Forum

ISA Server ve VPN
 
Bildirimler
Hepsini Temizle

ISA Server ve VPN

23 Yazılar
3 Üyeler
0 Reactions
1,693 Görüntüleme
(@uguryildirim)
Gönderiler: 61
Trusted Member
Konu başlatıcı
 

Merhaba. daha önce bi çok kez bu forumda bu konuyu açtım çözüm aradım ama,bir türlü çözüm alamadım.


ya "makaleleri oku" ya da "şunu dene" diyenler oldu ama geri dönüş yaptığımda cevap verilmedi.


konuya gelince,çok uğraştım ama olmadı


şirkete easy vpn (gezici vpn) kurulumu yapmak istiyorum.kullanıcılar şirket dışından notebook'la ağa bağlanacak.


dc ve isa server ayrı.


isa server'a kuralları makaleleri okuyarak yazdım


giriş yapacak kullanıcıya allow vpn yetkisi verdim.


fakat bağlanmak istediğimide hata 619,734,vb hatalar veriyor.kullanıcı adı şifre doğrulama kısmında çakıyor.


isanın bağlı olduğu bir drytek router vardı arada.sorun ondan sandım çıkardım zyxel modem taktım


3389,1723 ve 47 portlarını isa server'ın ipsine NAT ettim


şimdi ne yapmalıyım?


lütfen sabırla yardım edermisiniz? 🙂 


 


 


NOT:
dışardan ping atabiliyorum ve uzak masaüstü ile erişebiliyorum server'a

 
Gönderildi : 11/12/2009 19:58

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Merhaba,

Bu tür semptomlarda genellikle ISA Server sunucunun önünde bulunan  ADSL Modem/Router tarafında sorun oluşur.Yani,  kullandığınız router PPTP kullanıyorsanız sadece  1723 TCP Portunu yönlendirmek yetmez.Bunun yanında GRE desteğini açmalısınız.Bu zyxel modemin ayarlarından PPTP Passthrough diye geçer.Eğer bunu işlemi yaparsanız o zaman bağlantıyı sorunsuz sağlarsınız.Son olarak ISA Server versiyon belirtmemişsiniz.ISA Server 2004 varsa  SP3 yüklü olmalıdır.ISA Server 2006 varsa SP1 yüklü olmalıdır.Ayrıca 47  port değildir. IP Protokoldür.Yönlendirilmez.onu kaldırınız.

 Bu arada sabırlıyımdır  🙂

Saygılarımla,

 
Gönderildi : 11/12/2009 20:38

(@uguryildirim)
Gönderiler: 61
Trusted Member
Konu başlatıcı
 

GRE portu olarak 47yi açmalısınız demişlerdi


demek ki yanlış anladım 🙂


isa server 2006 var,bağlanacağım client'ın mı sp1 olması gerekiyor?


router'ı devre dışı bırakıp zyxel modem ile deneyeceğim,bu dediklerinizi yapıp yarın tekrar yazıcam


şimdilik teşekkürler 🙂

 
Gönderildi : 11/12/2009 20:45

(@ahmetaltuntas)
Gönderiler: 731
Prominent Member
 

merhaba 

site üzerinde hakan hocamızın vpn için hazırladığı video ya bir göz atın isterseniz.Ayrıca isa server üzerinde kullandıgınız virüs programınıbir gözden geçirin,kullandıgınız modm' in tam olarak marka ve modeli nedir?

 
Gönderildi : 11/12/2009 21:07

(@uguryildirim)
Gönderiler: 61
Trusted Member
Konu başlatıcı
 


merhaba 


site üzerinde hakan hocamızın vpn için hazırladığı video ya bir göz atın isterseniz.Ayrıca isa server üzerinde kullandıgınız virüs programınıbir gözden geçirin,kullandıgınız modm' in tam olarak marka ve modeli nedir?



isa üzerinde bi sıkıntı yok gibi denilenleri harfiyen yaptım.


symentec anti virüs var server üzerinde


ilk denemelerimde router drytek vigor 3000dü,


 bunun yerine zyxel p662hw-d1 kullanıcam bu kez.

