PfSense 2.0 site to site vpn hk.



  • Merhaba Arakadaşlar,

    Yapmak istediğim 2 farklı lokasyonu site-to-site ile birbirine bağlamak. Bu konudaki makalelere baktım. Oradakileri yapmaya çalıştım lakin bir türlü başarılı olamadım. Ya da anlamadığım adsl modemlerim bridge modda degil. Bundan dolayı olabilir mi? Modem üzerinde 500 ve 1194 portlarını yönlendirdim. Bir makale buldum onda open vpn ile bağlayın diğerinde de ipsec ile bağlayın diyor. Bende pfSense üzerinde yeniyim. Bu konuda step by step bir yordam var mıdır? Yerli yabancı denemediğim makale kalmadı. Deneyip bunda sonuç alan bir arkadasım bana bu konuda yardımcı olabilir mi?

    Sevgilerle,
    Serkan



  • Merhaba,

    Hangi bağlantı şeklini kullanmayı düşünüyorsunuz ? Openvpn veya ipsec? Kaç lokasyon bağlayacaksınız birbirine?

    ipsec ile serfitika kullanamazsınız openvpn ile kullanabilirsiniz ancak openvpn biraz zahmetlidir ve güçlü bir bağlantı oluşturmak için kullanabilirsiniz. Yani ahiret sorguları taşımıyor iseniz ipsec daha makul bir çözümdür. Ona göre bir anlatım yapabilirim sizin için.



  • Merhaba tekrar,

    Öncelikle ilk etapta 1 şube ve merkez olarak başlayacağım. Bunun için sizlerin öngördüğü nedir? Kolaylıktan ziyade işlevsellik daha önemli. Şube de merkezde de 1 adsl ve 1 ghdsl var. Adsl den internete çıkartmayı ghdsl den de vpn yapmayı düşünüyorum. Bu konuda yardımcı olursanız çok memnun olurum.

    Sevgilerle,
    Serkan



  • Merhaba bu iş için ipsec yeterli olacaktır. Aslında ipsec basit bir olaydır yarın akşama gerekli dökümanı yayınlarım. Geç cevap verdigim için özür dilerim malum iş yogunlugu..



  • Sabırsızlıkla bekliyorum.  :)



  • Merhaba arkadaşlar,

    Ipsec site-to site VPN bağlantısı için gerekli bilgiler aşağıdaki linktedir. Başka yapılmasını tavsiye ettiğiniz ayarlamalar var ise gerekli güncellemeyi yapabilirim.

    https://docs.google.com/open?id=0B31Yob_FueBjMDUwZGEzYmQtNTg5Ni00YTNmLWJkMWYtNDY1MmI2MjYzNDZk

    Saygılar..



  • Merhaba Tekrar,

    Verdiğiniz linkteki adımları yaptıktan sonra aşağıdaki gibi bir uyarı alıyorum. Status kısmından baktıgımda da bağlı gözükmüyor. Bu aşamada hangi adımları tekrar gözden geçirmeliyim.

    Saygılarımla,
    SG

    Nov 22 07:57:15 racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
    Nov 22 07:57:15 racoon: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
    Nov 22 07:57:15 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
    Nov 22 07:57:15 racoon: [Self]: INFO: 192.168.2.222[4500] used for NAT-T
    Nov 22 07:57:15 racoon: [Self]: INFO: 192.168.2.222[4500] used as isakmp port (fd=14)
    Nov 22 07:57:15 racoon: [Self]: INFO: 192.168.2.222[500] used for NAT-T
    Nov 22 07:57:15 racoon: [Self]: INFO: 192.168.2.222[500] used as isakmp port (fd=15)
    Nov 22 07:58:38 racoon: INFO: unsupported PF_KEY message REGISTER
    Nov 22 07:58:38 racoon: INFO: unsupported PF_KEY message REGISTER
    Nov 22 08:03:06 racoon: INFO: unsupported PF_KEY message REGISTER
    Nov 22 08:03:06 racoon: ERROR: such policy already exists. anyway replace it: 10.29.3.0/24[0] 192.168.20.0/24[0] proto=any dir=in
    Nov 22 08:03:06 racoon: ERROR: such policy already exists. anyway replace it: 192.168.20.0/24[0] 10.29.3.0/24[0] proto=any dir=out
    Nov 22 08:03:06 racoon: INFO: unsupported PF_KEY message REGISTER



  • @Blasterreal ( Yalın ve sade bir dille hoş bir anlatım olmuş. )

    Konu ile ilgili videolu bir anlatım hazırladım umarım ihtiyacı olanlara bir faydası olur.

