[Çözüldü] Pfsense AD baglantisi

Bağlantıyı ne amaçla ve nasıl kurmaya çalışıyorsunuz? Kısaca özetlerseniz nasıl yapacağınızı anlatabilirim.

@kadiryapar Merhaba Kadir bey,

Şirketimizin iki farklı lokasyonu mevcut. Şuan OpenVPN ile iletişim kuruyoruz. Ama sık sık bağlantı sıkıntısı yaşıyoruz.

AD şubemizde mevcut değil. Hepsi merkez AD sine bağlı.

Pfsense ile önce IPsec side 2 side VPN oluşturup (şubede netgate pfsense mevcut) AD de bulunan kullanıcıların istediğimiz şekilde merkeze ulaşmalarını sağlamak istiyoruz.

Planlamada hata olabilir. Daha efektif güvenli bir yolu da deneyebiliriz.

Evet sanki plan, yorum hatası var gibi. Pf sizin şube user'ların merkeze erişimini sağlamaz sadece ör radius gibi çeşitli roller için user auth. yapabilmenize sağlar. 
StS vpn için openvpn kullanmak zorunda değilsiniz pfsense site to site diye aratın kendi support dahil çok fazla makalesi var. Bunu tamamladıktan sonra şube member'larınız AD'e erişebilmiş olur.

Ibrahım bey yorum için teşekkür ederim. Ancak söylediklerinizi tam anlayamadım.

Öncelikle Pfsense AD bağlantısı neden kurulur onu araştırmam gerek sanırım. Maksadım. AD de bir grup oluşturup hem merkez hem şubedeki ilgili kullanıcıların istediğim yerlere giriş yapabilmesini sağlamak. Bu AD Pf bağlantısıyla yapmaya çalışıyorum.

ikincisi şuan kullanmakta olduğumuz kulanıcı baylı openvpn yerine IPsec site to site oluşturarak daha güvenli sorunsuz olarak sisteme ulaşmalarını istiyorum.

Sizin önerdiğiniz webde pfsense site to site aramasını yaptım. Sonuçların hemen hemen tamamı IPsec site to site olarak çıkıyor. Yani benim şuan yapmaya çalıştığım. Halihazırda lab ortamında iki pfsense iki server ve bir router ile bunu kurmaya çalışıyorum ancak bağlantı kuramıyorum. Nerede hata yaptığımı henüz bulamadım.

Konfigürasyonum şu şekilde

Öncelike 1. sorunu çözelim:

IPSEC VPN yapmak pfsense tarafında çok kolay. 2 pfsense tarafında VPN->IPSec->Tunnels kısmında öncelikli tunnel oluşturmanız gerekmektedir.

Daha sonrasında P1 leri ayarlamanız gerekmektedir:

Status->IPSec->Overview kısmından Connect dediğiniz şu şekilde olması lazım

Aynı configleri karşılıklı olarak yapılması gerek. Bir yerdeki local subnet diğer tarafta remote subnet olmalı.

Daha sonrasında Firewall rules sekmesinden IPSec interfacesinde gerekli kuralları yazabilirsiniz.

2. sorun olarak:

AD userlarına kullanıcı bazlı firewall kuralı yazacaksınız bunu pfsense yapmıyor. Squidproxy kurup AD gruplarına proxy izinleri yazabilirsiniz.

Eğer OpenVPN gibi sistemlerde AD authentication istiyorsanız onu paylaşabilirim.

Kadir bey detaylı anlatım için teşekkür ederim. Söylediğiniz gibi herşey aslında o kadar kolay ki insan kendini camdan atası geliyor.

Yukarıda yapılan konfigürasyonların tamamını detaylı olarak izlediğim bir çok video sonrasında yine defalarca yaptım. Ipsec P1-P2 ayarları, fırewall ruleları vs yaptım. Şimdi pfsense leri yeniden kurup denemeyi düşünyorum.

IPsec tunnelleri aşağıdaki gibi

Bağlantı sonucu aldığım sonuç

Ve son olarak log durumu

Umarım bildiğiniz bir durumdur. Yoksa pencere yan tarafta 🙂

Bu arada AD authentıcatıon ile de bilgi verirseniz sevinirim.

Acaba Router ile ilgili mi bir sorun var. Server datacenter üzerine kurdum. İki adet virtual ethernet kartı var. Ve her iki taraf için  gateway olarak kullanıyorum.

Sorunuza oldukça detaylı cevap verilmiş her zaman bulamayabilirsiniz bunu.:) Ben ise yeri geldiği üzere buradan geçen ki ilk konunuza atıf yapacağım Hakan abinin dediği gibi ve yazdıklarınız üzerinden bu deneyim düzeyi ile kerio dan pf'e uzun bir süre deneyim kazanmadan kesinlikle yapıyı taşımayın çok çok zorlanırsınız. Hakeza firewall deneyiminiz az ise şuan olduğu gibi kavramlar ve uygulamada pf sizi çok zorlar, aslında base bilgisi oldukça yaygındır ama detaylar ve uygulaması sıkıntılı ve daha önemlisi alışkanlıkları farklı olan bir canlı kurum yapısı için canlı support olmaması büyük handikap olur. Kerio da güçlü değil ama pf ile denk değil kesinlikle.
Ben de bazı yerlerde tercih ediyor, kullanıyorum ama çözüm noktası forumlar olan bir çözüm küçük kobi katlanır belki ama diğerleri için doğru değildir. 
Düşük maliyetli bir çözüm yada illa pf olsun isteniyorsa mutlaka coslat ile görüşün support alabilmiş olacaksınız ve sizin düzeyinizde uygulaması zorlayacak bir çok aksiyon arayüzde basitleştirilmiş durumda.
O konuyada yazacaktım bence öncelikle ürünler arasında option, yeterlilik, hedefler listesi yapıp yönetime sunun. 6 ay sonra aa bunu yapamıyor muyuz durumunda kalmayın. 
https://www.saashub.com/compare-pfsense-vs-kerio-control
Kendinize bundan çok daha detaylı tablolar yapabilirsiniz.

