SSL VPN ve Radmin

Selamlar @gokhanarda 

Yapabilirsiniz. DEstek  personeli ve  kullanıcı da  ssl vpn bağlantısı  kuracak ve  kullanıcının  ssl vpn ile  almış oldugu  ip  adresine radmin ile  bağlantı  sağlayacak.

merhaba @cumhuraltan,

bende sizin düşündüğünüz gibi bu işlemi teoride düşünüp direkt uygulamak istediğimde bağlantı sağlayamıyorum. bununla alakalı muhtemelen bir policy yazılması gerekiyor. SSL_VPN_USER - to - SSL_VPN_USER gibi bir policy yapılması gerekiyor sanki ama denememe rağmen bu bağlanıyı sağlayamadım. 

Erişimin olmadığı aşama nedir? onu belirtirseniz fortigateciler ona göre yorum getirebilir.
Radmin sonuçta ip temelli çalışıyor. Kişinin vpn ile gelmesi artık iç ip den erişebilmek demektir yani iç bacaklarda sınırlamadıysanız port engeli gibi bir durum olmamalı. Kolay Takip için de dhcp üzerinden mac'lerine göre statik hale getirebilirsiniz. Ben misal bu şekilde ultravnc ile erişiyorum araya firewall karışmıyor bile.   

Son durum nedir?

merhaba,

şuanki yapıda SSL VPN ile dış networkteki destek cihazı iç networkteki herhangi bir cihaza erişim sağlıyor. @ibrahim hocam belirttiğiniz gibi radmin ip tabanlı bir bağlantı tipi sağlıyor herhangi bir port bloklama işlemine de tabi değil yapı. iki dış networkteki SSL VPN kullanıcılarının birbirleri ile olan bağlantısını hala sağlayamadık. sizin yapınızdaki örneği baz alırsak Ultra VNC gibi ip tabanlı bağlantı araçları ile kullandığınız FW tarafında yazılan ekstra bir policy ya da ekstra bir işleme ihtiyacı olduğunu düşünüyorum. sizde de böyle bir yapılanma gerekti mi yoksa tak çalıştır modelinde bir entegrasyon mu oldu.

" iki dış networkteki SSL VPN kullanıcılarının birbirleri ile olan bağlantısını hala sağlayamadık."
Bunu biraz açar mısınız. Niçin iki dış network? Ezbere doğru anladıysam 2 vpn client'ı bir biriyle konuşturacak şey içerdeki vpn gateway'dir bu olmuyorsa buna yönelik ayarlara bakmak lazım.

Sorduğunuz için diyim ben bu ultravnc kullanılan ortamı pfsense üzerinde ipsec ikev2 vpn ile sağlıyorum bunun config'i dışında bir rule ihtiyacı olmuyor ancak fortigate'i ezbere bilmiyorum. VPN aşamalarını gösteren makaleleri tekrar kontrol ettiyseniz mesela aynı uzak client'lara rdp yapabiliyor musunuz?
Firewall tarafı birazda sizin daha önce ki uyguladığınız policy'lere göredir net den benzer senaryo bulamayabilirsiniz o yüzden mevcut kural listelerinize bir göz atmanız lazım.  

Selamlar , iyi  bayramlar @gokhanarda .

Aslında  çok basit  olan  bir  konu yapınız  hakkında  bilgi  vermediğiniz için maalesef  oldukça uzamaktadır. Yapınızda  kullanıdıgınız  SSL  VPn yapılandırmasında SPLIT TUNNNELING kullandıgınızı  tahmin  ediyorum. ( Yani ssl  vpn e  bağlanan  kullanıcılar  internet  için  kendi  internetini kullanıyor  ve  sadece  ssl  vpn için  anons  ettiğiniz  local networklerinize  erişim için paketler  vpn  tuneline giriyor. )

Local  networkunuz  192.168.1.0/24  olsun SSL  vpn ile  bağlanan  kullanıcılarınızda  192.168.254.0/24  networkunden  ip  alıyor  olsunlar ( benim  örnek olması  için verdiğim networkleri kendi yapınıza  göre  düzenleyiniz  lütfen ) 

VPN/ SSL VPN PORTALS    menusune  girin ve aşağıdaki  ekran görüntüsü  örneğindeki  gibi  source  network  kısmına  ssl vpn networkunuzu de  ekleyin. Sonrasında  tek  yapmanız  gereken   yeni  bir  policy  yazmak.

Örnek  policy ekran görüntüsünü de  ekledim.  Source ve Dest interface SSL VPN TUNNEL  INTERFACE .

Source kısmına  SSL  vpn  networkunuzu ve  SSL  vpn için  oluşturdugunuz  grubu  seçip  dest  tarafında da  yine  SSL  vpn networkunuzu  seçip  NAT kısmını  kapatarak  yeni  bir  policy  yazmanız  yeterli  olacaktır.

Örnek  trace  çıktısında  oldugu  givi  192.168.254.1 ve  192.168.254.2  ssl vpn e  bağlı 2  adet  bilgisayar.

İleride  açacağınız  postlarda yaptığınız  işlemler  hakkında  mutlaka  bilgi veriniz. Örneğin  ssl vpn yapılandırmanızı ne  gibi  ayarlar  ve  testler  yaptıgınızı  paylaşmış  olsaydınız bu postu ilk cevabımda  yazabilirdim sizin için de  vakit  kaybı  olmazdı.

Yukarıdaki işlemlere  rağmen  bağlantıda  problem  oluşuyor  ise  cihazlardaki Windows Firewall veya End point  Security  uygulamanızın  Firewall ı  paketler  blokluyordur  test  için  kapalı duruma  getirerek  test  edip  geri  dönüş  yapabilirseniz  durumunuza  göre  devam edelim.