    Youtube Video



  • @sgtr:

    Merhaba Tekrar,

    Verdiğiniz linkteki adımları yaptıktan sonra aşağıdaki gibi bir uyarı alıyorum. Status kısmından baktıgımda da bağlı gözükmüyor. Bu aşamada hangi adımları tekrar gözden geçirmeliyim.

    Saygılarımla,
    SG

    Nov 22 07:57:15 racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
    Nov 22 07:57:15 racoon: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
    Nov 22 07:57:15 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
    Nov 22 07:57:15 racoon: [Self]: INFO: 192.168.2.222[4500] used for NAT-T
    Nov 22 07:57:15 racoon: [Self]: INFO: 192.168.2.222[4500] used as isakmp port (fd=14)
    Nov 22 07:57:15 racoon: [Self]: INFO: 192.168.2.222[500] used for NAT-T
    Nov 22 07:57:15 racoon: [Self]: INFO: 192.168.2.222[500] used as isakmp port (fd=15)
    Nov 22 07:58:38 racoon: INFO: unsupported PF_KEY message REGISTER
    Nov 22 07:58:38 racoon: INFO: unsupported PF_KEY message REGISTER
    Nov 22 08:03:06 racoon: INFO: unsupported PF_KEY message REGISTER
    Nov 22 08:03:06 racoon: ERROR: such policy already exists. anyway replace it: 10.29.3.0/24[0] 192.168.20.0/24[0] proto=any dir=in
    Nov 22 08:03:06 racoon: ERROR: such policy already exists. anyway replace it: 192.168.20.0/24[0] 10.29.3.0/24[0] proto=any dir=out
    Nov 22 08:03:06 racoon: INFO: unsupported PF_KEY message REGISTER

    http://forum.pfsense.org/index.php?topic=10141.0 Buraya bir bak istersen. Benzer bir sorun ile karşılaşmış bir arkadaş.



  • Selamlar,

    Yanıtlar için öncelikle teşekkür ederim. Sorunu şu şekilde çözdüm son yabancı makalelerde de gördüğüm ben dinamik yapıya göre yapılandırmıştım. Adsl modemlerin statik ip adresleri yoktu. Bu sebeple sanırım o hatayı aldım. Ne zaman ki modemlerin o anki ip adreslerini yazdıgımda ipsec vpn bağlandı. Şimdi ben statik ip kullanmadan da bu bağlantıyı yapabilir miyim?

    Sevgilerle…



  • @sgtr:

    Selamlar,

    Yanıtlar için öncelikle teşekkür ederim. Sorunu şu şekilde çözdüm son yabancı makalelerde de gördüğüm ben dinamik yapıya göre yapılandırmıştım. Adsl modemlerin statik ip adresleri yoktu. Bu sebeple sanırım o hatayı aldım. Ne zaman ki modemlerin o anki ip adreslerini yazdıgımda ipsec vpn bağlandı. Şimdi ben statik ip kullanmadan da bu bağlantıyı yapabilir miyim?

    Sevgilerle…

    Şöyle olabilir. dyndns.org üzerinden hesap açarsın. Atıyorum ip adresine karşılık gelen bir isim alıyorsun. ör: pfrouter1.dyndns.biz 88.78.145.234 gibi.

    Tabi modemlerininde dyndns desteği olmalı. İşte bu noktada ipsec vpn kısmında ip yerine isim yazarak ( hostname ) yapabilirsin.



  • İlk başta dinamik yapmıştım. Sonra muhtemelen yapılandırmadan kaynaklandı diye değiştirdim. Şimdi yine dynamik yaptım ve şu an için sorun görünüyor. Yardımcı olan herkese teşekkür ederim.

    Sevgilerle…



  • @speedy eline sağlık çok güzel bir çalışma olmuş…
    @Sgtr sorunu nasıl aşabileceginizi artık biliyorsunuz başarılar dilerim



  • Sayin Blasterreal,

    Öncelikle size teşekkür ederim, bana yardiminizdan ötürü.

    Sevgilerle.



  • @Blasterreal:

    @speedy eline sağlık çok güzel bir çalışma olmuş…
    @Sgtr sorunu nasıl aşabileceginizi artık biliyorsunuz başarılar dilerim

    @Blasterreal teşekkür ederim .



  • arkadaşlar acemi biri olarak pf ile pptp vpn kurdum ama ağdaki kaynaklara nasıl ulaşılır bağlantı sonrası dosya yazıcı paylaşımı ve vpn ile nasıl çalışırım kısmını bilmiyorum.
    pc de bir vpn birde normal internet bağlantı çıkışım oluyor .



  • öncelikle rules kısmında kural tanımladın mı? interface ipsec any any şeklinde?



  • Firewall: Rules kısmından pptp vpn kural ekledim denildiği gibi



  • ya da sen en iyisi nat ve rules tablosunun resimlerini yüklersen daha hızlı olur düşüncesindeyim. Belki atladıgın bir detay vardır. :)



  • @sgtr PPTP VPN üzerine ufak bir video hazırladım. http://youtu.be/bov4J7P0kBI VPN bağlantını videodaki gibi yaptığında bir sorun yaşayacağını sanmıyorum. Takıldığın bir nokta olursa yine yardımcı olmaya çalışırız.



  • video daki gibi ayarlama yapıp sonunda  farklı bir adsl hattından pfsense makinama bağlandım ping attım ama pfsense ardındaki pclerin paylaşımdaki kaynaklarına nasıl erişeceğim birde vpn aktif olunca internet çıkışı bozuldu  2 aktif ağ olunca hangisinden bağlanacağını şaşırdı heralde :)



  • @hasanfahri:

    video daki gibi ayarlama yapıp sonunda  farklı bir adsl hattından pfsense makinama bağlandım ping attım ama pfsense ardındaki pclerin paylaşımdaki kaynaklarına nasıl erişeceğim birde vpn aktif olunca internet çıkışı bozuldu  2 aktif ağ olunca hangisinden bağlanacağını şaşırdı heralde :)

    Şimdi siz vpn bağlantısı kurunca doğal olarak bütün trafik vpn tüneli üzerinden akmaya başlıyor. Bu nedenle internet bağlantınızın kopması ( aslında kopmuyor ama siz öyle sanıyorsunuz ) normal. İnternete giremiyorsunuz msn vs. açamıyorsunuz. Bunun için windows makinelerde vpn bağlantısında bir ayar mevcut


    Bu ayarları yaptığınız taktirde herşey normale dönecektir. Paylaşımdaki kaynaklara gelince \10.10.1.120\Share\ gibi paylaşımdaki bir kaynağa erişmeye çalıştığınızda normalde erişim sağlayabilmeniz gerekir ama sağlayamıyorsanız bir problem var demektir. Ekran görüntüsü gönderebilirseniz yardımcı olmaya çalışırız.



  • süper bunu yapınca net normale döndü peki vpn nin amacına yönelik nasıl kullanacağım bir 2 örnekle bu bağlantı bana ne sağlayacak onu gösterebilirmisiniz. belki çok acemice ama vpn ile evden hazırladığım bir dökümanı paylaşıma açık bir pc ye kaydetmem yada başka şeyler nasıl olacak

    \10.10.1.120\Share\ gibi paylaşım

    bu pf nin arkasındaki her hangi bir pc nin paylaşıma açılan klasörü değil mi birde vpn le bağlandığımızda aldığım ip grubu 10.0.1.0 ve pf arkasında paylaşıma açılan pc lerde ayni ip grubunda mı olmalı



  • @hasanfahri:

    süper bunu yapınca net normale döndü peki vpn nin amacına yönelik nasıl kullanacağım bir 2 örnekle bu bağlantı bana ne sağlayacak onu gösterebilirmisiniz. belki çok acemice ama vpn ile evden hazırladığım bir dökümanı paylaşıma açık bir pc ye kaydetmem yada başka şeyler nasıl olacak

    Bu işler balık tutmayı öğrenmeden balık yemek gibidir. VPN yapmanın amacını bilen birisi onun nimetlerinden de faydalanmasını elbetteki bilecektir.

    Kısaca anlatmak gerekirse VPN evdeki bilgisayarınız ile şirketiniz yada herhangi bir x yer arasında bir tünel oluşturarak sanki kendi yerel ağınızdaki bir makinenin kaynaklarına erişim sağlıyormuş gibi ( ör: RDP yani uzak masaüstü bağlantısı, paylaşımdaki dosyalara erişim, uzaktaki yazıcılardan çıktı almak gibi ) uzaktaki kaynaklara erişmenizi sağlar.

    Eğer hala uzaktaki bilgisayara dosya gönderemiyorsanız RDP üzerinden yada hiç kasmadan uzaktaki makineye teamviewer kurarak dosyalarınızı kolayca uzaktaki bilgisayara transfer edebilirsiniz.

    Kimseyi kırmak istemem ama bir arkadaşım hiç unutmuyorum şöyle demişti "Ya kanka kursta vmware üzerine windows server 2008 kurmuştuk, ben şimdi evdeki makinemi formatlayıp windows 7 kuracağım ama nasıl yapacağımı bilmiyorum yardımcı olabilir misin?"

    Selam ve Dua ile.



  • @hasanfahri:

    \10.10.1.120\Share\ gibi paylaşım

    bu pf nin arkasındaki her hangi bir pc nin paylaşıma açılan klasörü değil mi birde vpn le bağlandığımızda aldığım ip grubu 10.0.1.0 ve pf arkasında paylaşıma açılan pc lerde ayni ip grubunda mı olmalı

    Yok o sadece vpn tüneli kurmak için kullanılan ip bloğudur. İç networkteki ip bloğundan farklı olmak zorundadır. pfsense üzerinde PPTP VPN için firewall kuralı tanımlarken nerelerden nerelere hangi protokolü hangi portları kullanarak erişim sağlayacağınızı kendiniz belirlersiniz. Zaten bir kuralda any to any kuralı belirledik ki heryere erişim sağlayabilelim diye.



  • evden pptp vpn ile pf ye bağlandım ip aldım, nete çıkabiliyorum, pf ağındaki pc lerden aktif olanlara ping atıyorum ama \10.0.0.33\share deyince paylaşıma açtığım klasör gelmiyor. acaba nat kuralı yazmaya gerek varmı ayrıca birde internet tarayıcısına pf ip sini yazıncada web arayüz girişi gelmiyor. oysa 10.0.0.1 e ping atıyor



  • @hasanfahri:

    evden pptp vpn ile pf ye bağlandım ip aldım, nete çıkabiliyorum, pf ağındaki pc lerden aktif olanlara ping atıyorum ama \10.0.0.33\share deyince paylaşıma açtığım klasör gelmiyor. acaba nat kuralı yazmaya gerek varmı ayrıca birde internet tarayıcısına pf ip sini yazıncada web arayüz girişi gelmiyor. oysa 10.0.0.1 e ping atıyor

    Nat nedir? : http://donanim.thgtr.com/ag/nat-nedir-ne-ise-yarar/nat-nedir-ne-ise-yarar

    Lan üzerinden pfsense web arayüzünü kontrol edebilirsiniz ama, wan üzerinden kontrol edemezsiniz. Edebilmeniz için firewall kuralı yazmanmız gerekir. Ancak bu sayede kontrol edebilirsiniz.



  • aslında evden işyerindeki pf ye bağlanmayı başardım işyerindeki ap ye ping te atıyor. geriye sadece pclerin paylaşımlarına bağlanmak kaldı. acaba onların her birine de mi nat kuralı yazmalı yoksa benim uydunetin modemi mi sorunun kaynağı biraz yardımla pptp vpn işini halledeceğim inş. :)



  • @hasanfahri:

    aslında evden işyerindeki pf ye bağlanmayı başardım işyerindeki ap ye ping te atıyor. geriye sadece pclerin paylaşımlarına bağlanmak kaldı. acaba onların her birine de mi nat kuralı yazmalı yoksa benim uydunetin modemi mi sorunun kaynağı biraz yardımla pptp vpn işini halledeceğim inş. :)

    Aşağıdaki gibi bir kural tanımladıysanız eğer paylaşımlar ile ilgili bir sorun olmayacağını düşünüyorum.



  • 1 haftadır uğraşıyorum. pptp vpn ile farklı bir internet ağından pfsense ve paylaşıma açtığım xp home makineme ping atabiliyorum ama paylaşımı ağ sürücüsü olarak bağlanmam için kullanıcı adı şifre istedi oysa basit dosya paylaşımında idi. ilginç olanı windows 7 hom prem. makina ile paylaşımın olduğu pc ye hiç bağlanamadım güvenlik duvarı engelliyor sanırım ağ bulma aktif olduğu halde. bu arada vpn ve dosya paylaşımı konusu argo tabirle  baya baba konuymuş

    yereldeki pc ye internet üzerinden uzak masaüstünde sorun çıkmadı dosya paylaşımını halletsem işlem tamam

    http://www.hakanuzuner.com/index.php/virtual-private-networkte-ki-baglanti-sorunlari-2.html  sayfalar dolusu yazı var burda tabi anlamak mesele



  • uzakmasaüstünden bağlanıp bu arayı yapınca dosya kopyala yapıştırda çalışıyor


Log in to reply