https://forum.netgate.com/topic/140906/pfsense-replacing-kerio
https://www.reddit.com/r/PFSENSE/comments/7io87g/pfsense_kerio_control_ipsec/
Göreceğin üzere global de yanıt seviyesi de budur. 🙂

Kadir hocam fazlasıyla detaylı cevabı vermişti araştırman için squid, captive portal kelimelerini kullanabilirsin. Ben kerio bilmiyorum (bu firmanın ürünleri kendi varlığı, desteğinden ne yazık ki daha iyi bence:) ) ama şunu baştan bilmelisin piyasada yaygın çözümlere göre AD user auth, filtering yöntemlerine pfsense base haliyle hiçbir zaman ulaşamayacaksınız planlamalarınız da IP temel faktör olacak. Yine de kurum bu işe para ödemek istemiyorsa beklentilerini düşürüp sağlam donanımlar üzerine kurularak gönül rahatlığıyla kullanabilir tabi ki.

Bu arada aksiyonların neden olmadığını anlamaya çalışıyorsun.
https://docs.netgate.com/pfsense/en/latest/monitoring/logs/firewall.html

pf'in log tarafına çalışmalısın her aksiyonla ilgili log var ancak bu şekilde çözüme kavuşturabilirsin.

@cimmerian hocam wan ların private ip de,

firewall önünde modem vs. varsa o modemlerden portları senin natlaman gerekiyor. Eğer router varsa önde public ip onda varsa oradan da nat yapman gerekiyor.

İbrahim bey detaylı yorumlariniz için teşekkür ederim. Logları okumaya yeni başladım sadece pfsense değil başka konularda da. Özellikle durumu açıklığa kavuşturmak için çok faydalı. Zamanla oturacak diye düşünüyorum. Yaptığım konfigurasyonlardaki hatayı şimdi farkettim. 

Router yerine kurduğum datacenter edition in Kadir hocamın da dediği gibi natlarini yapmamış olmam sanırım. Bugün first level supporttan vaktim olmadı. Ama yarın yaparım umarım.  

Kadir bey olayı nat olayını daha önce düşünmüştüm ama düşüncede kalmıştı. Asıl ufkunu açan public ip olayı. Hiç aklıma gelmemişti. En kısa zamanda yapacağım. Çok  teşekkür  ederim. 

Bu arada datacenter i kaldırdım. Yerine pfsense kurdum. Ileri değiştirip yeniden deneyeceğim. 

Çözümpark ailesi iyiki var. İşinin uzmanlarından bu kadar hızlı ve tam yerine oturan cevaplar almak  harika. Bence Türkiye için büyük bir şans. 

İyiki varsınız. ?️ 

Sorunuza çözüm bulmak bizi de mutlu etti. Konuyu çözüldü olarak işaretliyorum.

Evet çözüldü. Tekrar yorumlar için teşekkür ederim. 

Kadir bey OpenVPN - AD authentication paylasiminizi bekliyorum.

Yukarıdaki ayarlar firewall a AD ile bağlanmak için yapılır. 

Devamında firewall da yetkili olacak AD grubunu oluşturmanız lazım AD bilgilerinde verdiğiniz. Bu gruba da sayfa yetkilendirmesi yapmanız gerekiyor.

OpenVPN i AD ile entegre etmek için AD sunucusu üzerine NPS kurmanız ve radius ayarlarını yapmanız gerekmektedir.

Bundan daha sonrasında detaylı nasıl yapıldığının bilgisini veremiyorum o taraf danışmanlığa girer. Buradan elinizde olması gereken her şeyi size sağladım. Biraz araştırarak sonuçlandırabilirsiniz.

Kadir bey verdiğiniz bilgiler benim için oldukça yeterli çok teşekkür ederim. Tabiki araştırma yapacağım. Bilişim alanında araştırma olmadan gelişme olmuyor  özellikle benim gibi bir yeni yetme için. ? 

Tekrar merhabalar sorunu çözdüm ama farklı bir konfıgürasyon ile.

Routeri Pfsense VM olarak public IP ile kurdum.

NAT pfsense otomatik yapti.

Konfigürasyonlar tamam ama routera ping atilamiyordu.

En Son router WAN LAN ve OPT larina birer Firewall kurali yazdim ve baglanti kuruldu.

Tekrar yorumlari ile yardimci olanlara tesekkür ederim.

Unutmadan bir de iki adet statik route ekledim karsilikli olarak.

Karsi tarafin WAN ve LAN networklerine.