2 ayrı Şube, Tek Merkez 2 Modem, Tek Server Bağlantı?

Merhaba;

Her noktalar arası Çift Taraflı iletişim olmasını istiyorsanız ihtiyacınızı IPSEC VPN çözümü karşılayacaktır.

IP adresi dağıtımınızda bir sıkıntı yok. Bu IP dağıtımı size bir sıkıntı oluşturmaz ama önerim şu olacaktır ki farklı Subnetleri bu şekilde kullanmaktansa [10.X - 172.X - 192.X] aşağıda önerdiğim gibi bir IP kullanımı yaparsanız yönetiminiz ve ileride ki şube büyümelerinde IP dağıtımınız daha kolay olacakıtr.

Merkez 192.168.0.X / 24

İstanbul 192.168.2.X /24

İzmir 192.168.4.X /24

olarak IP sıralamasını kullanmanızı önereceğim.

Diğer bir nokta ise Merkez tarafında iki farklı Modem ve VPN cihazını hedef almışsınız ve iki farklı Local IP  kullanmışsınız. Bu size şu şekilde bir problem oluşturacaktır ki client tarafında iki farklı GW ataması yapmanıza ve problemlerin oluşmasına sebep olacaktır.

Bu şekilde iki farklı VPN ürünü kullanmaktansa Fail over özelliği olan ve iki farklı WAN hattını algılayabilecek Firewall üzerinden yapınızı güçlendirmenizi önerecğim.

Failover Özelliği olan bir firewall ile yapacak olduğunuz yapıda, merkez tarafında

• WAN Failover


• WAN Load Balancing


• IPSEC VPN Erişim kuralları, kullanıcıların hangi hat üzerinden erişim yapacakları ve şubelere gidecekleri.


• Şubelerin hangi WAN hattı üzerinden geleceği

gibi bir çok seçeneğe sahip olacaksınız.

merhaba,

yapmak istediğiniz çift yönlü trafik akışının vpn ile sağlanabiliyor olmasıdır.

burada Juniper firewall benzeri bir cihazınız olsaydı, route based vpn ile problemi

çözmeniz bir policy ve birde routing yazmanızla halledilebilirdi. kullandığınız modemler

route based vpn desteklemiyor galiba. zyxel cihazlarında da policy based vpn yapabilirsiniz

birde routing yazarsınız. switch modeliniz layer3  yani manageble bir switch mi?

biraz daha ayrıntı verirseniz yardımcı olmaya çalışırım.

donanımsal vpn cihazları ile bunu yapabilirsin şekil uygun olur :))

önemli olan merkezde hat türün ve band genişliğin nedir kaç client servıra gelecek.

vpnden sonra servera remote desktop mu yapılacak ? yada oluşan ağdan bir exe mi çalıştırmal istiyorsun ?

buna göre verilecek cevaplar şekillenecektir.

Merhaba,

Aslına bakarsanız sistemi tam olarak çizmedim uzun olur diye. Yapmak istediğim olaya mecbur kaldığım için yapmak istiyorum.

Neyse networku birazdaha geniş anlatmaya çalışayım.

Normalde merkezde Zywall 70 + 2 adsl hat var. Bu hatların birinden int çıkışı diğerinden şubeler için

ipsec vpn var. (Şube sayısı 20 civarı). Buraya kadar problem yok.Ama veri transferi yoğıunluğu yüzünden

merkeze yeni bir adsl hat aldırdım. ve tabiki yenibir adsl modem (zyxel 662 ipsec vpn desteli)

Amacım şu ki, 20 şube zywall 70 deki ipsec vpn le çalışsın; ama depoları da yeni adsl hat ile

2 nci ipsec vpnle hattı yormadan çalışsın. Aslına bakarsanız benim olayın çözümü 2 şekilde olabilir:

1) Yeni bir server 2003 pcye gw: olarak bu yeni adsl in adresi verilir ve programa bağlatılır? (masraf yapmak istemiyorum)

2) Hali hazırda kullanılan servere bu yeni adsl modem in gw' yi bi şekilde entegre edilerek servera

hem zywall 70 networku vpni(şubeler) hemde yeni zyxel 662 vpn i (depo) entegre edilebilir. Ama bunu windows nasıl destekler

bilemiyorum .

Ben işin içinden çıkamadım.Kolay gele..

Merhaba ;

Yapınızı dogru anladım ise Server uzerınde  bir işlem yapmanıza gerek yok ki zaten server uzerınde cıft Gateway atayamazsınız  ancak sunu yapabılırsınız yenı adsl modem ıle  bursa ıle ipsec vpn ı  olusturun yenı adsl modem 192.168.1.2 ip si olsun ve zywall uzerınde routing gırebılıyorsunuz  zywall uzerınde 172.16.1.0  networkune erısım ıcın 192.168.1.2 ye gıtmesını belırten bır  routing yazın ve boylelıkle izmir subesı ıle vpn baglantınız zywall uzerınden calısırken bursa ıle vpn baglantınız adsl modem uzerınden calısacaktır.

Siz yapınıza gore depolarınızın vpn lerını  modem uzerınde sonlandırın ve  zywall uzerınde depolara erişim ıcın 192.168.1.2 ye gıtmesı gerektıgını belirten route ları girin.

Teşekkürler.

Merhaba,

Aslına bakarsanız sistemi tam olarak çizmedim uzun olur diye. Yapmak istediğim olaya mecbur kaldığım için yapmak istiyorum.

Neyse networku birazdaha geniş anlatmaya çalışayım.

Normalde merkezde Zywall 70 + 2 adsl hat var. Bu hatların birinden int çıkışı diğerinden şubeler için

ipsec vpn var. (Şube sayısı 20 civarı). Buraya kadar problem yok.Ama veri transferi yoğıunluğu yüzünden

merkeze yeni bir adsl hat aldırdım. ve tabiki yenibir adsl modem (zyxel 662 ipsec vpn desteli)

Amacım şu ki, 20 şube zywall 70 deki ipsec vpn le çalışsın; ama depoları da yeni adsl hat ile

2 nci ipsec vpnle hattı yormadan çalışsın. Aslına bakarsanız benim olayın çözümü 2 şekilde olabilir:

1) Yeni bir server 2003 pcye gw: olarak bu yeni adsl in adresi verilir ve programa bağlatılır? (masraf yapmak istemiyorum)

2) Hali hazırda kullanılan servere bu yeni adsl modem in gw' yi bi şekilde entegre edilerek servera

hem zywall 70 networku vpni(şubeler) hemde yeni zyxel 662 vpn i (depo) entegre edilebilir. Ama bunu windows nasıl destekler

bilemiyorum .

Ben işin içinden çıkamadım.Kolay gele..

Merhaba,

Cumhur bey öncelikler teşekkürler. Bu anlattığınız durumda;

192.168.1.2 modemi (merkez yeni adsl) ile bursa depo 192.168.6.0 modemini vpn le bağlı.

Peki 192.168.1.2 modemi swich e mi yoksa zwall (192.168.1.1) üzerindeki dmz portlarına mı takılmalı?

Birde zywall üzerindeki route tanımı nereden yapılıyor bir fikriniz varmı .Ben bulamadım.

Teşekkürler.

Bu arada yeni bir kroki veriyorum daha uygn olacak sanırım.

Not: IP adreslerini bu yeni krokiye göre alırsanız sevinirim.

Merhaba ;

Zywall ın LAN interface'i ile iletişim kurabileceği Switch uzerıne takmanız yeterlı olacaktır uzaktaki depo network u 192.168.6.0 / 24 ise ve depo ıle merkezdekı zyxell 662 arasında ipsec vpn  ayarlamalarını yapıp calıstıgını test ettı ısenız asagıdakı resımdekı gıbı routingler gırmenız yeterlı olacaktır.

Teşekkürler.

Merhaba,

Cumhur bey dediklerinizi yaptım ama maalesef olmadı? Çözüm başka nasıl olabilir?

Merhaba ;

Olmayan nedir trace  atarak kontrol edermısınız paketler ın nerede kaldıgını .

Teşekkürler.

Merhaba,

Cumhur bey öncelikle ilgi ve alakanız için tekrar teşekkür ederim. Problem sonunda çözüldü çok şükür. Sizin söylediğiniz gibi statik route

aynı şekilde eklenecek ve policy route bölümünde defaılt bulunan kural aşağıdaki resimdeki gibi değişecek.

Bundan sonra da dikkat edilmesi gereken bir nokta var. Oda Zywall daki firewall bölümünde Allow asymetric route bölümüde aktif olacak.

Yoksa depo ip ye ping atıyor, telnet te çekiyor ama shared (netbios) olarak yada telnet çekilen programlara (radmin vs..) erişim sağlanamyor.

Resim altta.

Tekrar teşekkürler..

bu bağlantı adsl modem ilemi ğerçekleştirdin yoksa ghdslmi