Pfsense arkasındaki dns'e (active directory) ulasmak

Qbilay

merkezde bulunan pfsense arkasındaki active directory yüklü servera dışarıdan taşrada bulunanan başka ağdaki bilgisayarı bu etki alanına alabilirmiyim. alınabiliyorsa pfsense de nasıl bir ayar yapayım ki client bilgisayar pfsense geçip activ directory 'e ulaşsın, veya kısaca ne yapmalıyım. şimdiden teşşekkürler

Merhaba.
SGTR arkadasimizin belirttigi gibi iki pfSense arasi vpn ile bagli olmasi gerekir. Sonrasinda ise (A Noktasi Merkez (192.168.1.0/24), B noktasi tasra(192.168.2.0)) A noktasindaki Domain Controller da DNS ayarlarinda "Geriye Doğru Arama Bölgeleri (Reverse Lookup Zones)" B noktasinin Ağını tanımlayın. B noktasindaki pfSense teki DHCP server da ise DNS "A" noktasindaki Domain Controller Ip adresini tanimladiktan sonra B noktasindaki bilgisayarlarinida mevcut Domain e dahil edebilirsiniz. Unutmadan eger karsilikli kullandiginiz internet baglantisindaki Upload degerleri dusuk ise B noktasindaki Domain e dahil olmus bilgisayarlarin oturum acma surelerinide olumsuz etkileyecektir.

Not : Yukaridaki ornekte iki noktada da pfSense oldugunu varsaydigim icin iki pfSense arasi vpn yapabilirsin demistim. B noktasina pfSense kurma ihtimalin yok ise "IPSec Vpn" destekli bir dsl modemlede baglanti olayini cozebilirsin.

Saygilar.

tunga76

SGTR VE Qbilay, hepinize yardımlarınızdan dolayı teşşekkür ederim. Qbilay kardeş, tam istediğim şekilde yapıyı anlatmışsın. taşraya active directory kurmak istemiyorum çünkü taşra sayısı 10 un üzerinde senin de dediğin gibi her taşraya pfsense makinesi kurmayı düşünüyorum. vpn bağlantı konusunda ileri düzey bilgi sahibi değilim özzelikle ikiden fazla makineleri birbirine bağlamak kosunda. dışarıdaki bir makineyi openVpn ile pfsense olan local ağa bağlamayı başardım vpn konusunda sadece bunu yapabiliyorum şimdilik. fazla karıştırmadan anlatayım. merkez teşkilatı var ancak yukarıda dediğim gibi taşra birden fazla 10 un üzerinde, anlatımını bu düzene göre tekrar anlatırsan çok sevinirim. şimdiden teşekkürler. sizlere minettarım.

Qbilay

Yeniden merhaba.

Yukaridaki anlattigim senaryo uzerinden gidecek olursak;

B noktasinada pfSense kuracaksan "IPSec Vpn" destekli modem kullanmana gerek kalmayacaktir. Sana tavsiyem her iki taraftaki modemi "bridge mode" ayarlayip servis saglayicinin atadigi IP adresini pfSense'e aldırmak. Boylelikle DSL modemin olasi performans problemleri ve port yonlendirme vs. islemlerinde daha kolay yonetim saglanmis olur. Iki pfSense arasinda daha once Site-to-Site vpn yapmistim fakat sonradan ihtiyac kalmadigi icin elimde malesef bir dokumanim yok fakat https://docs.google.com/file/d/0B31Yob_FueBjMDUwZGEzYmQtNTg5Ni00YTNmLWJkMWYtNDY1MmI2MjYzNDZk/edit?pli=1 buradaki dokumanin isine yarayacagini dusunuyorum(Bu isleme baslamadan once farkli kaynaklardan da dokumanlari(pfSense site to site vpn) incelersen yapacaklarin kafanda daha cabuk canlanip sekillenecektr) Bu dokumanin 6. sayfasindaki kuralda "Source" kismina karsi tarafin IP adresini yazmanda fayda var. (Her iki tarafinda statik IP adresi olmasi gerekir) Eger site-to-site vpn baglantisini basariyla tamamlarsan B noktasindaki 10 pc de A noktasi ile haberlesebilir.

Not : Site-to-site vpn baglantisini denerken bir taraftan(ornegin A noktasindan) karsi tarafin pfSense lokal Ip (B noktasindaki) adresine surekli ping atarak sonucu gozlemleyebilirsin.

Saygılar.

tunga76

hızlı cevabınız için teşşekür ederim. tavsiyenizi deneyeceğim. Ancak daha önce yanlış anlatmışım sanırım ve vpn konusunda bir sorum olacak. (anlatığınız anladığım kadarıyla sadece iki pfsense makinesi arası bağlantı) benim yapım taşra birden fazla merkezdeki pfsense makinesi farklı farklı taşralardaki başka pfsense makinelere (taşra birden fazla birden fazla pfsense makinesine) nasıl bir vpn bağlantısı yapmalıyım. Tekrar ilginize teşşekkür ederim. sanırım yardımlarınızla bu işi çözeceğiz.