 
Gönderildi : 11/12/2009 21:17

(@ahmetaltuntas)
Gönderiler: 731
Prominent Member
 

merhaba zyxel p662hw-d1 bu modemin vpn özelliği var,eger tekrar vpn ile ilgili bir sıkıntı yaşarsanız virüs programını kaldırıp bide bu şekilde deneyerek sonucu bildirirsiniz.

Keyifli Çalışmalar. 

 
Gönderildi : 12/12/2009 11:11

(@uguryildirim)
Gönderiler: 61
Trusted Member
Konu başlatıcı
 


merhaba zyxel p662hw-d1 bu modemin vpn özelliği var,eger tekrar vpn ile ilgili bir sıkıntı yaşarsanız virüs programını kaldırıp bide bu şekilde deneyerek sonucu bildirirsiniz.


Keyifli Çalışmalar. 



 


zyxel modem işimi görmyecek ne yazık ki.tekrar drytek'e döndüm (çünkü gelen hat adsl değil ghsdsl)


antivirüs programını kaldırdım.


drytek vigor router üzerindeki yaptığım ayarların resimlerini koyuyorum şimdi.bi bakalım..


 



 



 


 
Gönderildi : 16/12/2009 15:03

(@uguryildirim)
Gönderiler: 61
Trusted Member
Konu başlatıcı
 


Merhaba,


Bu tür semptomlarda genellikle ISA Server sunucunun önünde bulunan  ADSL Modem/Router tarafında sorun oluşur.Yani,  kullandığınız router PPTP kullanıyorsanız sadece  1723 TCP Portunu yönlendirmek yetmez.Bunun yanında GRE desteğini açmalısınız.Bu zyxel modemin ayarlarından PPTP Passthrough diye geçer.Eğer bunu işlemi yaparsanız o zaman bağlantıyı sorunsuz sağlarsınız.Son olarak ISA Server versiyon belirtmemişsiniz.ISA Server 2004 varsa  SP3 yüklü olmalıdır.ISA Server 2006 varsa SP1 yüklü olmalıdır.Ayrıca 47  port değildir. IP Protokoldür.Yönlendirilmez.onu kaldırınız.


 Bu arada sabırlıyımdır  🙂


Saygılarımla,



 


kusura bakmayın resimler büyük olmuş.


bu arada windows 7 ile bağlanmayı deniyorum.ama xp pro ile de denediğimde sonuç değişmedi


hata 619 ya da 734


inşallah bu kez çözücem sizin yardımlarınızla 🙂

 
Gönderildi : 16/12/2009 15:09

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Merhaba,

 

Anladığım kadarıyla sorun  sizin  ISA Server tarafında gibi.Fakat ,size  SP1 yüklemenizi önermiştim.Yüklendi mi ? Bunu yükledikten sonra  Vigor Router tarafındaki ayarlarda hala 47 yönlendirilmiş 🙂    onu kaldırınız.Sadece PPTP için gerekli 1723 port yeterlidir.Bu arada ISA server 2006 herhalde PPTP yapıyorsunuz.Son olarak Vigor Router üzerinde gerekli  Passthrough yapılmış.Orada sorun yok.

Ayrıca,bunları yaptıktan sonra ISA Server 2006 tarafında logging gelin. (Monitoring menüsünde )  Oradan bağlantı anında olanları buraya mesajını atınız.

 

Saygılarımla,

 
Gönderildi : 16/12/2009 16:46

(@ahmetaltuntas)
Gönderiler: 731
Prominent Member
 

merhaba

peki içeriden vpn yapmayı deneyerek sonucu bildirirmisin. 

