinda nasil bir yol izlemeliyim ve bunu adım adım anlatan bir dokuman mevcutmudur ?Sorularım hakkında üstadlarımın beni yönlendirmelerine ihtiyaç duymaktayım , yuardımlarınız için şimdiden teşekkür ederim.
-
Her sorunuzun cevabını veremiyor olsam da bir yol açayım :)
1- ipsec vpn kullanmanız gerek.
2- Birinci sorunuzda internet siteleri için, "şubedekiler direk kendi adsl'leri üzerinden çıksın" demişsiniz. Bu durumda merkezdeki squidguardı şubenizin internet erişiminde kullanamazsınız (ya da ben bilmiyorum yöntemini). Şubedeki pfsense üzerinde squidguard kurup, ordan filtreleme yapmanız lazım. Merkezdekini kullanmak için, şubedeki trafiği komple merkeze aktarmanız gerek (vpn üzerinden yapılabilir sorun olmaz). Ama hatlar adsl ise ciddi performans kaybınız olacaktır.
3- Bunun için openvpn ya da pptp kullanabilirsiniz
4- Dediğiniz gibi, vpn destekli modem ile merkez pfsense bağlanabilirsiniz. Ama sizin istediklerinize bu çözüm yetmez, şubeye de pfsense kurmak mantıklı -
Tekrar merhaba
site to site işlemi için ipsec vpn kullanıcam ama forumda ipsec baglantı detaylı ve görsellik içeren herhangi bir dökümana rastlamadım , http://doc.pfsense.org/index.php/VPN_Capability_IPsec#Site_to_Site_VPN_Explained burda detaylı açıklama var diyorlar ama full ingilizce 0 resim bu konu hakkında bana yardımcı olabilirmisiniz ? ve pf 2.0 rc1 bu arada 2.0da menulere çok eklentiler geldigi icin insan kalakalıyor cogu zaman .
ayrıca open vpn hakkında da biraz araştırma yaptım eski versiyonlar için hazırlanmış dökümanlar var ama yeni versiyon openvpn programları hakkında ve pfsense 2.0rc1 ile birlikte
Yönlendirme konusundaki yardımlarınızı yapılandırma konusunda da paylaşabilirseniz çok memnun olurum.
-
Isa Server olsaydı size anlatabilirdim ama pfsense de bende yeniyim sadece size oneri sunabilirim.Bunlar pfsense de yapılabilir diye dusunuyorum.
Merkezdeki pfsense kural tanımlamalarınızı yapın gateway bu pfsense olacak.
Sube ile merkez arasında bir vpn turunu kullanarak baglantı yapın.
Subedeki pfsense uzerinde dhcp relay yaparak merkezden ip dagıtımı saglıcaksınız.
Subedeki kullanıcılar internet için merkezdeki hattı kullanacaklar boyle tek yerden cıkıs saglıyacaksınız ve denetimi tek yerden yapacaksınız.
Dısardan vpn baglantısı yapacaklar için yarı bir ip grubu olusturup bu arkadasları içeren bir kural yazıp sitelere erisime izin vereceksiniz.
İki modem arasında direk vpn baglantısı kurabilirsiniz.Baska bir cihaza ihityac yok aslında modem uzerinden de dhcp relay yaparak merkezden ip dagıtabilirsiniz.Vpn guvenligi tabiki tartısılır.Modeme gore degisecektir.Bu cozumde tek sorun aradaki baglantının yeterli olup olmayacagıdır.
SAYGILARLA
-
Her sorunuzun cevabını veremiyor olsam da bir yol açayım :)
1- ipsec vpn kullanmanız gerek.
2- Birinci sorunuzda internet siteleri için, "şubedekiler direk kendi adsl'leri üzerinden çıksın" demişsiniz. Bu durumda merkezdeki squidguardı şubenizin internet erişiminde kullanamazsınız (ya da ben bilmiyorum yöntemini). Şubedeki pfsense üzerinde squidguard kurup, ordan filtreleme yapmanız lazım. Merkezdekini kullanmak için, şubedeki trafiği komple merkeze aktarmanız gerek (vpn üzerinden yapılabilir sorun olmaz). Ama hatlar adsl ise ciddi performans kaybınız olacaktır.
3- Bunun için openvpn ya da pptp kullanabilirsiniz
4- Dediğiniz gibi, vpn destekli modem ile merkez pfsense bağlanabilirsiniz. Ama sizin istediklerinize bu çözüm yetmez, şubeye de pfsense kurmak mantıklıMerhaba dediğiniz gibi ipsec vpn yapılandırması üzerinde bir çalışma yaptım , biraz deneme yanılma sonrası ipsec baglantı saglayabildim her iki taraftada baglantının kuruldugunu gördüm fakat baglantı sonrasında karşı tarafa erişememe problemi yaşamaktayım , merkezden subeye veya subeden merkeze ping atılamıyor , size bu konuda bir şey danışmak istiyorum merkez lokasyon lan ip yapısı 10.0.0.0 sube lan ip yapısınıda 10.0.1.0 seklinde yapılandırdım sizce problem bundan kaynaklı olabilir mi ? eger bu subnetlerin ipsec baglantı sonrası konusabilmeleri gerekiyor ise bana bu konuda biraz yardım edebilirmisiniz ? isterseniz yaptığım konfigirasyonun detaylarını burda paylaşabilirim ,
şimdiden çok teşekkür ederim.
-
subnet maskiniz 255.255.255.0 ise bir problem olmaması lazım.
ping atılamaması ile ilgili de, firewall rules ekranına vpn ile ilgili yeni gelen tab'da, yeni bir firewall kuralı oluşturup, trafiğe izin verdiniz mi ?bkz:ekteki ekran görüntüsü (burada tüm trafiğe izin verildi, siz kısıtlama yapmak isteyebilirsiniz)