Qbilay

Birden fazla tasra noktasinin olmasi sorun cikartmaz. Teoride onlarca hatta yüzlerce site-to-site vpn ekleyebilirsiniz fakat merkezdeki pfSense makinanin donanimininda dogru orantida yuksek olmasi gerekir. Kisaca A noktasi 192.168.1.0/24, B noktasi 192.168.2.0/24, C noktasi 192.168.3.0/24, D noktasi 192.168.4.0/24, E noktasi 192.168.5.0/24….. tabi daha once de belirttigim gibi merkezdeki Active Directory kurulu makinada DNS kayitlarini da eklemeniz gerekir.

tuzsuzdeli

Bu arada taşradaki tüm şubelere de pfsense kurma konusunu maliyet ve yönetim gözden geçirin derim.
Her şubede pfsense olması daha esnek bir çözüm olmakla beraber vpn özellikli bire modem ile çözüm üretmek çok daha pratik düşük maliyeti olabilir.
Ayrıca uzun vadede daha az donanım sorunu ile uğraşırsınız. Bilgisayar olunca, hardisski bozulur, kontrol kartına bişey olur, güç kaynağının sigortası yanar vs vs.
Ama en başta da dediğim gibi, pfsense olursa, çok daha esnek ve ölçeklendirebilir bir çözüm olur.

tunga76

Yardımlarınız için herkese teşşekkür ederim. tuzsuzdeli dediğini göz önende bulunduracağım. vpn konusunda benim öngöremediğim konular için döküman önerebilirmisiniz. mabul fazla fikir sahibi olmadığım bir konu. benim bulduğum dökümanlarda anlatılanlar kısıtlı. tekrar yardımlarınız için teşşekkür ederim. soncunu burdan yazarım olup olmadığını.

sgtr

@tuzsuzdeli:

Bu arada taşradaki tüm şubelere de pfsense kurma konusunu maliyet ve yönetim gözden geçirin derim.
Her şubede pfsense olması daha esnek bir çözüm olmakla beraber vpn özellikli bire modem ile çözüm üretmek çok daha pratik düşük maliyeti olabilir.
Ayrıca uzun vadede daha az donanım sorunu ile uğraşırsınız. Bilgisayar olunca, hardisski bozulur, kontrol kartına bişey olur, güç kaynağının sigortası yanar vs vs.
Ama en başta da dediğim gibi, pfsense olursa, çok daha esnek ve ölçeklendirebilir bir çözüm olur.

Merhabalar,

Bazı modemlerde içerik filtreleme gibi bant genişliği tanımlama gibi özellikler bulunsa da tuzsuzdeli'nin dediği gibi esneklik ve yönetilebilirlik bakımından bende tercihimi pfSense olarak kullanmak istiyorum. Bu konudaki kişisel kanaatim modem üzerinde fazla bir yönetime sahip olamıyorsunuz birde vpn tunneling yapan cihazların fiyatlarını da göz önüne alınca bence pfSense diyorum. Loglar, Yasalar (5651) gibi. :)

Sevgilerle,
SGTR

tunga76

IPSEC ile merkez ve taşradaki iki pfsense makineyi bir birine bağladım. taşradaki pfsense arkasındaki PC yi domaine dahil ettim. Active directory yüklü server merkezdeki pfsense arkasında gayet güzel çalışıyor. merkezdeki pfsense üzerine captive portalı aktif edip, Authentication olarak RADIUS Authentication seçili. server 2003 üzerindeki radius server IP si tanımlı gayet güzel çalışıyor. ANCAK aynı ayarları taşra için yaptığımda radius server bulunamadı diye uyarı geliyor. merkez ve taşrada captive portala Allowed IP address kısmına gerekli karşılıklı olarak merkezde taşradaki pfsense IP ardesi, taşradaki pfsense radius server IP adresi tanımladığım zaman taşradaki bilgisayardan merkezdeki radius servera ping atabiliyorum. ancak taşradaki bilgisayardan internette girmeye çalıştığım zaman captive portala active directory deki kullanıcı ile giriş yapmaya çalıştığım zaman radius server bulunamadı diye uyarı veriyor. yardımlarınızı bekliyorum. şimdiden yardımlarınız için teşşekkür ederim.

tuzsuzdeli

Her iki taraftaki nat ve fw rules ekran görüntülerini yollar mısınız

tunga76

nat ve fw ayarlarını gösterir resimleri buraya yükledim. nat ayarları default ayarlarda herhangi bir değişiklik yok. fw de sadece ipsec için herşeye izin ver tarzında genel bir ayar var. IPSec bütün ayarlar any olarak ayarlandı.

fw.png_thumb

natayarlari.png_thumb

lanayarlari.png_thumb

wanayarlari.png_thumb

tunga76

bir sorum daha olacak. IPSec akşam mesai çıkışında çalışır konumda bırakıyorum ancak sabah geldiğimde aktif olarak gözükmüyor çalıştırmak için tekrar statusten çalıştırmam gerekiyor. IPSec neden "of" konuma geçer. (bu sorumun cevabını buldum. benim gibi takılan olursa lifetime kısmında belirtilen saniye kadar açık kalıyor.)