 
Gönderildi : 16/12/2009 17:24

(@uguryildirim)
Gönderiler: 61
Trusted Member
Konu başlatıcı
 


Merhaba,


 


Anladığım kadarıyla sorun  sizin  ISA Server tarafında gibi.Fakat ,size  SP1 yüklemenizi önermiştim.Yüklendi mi ? Bunu yükledikten sonra  Vigor Router tarafındaki ayarlarda hala 47 yönlendirilmiş 🙂    onu kaldırınız.Sadece PPTP için gerekli 1723 port yeterlidir.Bu arada ISA server 2006 herhalde PPTP yapıyorsunuz.Son olarak Vigor Router üzerinde gerekli  Passthrough yapılmış.Orada sorun yok.


Ayrıca,bunları yaptıktan sonra ISA Server 2006 tarafında logging gelin. (Monitoring menüsünde )  Oradan bağlantı anında olanları buraya mesajını atınız.


 


Saygılarımla,



 


isa server 2006 sp1i yükledim.vigor router'dan 47'yi sildim.restart ettim


tekrar bağlanmayı denediğimde yine aynı hatayı (619) aldım.


logging ekranına dışardan gelen herhangi bir istek gözükmüyor.sadece domain kullanıcılarının network ve mail (smtp,pop3) kullanımı gözüküyor loglarda.şimdi ne denemeliyim?

 
Gönderildi : 16/12/2009 17:44

(@uguryildirim)
Gönderiler: 61
Trusted Member
Konu başlatıcı
 


merhaba


peki içeriden vpn yapmayı deneyerek sonucu bildirirmisin. 



içeriden (domaindeki bir clienttan) bağlanmayı denedim ama olmadı:


 hata 800:


Denenen VPN tünelleri başarısız olduğundan uzak bağlantı kurulamadı. VPN sunucusuna ulaşılamıyor olabilir. Bu bağlantı L2TP/IPsec tünelini kullanmayı deniyorsa, IPsec anlaşması için gereken güvenlik parametreleri düzgün yapılandırılmamış olabilir.

 
Gönderildi : 16/12/2009 18:24

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

ISA Server 2006 yapılan VPN ayarlarınızın resmini atarmısınız.

1- Firewall Policy   kuralları

2- VPN  erişim ayarları resmi  ,

Ayrıca ,   kullandığınız VPN türü nedir ? PPTP ,L2TP  

Son olarak VPN test ederken şunu yapınız.

telnet  WAN IP adres  1723   

bununla test ediniz.

 

Saygılarımla,

 
Gönderildi : 16/12/2009 18:40

(@uguryildirim)
Gönderiler: 61
Trusted Member
Konu başlatıcı
 



 


görüldüğü gibi bir sürü rules denedim farklı farklı kaynaklardan bakarak.yalnız aktif olan 8 no.lu rule şu an kullandığım.diğerleri disable durumda.

 
Gönderildi : 16/12/2009 19:05

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

[:D]

O kadar kuralın ne işi var orada. Şu işi baştan yapsak daha iyi olacak.Öncelikle tüm disable edilen kuralların hepsini sil.Sadece internet erişim kuralı kalsın.Sonra sıfırdan ISA Server 2006 içinden  tekrar yapınız.

Makalelerden kısmından bulabilirsiniz.

 

Saygılarımla,

 
Gönderildi : 16/12/2009 19:23

(@uguryildirim)
Gönderiler: 61
Trusted Member
Konu başlatıcı
 


[:D]


O kadar kuralın ne işi var orada. Şu işi baştan yapsak daha iyi olacak.Öncelikle tüm disable edilen kuralların hepsini sil.Sadece internet erişim kuralı kalsın.Sonra sıfırdan ISA Server 2006 içinden  tekrar yapınız.


Makalelerden kısmından bulabilirsiniz.


 


Saygılarımla,



 


makalelere baktım ama site-to-site vpn orda anlatılan


yazmam gereken rule nasıl olmalı tam olarak?


sabırlıyım demiştiniz 🙂


 


 


not: Hakan UZUNER'in makalesine göre all outbonds traffic-from vpn clients to internal'a bir kural yazdım vpn users için


vpn usersın içinde kendi kullanıcı adım da var.


ama yine olmadı,yine aynı hata.

 
Gönderildi : 16/12/2009 20:13

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Merhaba,

 

Öncelikle tüm kuralları sil.Öncelikle en alta internet erişimine izin verecek şekilde kural ekle.

Allow Web Traffic - Allow - HTTP/HTTPS -  Internal -External -All Users

Sonrasında  ISA Server 2006 ekranında  soldan VPN tıklayın.Sonrasında açılan ekrandan en sağdan   "Enable VPN Client Access" yazısına tıklayın.Çıkan uyarıya  "yes" tıklayın.Sonrasında yine aynı yerden "Configure VPN Client Access"  tıklayın.Açılan pencereden "General" sekmesindeki seçenek işaretli olmalıdır.Sonrasında Groups  sekmesinden  uzaktan erişecek olan AD  Kullanıcılarını ekleyin.Sonrasında "Protocols" sekmesinde  "Enable PPTP" işaretleyin.Sonrasında User Mappings sekmesinde ise "Enable User Mapping" işaretleyin.Sonrasında altına domain adınızı girin.  örn:  aaa.com gibi.Burada işlemi tamamlayın.Sonrasında ;  Yine aynı ekrandan "Select Access Networks" tıklayın.Açılan ekrandan "Access Networks" sekmesinde  "External " seçili olsun.Sonrasında bir sonraki sekmede ise  "Burada ister DHCP  ister Statik IP havuzu kullanın.Bence statik ip kullanın.    Bu adres aralığı sizin adres dışında olacak .Yani ,   offsubnet IP olacak.şimdi bu ne diyeceksin 😀 ?

örn: 192.168.1.0 /24   şirket adres ip aralığı olsun .Sen burada 192.168.2.0/24 kullanacaksın.buna dikkat et.

Buda bittikten sonra Authentication  sekmesinde ise sadeec en üstteki seçili olsun.İşlem bitti.

 

Şimdi kural oluşturalım.Bunun için  Firewall policy gelin.Yeni kural oluşturunuz.

VPN Client to Internal  - Allow - All Outbound Protocol - VPN Clients -Internal -All Users   ekleyin. 

Sonra VPN yapacak kullanıcıların  AD altında  özelliklerine gelin.Oradan "Dial -In " sekmesine gelin."Allow Access"işaretleyin.

Sonra bağlantıyı test ediniz.

 

Saygılarımla,

 
Gönderildi : 16/12/2009 20:47

(@uguryildirim)
Gönderiler: 61
Trusted Member
Konu başlatıcı
 

elinizi sağlık herrşeyi detaylarıyla anlatmışsınız.


hemen hemen böyleydi benim ayarlarım da.ama tekrar hepsini yaptım.


yalnız isa daki diğer kuralları silmedim (pop3,smtp,mail,msn yasak falan)


çünkü şuanda herkes çalışıyor.


ve tekrar bağlanmayı denediğimde yine aynı hata.


bir de dikkatimi çeken bir nokta var : vpn properties'de static-dynamic ip seçeneğini seçerken "server"ı seçebileceğim bir yer yok


sadece ip aralıklarını yazabiliyorum.


yani şöyle : (select the server kısmı çıkmıyor bende)


 
Gönderildi : 16/12/2009 21:42

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Merhaba,

 

ISA Server yüklü sunucuda başka hangi yazılımlar var ? Ayrıca ,bu sunucu domain üyesi mi ?  Birde ,  Address assigment ayarlarında Use the following network to obtain DHCP, DNS and WINS services.   başlığı altında  açılır listeden Internal  seçili olsun.

 

Saygılarımla,

 
Gönderildi : 17/12/2009 12:02

Sayfa 1 / 2
Paylaş: