Forum

SSL VPN Kullanıcıla...
 
Bildirimler
Hepsini Temizle

[Çözüldü] SSL VPN Kullanıcılarının Evlerindeki private IP'lerinin DNS Servera Register Edilmesi Problemi

14 Yazılar
4 Üyeler
0 Reactions
3,394 Görüntüleme
(@remzibasoglu)
Gönderiler: 54
Trusted Member
Konu başlatıcı
 

Öncelikle herkese sağlıklı ve sıhhatli günler dilerim.

Başlıkta da açıkça belirttiğim şekilde kullanıcılar SSL VPN yaptıktan sonra DNS Server'da kendi ev networkünden aldıkları IP adreslerinin yazıldığını fark ettim. Yani hem SSL VPN bağdaştırıcı kartındaki benim havuzdan verdiğim IP adresi, hem de evinden modemden aldığı IP adresini register ediyor.

Bu durumda da isim ip çözümlemeleri düzgüm çalışmıyor. Özellikle monitöring uygulamarında sıkıntı yaşattı bu durum bana. Ne tür bir öneri tavsiye edersiniz

Teşekkürler.

 
Gönderildi : 10/04/2020 01:56

(@sametdiker)
Gönderiler: 108
Estimable Member
 

Merhaba,

Firewall SSL VPN ayarlarında DNS ile ilgili detayları belirtebileceğiniz bir bölüm olmalıdır. Fortigate tarafında bununla ilgili 2 seçenek var;

1) Same as Client system DNS ( Bu seçenek ile bilgisayar lokalde bulunan DNS ayarlarını alıyor. )

2) Specify ( Bu seçenek ise özel olarak belirtilen ayarları getiriyor. )

 

Client bazlı çözüm olarak ise;

C:\Windows\System32\drivers\etc dizininde bulunan Host dosyasına ilgili değerleri girebilirsiniz.

Başarılar,

 

 
Gönderildi : 10/04/2020 15:11

(@serkanvargel)
Gönderiler: 181
Estimable Member
 

selam;

 

ssl -vpn settings altında Same as Client system DNS secercesiniz cözülecektir. bu ayarla fortigate nin ssl bacağından dns ayarlarına alacaktır. sanırım sizde specify secili ve sizin dns server adresiniz girili.

 

selamlar

 

 
Gönderildi : 11/04/2020 18:18

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Son durum nedir?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/04/2020 00:19

(@remzibasoglu)
Gönderiler: 54
Trusted Member
Konu başlatıcı
 

Selam,

Tam olarak ifade edemedim sanırım. Şöyle ki SSL VPN yapan kullanıcıların benim Specify ettiğim IP adreslerini yani DNS Server IP adresim yazmam gerekiyor ki isim çözümlemelerini yapabilsinler.

Ama bunu uyguladığımda hem sanal Fortinet SSL VPN bağdaştırıcı kartınındaki IP adresi için hem de kişinin  evindeki modemden IP adresi alan fiziksel bağdaştırıcı kartına ait IP adresi için DNS Server.ımda A kaydı oluşuyor.

Bunun önüne geçebilir miyim acaba.

Teşekkürler.

 
Gönderildi : 12/04/2020 00:30

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Bilgisayarlar bunun için tasarlanmıştır, yani eğer evdeki makine bir şirket makinesi ise ve bu ip yi alıyor ise bunu gidip güncellemesi normal bir durum. Güncellemiyor olursa anormal bir durum olur. Bunu dns client servisi yönetir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/04/2020 13:47

(@remzibasoglu)
Gönderiler: 54
Trusted Member
Konu başlatıcı
 

@hakanuzuner Hakan Bey ama bu durumda monitöring için kullandığım bir program isim IP çözümlemesi yaparken kişinin evdeki 192.168.1. bloğundaki IP adresini baz alıp ulaşmaya çalışıyor ve bu durumda da client makinaya ulaşamıyor haliyle :/ 

 
Gönderildi : 12/04/2020 13:52

(@serkanvargel)
Gönderiler: 181
Estimable Member
 

selam;

Aslında Hakan hocamın söylediği doğru. Benim anlmadığım sizin dns serverda neden evdeki modemin ipsi çıktğı burda ssl bacağından aldığınız ip adresini görmelisiniz.

sorunuza cevap olabilir mi test etmedim ama windows clienta network ayarlarında forticlient in oluşturduğu ethernet tcp özelliklerinde dns sekmesinde "Bu bağlantının adreslerini DNS'e kaydettir" tıknını kaldırırsanız sanırım sizin için çözüm olablir.

not: test etmedim

 

selamlar

 

 
Gönderildi : 12/04/2020 14:12

(@remzibasoglu)
Gönderiler: 54
Trusted Member
Konu başlatıcı
 

@serkanvargel Serkan Hocam merhaba. Aslında benim de problemim tam olarak bu. Neden bu kaydı yaptığını çözemedim. Eğer Fortinet'in oluşturduğu ethernet kartında Register.ı kaldırırsam VPN yaptığında Fortigate'in verdiği IP adresinin kaydını yapmayacaktır. Bu benim istediğim çözüm olmaz.

Bunun önüne geçmek için client.ın fiziksel ethernet kartından bu seçeneği kaldırmam gerekir. Ama bunu yapmam durumunda da VPN yapmayıp direkt şirketten bağlanan biri olursa bu sefer de bu IP adresi register edilemeyecek.

 
Gönderildi : 12/04/2020 14:17

(@serkanvargel)
Gönderiler: 181
Estimable Member
 

selam;

fortigate hangi versiyonu. ssl vpnde default a 10.212.134.200 - 10.212.134.210 arası bir ip adresi alır vpn yapan kullanıcılar ve buda sizin dns e bu şekilde yazmalı.

 
Gönderildi : 12/04/2020 14:27

(@remzibasoglu)
Gönderiler: 54
Trusted Member
Konu başlatıcı
 

@serkanvargel v5.6.9 kullanıyorum. SSL VPN Pool olarak 192.168.200.0 blogunu kullanıyorum. Fortinet ethernet kartı bu IP havuzundan IP alıyor ve bunun için bi A kaydı oluşuyor. 

 
Gönderildi : 12/04/2020 14:32

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Bu tür durumlar normal, izleme programında exclude edeceksin. Diğer alternatif bu makinelerin tcp/ip ayarlarından dns register kutucuğunu kaldırma ama bu sefer makinelerin güncel ip adreslerini öğrenmezsin.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/04/2020 14:34

(@remzibasoglu)
Gönderiler: 54
Trusted Member
Konu başlatıcı
 

@hakanuzuner Hakan Bey teşekkür ediyorum cevaplarınız için. Exclude etmeyi deneyeceğim.

İyi günler dilerim

 
Gönderildi : 12/04/2020 14:43

(@serkanvargel)
Gönderiler: 181
Estimable Member
 

@remzibasoglu fortigate günceller misin? çok karşılaştığımız bir problem değil.

cihaz biraz eski kalmış. 6.0- 6.0.9 var sonra 6.2 ve şuanda 6.4 var en azından 6.0.9 kadar çıkın çünkü bilen açıkları "CVE-2019-5586" kapatmış olursunuz

 

https://www. usom.gov.tr/tehdit/604.html

 
Gönderildi : 12/04/2020 14:47

Paylaş: