Pfsense arkasındaki dns'e (active directory) ulasmak
-
Yeniden merhaba.
Yukaridaki anlattigim senaryo uzerinden gidecek olursak;
B noktasinada pfSense kuracaksan "IPSec Vpn" destekli modem kullanmana gerek kalmayacaktir. Sana tavsiyem her iki taraftaki modemi "bridge mode" ayarlayip servis saglayicinin atadigi IP adresini pfSense'e aldırmak. Boylelikle DSL modemin olasi performans problemleri ve port yonlendirme vs. islemlerinde daha kolay yonetim saglanmis olur. Iki pfSense arasinda daha once Site-to-Site vpn yapmistim fakat sonradan ihtiyac kalmadigi icin elimde malesef bir dokumanim yok fakat https://docs.google.com/file/d/0B31Yob_FueBjMDUwZGEzYmQtNTg5Ni00YTNmLWJkMWYtNDY1MmI2MjYzNDZk/edit?pli=1 buradaki dokumanin isine yarayacagini dusunuyorum(Bu isleme baslamadan once farkli kaynaklardan da dokumanlari(pfSense site to site vpn) incelersen yapacaklarin kafanda daha cabuk canlanip sekillenecektr) Bu dokumanin 6. sayfasindaki kuralda "Source" kismina karsi tarafin IP adresini yazmanda fayda var. (Her iki tarafinda statik IP adresi olmasi gerekir) Eger site-to-site vpn baglantisini basariyla tamamlarsan B noktasindaki 10 pc de A noktasi ile haberlesebilir.
Not : Site-to-site vpn baglantisini denerken bir taraftan(ornegin A noktasindan) karsi tarafin pfSense lokal Ip (B noktasindaki) adresine surekli ping atarak sonucu gozlemleyebilirsin.
Saygılar.
-
hızlı cevabınız için teşşekür ederim. tavsiyenizi deneyeceğim. Ancak daha önce yanlış anlatmışım sanırım ve vpn konusunda bir sorum olacak. (anlatığınız anladığım kadarıyla sadece iki pfsense makinesi arası bağlantı) benim yapım taşra birden fazla merkezdeki pfsense makinesi farklı farklı taşralardaki başka pfsense makinelere (taşra birden fazla birden fazla pfsense makinesine) nasıl bir vpn bağlantısı yapmalıyım. Tekrar ilginize teşşekkür ederim. sanırım yardımlarınızla bu işi çözeceğiz.
-
Birden fazla tasra noktasinin olmasi sorun cikartmaz. Teoride onlarca hatta yüzlerce site-to-site vpn ekleyebilirsiniz fakat merkezdeki pfSense makinanin donanimininda dogru orantida yuksek olmasi gerekir. Kisaca A noktasi 192.168.1.0/24, B noktasi 192.168.2.0/24, C noktasi 192.168.3.0/24, D noktasi 192.168.4.0/24, E noktasi 192.168.5.0/24….. tabi daha once de belirttigim gibi merkezdeki Active Directory kurulu makinada DNS kayitlarini da eklemeniz gerekir.
-
Bu arada taşradaki tüm şubelere de pfsense kurma konusunu maliyet ve yönetim gözden geçirin derim.
Her şubede pfsense olması daha esnek bir çözüm olmakla beraber vpn özellikli bire modem ile çözüm üretmek çok daha pratik düşük maliyeti olabilir.
Ayrıca uzun vadede daha az donanım sorunu ile uğraşırsınız. Bilgisayar olunca, hardisski bozulur, kontrol kartına bişey olur, güç kaynağının sigortası yanar vs vs.
Ama en başta da dediğim gibi, pfsense olursa, çok daha esnek ve ölçeklendirebilir bir çözüm olur. -
Yardımlarınız için herkese teşşekkür ederim. tuzsuzdeli dediğini göz önende bulunduracağım. vpn konusunda benim öngöremediğim konular için döküman önerebilirmisiniz. mabul fazla fikir sahibi olmadığım bir konu. benim bulduğum dökümanlarda anlatılanlar kısıtlı. tekrar yardımlarınız için teşşekkür ederim. soncunu burdan yazarım olup olmadığını.
-
Bu arada taşradaki tüm şubelere de pfsense kurma konusunu maliyet ve yönetim gözden geçirin derim.
Her şubede pfsense olması daha esnek bir çözüm olmakla beraber vpn özellikli bire modem ile çözüm üretmek çok daha pratik düşük maliyeti olabilir.
Ayrıca uzun vadede daha az donanım sorunu ile uğraşırsınız. Bilgisayar olunca, hardisski bozulur, kontrol kartına bişey olur, güç kaynağının sigortası yanar vs vs.
Ama en başta da dediğim gibi, pfsense olursa, çok daha esnek ve ölçeklendirebilir bir çözüm olur.Merhabalar,
Bazı modemlerde içerik filtreleme gibi bant genişliği tanımlama gibi özellikler bulunsa da tuzsuzdeli'nin dediği gibi esneklik ve yönetilebilirlik bakımından bende tercihimi pfSense olarak kullanmak istiyorum. Bu konudaki kişisel kanaatim modem üzerinde fazla bir yönetime sahip olamıyorsunuz birde vpn tunneling yapan cihazların fiyatlarını da göz önüne alınca bence pfSense diyorum. Loglar, Yasalar (5651) gibi. :)
Sevgilerle,
SGTR -
IPSEC ile merkez ve taşradaki iki pfsense makineyi bir birine bağladım. taşradaki pfsense arkasındaki PC yi domaine dahil ettim. Active directory yüklü server merkezdeki pfsense arkasında gayet güzel çalışıyor. merkezdeki pfsense üzerine captive portalı aktif edip, Authentication olarak RADIUS Authentication seçili. server 2003 üzerindeki radius server IP si tanımlı gayet güzel çalışıyor. ANCAK aynı ayarları taşra için yaptığımda radius server bulunamadı diye uyarı geliyor. merkez ve taşrada captive portala Allowed IP address kısmına gerekli karşılıklı olarak merkezde taşradaki pfsense IP ardesi, taşradaki pfsense radius server IP adresi tanımladığım zaman taşradaki bilgisayardan merkezdeki radius servera ping atabiliyorum. ancak taşradaki bilgisayardan internette girmeye çalıştığım zaman captive portala active directory deki kullanıcı ile giriş yapmaya çalıştığım zaman radius server bulunamadı diye uyarı veriyor. yardımlarınızı bekliyorum. şimdiden yardımlarınız için teşşekkür ederim.
-
Her iki taraftaki nat ve fw rules ekran görüntülerini yollar mısınız
-
nat ve fw ayarlarını gösterir resimleri buraya yükledim. nat ayarları default ayarlarda herhangi bir değişiklik yok. fw de sadece ipsec için herşeye izin ver tarzında genel bir ayar var. IPSec bütün ayarlar any olarak ayarlandı.
-
bir sorum daha olacak. IPSec akşam mesai çıkışında çalışır konumda bırakıyorum ancak sabah geldiğimde aktif olarak gözükmüyor çalıştırmak için tekrar statusten çalıştırmam gerekiyor. IPSec neden "of" konuma geçer. (bu sorumun cevabını buldum. benim gibi takılan olursa lifetime kısmında belirtilen saniye kadar açık kalıyor.)