Forum

Site to site vpn
 
Bildirimler
Hepsini Temizle

Site to site vpn

12 Yazılar
3 Üyeler
0 Reactions
867 Görüntüleme
(@ercankeskin)
Gönderiler: 137
Estimable Member
Konu başlatıcı
 

Merhaba arkadaşlar,

 

2 Fabrikamız var, birinci fabrikanın network adresi 192.168.1.x,  ikincinin ise 192.168.2.x. RRAS'ın çalışma mantığını okuduğum döküman ve videolar ile öğrendim. Küçük çaplı bir uygulama da yaptım.

Yöneticiler tek forest, tek domain olması taraftarı. Yani 1 nci fabrikada x.com olan  domain'i addinational olarak diğer tarafa da kurmamı istiyorlar.

Birinci sorum,  dns servisi henüz kurulu değil iken addinational'a x.com isimli domain adresini çözümlemesini nasıl sağlayacağım.

Çözümledikden sonra lan kartının ayarlarında dns adresini 127.0.0.1'e çevirmem gerekecekmi. 

Normalde dns server'ın ayarlarına forwarder'a bildiğim telekom ve opendns adreslerini yazıyordum. Fakat addinational olduğu zaman iki tarafında dns server ayarları aynı oluyor. Karşılıklı ip adreslerini çözümlemesi için yapmam gereken ayar varmı? Yoksa otomatik algılarmı?

 

Son olarak da, vpn, l2tp, site to site ve adserver'ların birbiri ile iletişim kurması için gerekli olan tcp ve udp portları nelerdir. Extra olarak açmamda fayda olan port varmı?

Teşekkürler. iyi çalışmalar.

 
Gönderildi : 08/12/2011 18:58

(@kamerkoseoglu)
Gönderiler: 199
Estimable Member
 

Merhaba,

Fabrikalar arası VPN bağlantısı tamam diye varsayıyorum. 2 sunucu bir birini ping atıyor problem yoksa, AD kuracagın sunucu üzerine DNS server rolunu kur ve domain adı ile bir zone oluştur "domain.local" DC nin adı ile bir A kaydı oluştur DCPROMO ile kuruluma başla gerisi gelecektir, kurulum bitiminde DNS sunucunu Active Directory Intengrated Zone olarak çevirirsin.

DNS ayarlarına gelince kurulum bittikten sonra veya önce Microsft Best Practice

DC sunucu 1. DNS AD 2. DNS 127.0.0.1

AD sunucu 1. DNS DC 2. DNS 127.0.0.1

Genelde VPN bağlantılarında güvenlik için sadece gerekli portların açılması önerilir fakat ben all to all yapıyorum.

 
Gönderildi : 08/12/2011 19:20

(@ercankeskin)
Gönderiler: 137
Estimable Member
Konu başlatıcı
 

Gerekli olan portlar nelerdir?

 
Gönderildi : 08/12/2011 19:38

(@kamerkoseoglu)
Gönderiler: 199
Estimable Member
 

Merhaba,

Yazmayı unutmuşum kusura bakmayın. aşağıdaki linkte detaylı inceleye bilirsiniz

http://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx

 

 

 
Gönderildi : 08/12/2011 19:46

(@ercankeskin)
Gönderiler: 137
Estimable Member
Konu başlatıcı
 

Merhaba,

Yazmayı unutmuşum kusura bakmayın. aşağıdaki linkte detaylı inceleye bilirsiniz

http://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx

 

 

 

Bu kadar çok port'a gerek varmı hocam :S Portları windows firewall değil, donanımsal olarak açacağım. Tunelleme site to site vpn yaptığımızda windows firewall kapalı ise iki tarafında bütün portları açılmıyormu?

Windows firewallarım kapalı, sadece donanımsal olarak nat'lamam ve  donanımsal firewalldan açmam gereken portlara ihtiyacım var.

 
Gönderildi : 08/12/2011 19:56

(@kamerkoseoglu)
Gönderiler: 199
Estimable Member
 

Merhaba,

🙂 domain kuracaksan firewall açıksa o portlar windows firewall üzerinde otomatik açılır. Arada vpn olacağı için nat yapmana gerek yok. VPN üzerinde kısıtlama yapacaksan sadece şunları ekleyin yeterli olacaktır.

Service Name UDP TCP

LDAP              389  389

LDAP                     636

LDAP                     3268

Kerboros         88    88

DNS                53    53

smb over IP     445   445

 
Gönderildi : 08/12/2011 19:57

(@ercankeskin)
Gönderiler: 137
Estimable Member
Konu başlatıcı
 

Merhaba,

🙂 domain kuracaksan firewall açıksa o portlar windows firewall üzerinde otomatik açılır. Arada vpn olacağı için nat yapmana gerek yok. VPN üzerinde kısıtlama yapacaksan sadece şunları ekleyin yeterli olacaktır.

Service Name UDP TCP

LDAP              389  389

LDAP                     636

LDAP                     3268

Kerboros         88    88

DNS                53    53

smb over IP     445   445

 

Teşekkürler

 
Gönderildi : 08/12/2011 20:16

(@ercankeskin)
Gönderiler: 137
Estimable Member
Konu başlatıcı
 

Tekrar merhaba arkadaşlar,

Site to site vpn kurulumunda herhangibir sıkıntım yok, iki lokasyonda birbirine ping atabiliyor.

Fakat, ikinci lokasyona kuracağım addinational dc'yi kurarken, dcpromo'yu çalıştırdığımda domain adımı çözümlemiyor, atladığım bir püf noktamı var, yoksa radius kurmak gerekiyormu?

iki server'da 2008 r2, biri standart diğeri enterprise...

 
Gönderildi : 13/12/2011 19:29

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Tekrar merhaba arkadaşlar,

Site to site vpn kurulumunda herhangibir sıkıntım yok, iki lokasyonda birbirine ping atabiliyor.

Fakat, ikinci lokasyona kuracağım addinational dc'yi kurarken, dcpromo'yu çalıştırdığımda domain adımı çözümlemiyor, atladığım bir püf noktamı var, yoksa radius kurmak gerekiyormu?

iki server'da 2008 r2, biri standart diğeri enterprise...

 

 

netbios-ns    137/tcp                # NETBIOS Name Service
netbios-ns    137/udp
netbios-dgm    138/tcp                # NETBIOS Datagram Service
netbios-dgm    138/udp
netbios-ssn    139/tcp                # NETBIOS session service
netbios-ssn    139/udp
 

 
Gönderildi : 13/12/2011 20:16

(@ercankeskin)
Gönderiler: 137
Estimable Member
Konu başlatıcı
 

Tekrar merhaba arkadaşlar,

Site to site vpn kurulumunda herhangibir sıkıntım yok, iki lokasyonda birbirine ping atabiliyor.

Fakat, ikinci lokasyona kuracağım addinational dc'yi kurarken, dcpromo'yu çalıştırdığımda domain adımı çözümlemiyor, atladığım bir püf noktamı var, yoksa radius kurmak gerekiyormu?

iki server'da 2008 r2, biri standart diğeri enterprise...

 Ertan hocam,

 

O zaman dc servislerinin de portlarını açmak gerekecek. Yanlışmı düşünüyorum?

 

netbios-ns    137/tcp                # NETBIOS Name Service
netbios-ns    137/udp
netbios-dgm    138/tcp                # NETBIOS Datagram Service
netbios-dgm    138/udp
netbios-ssn    139/tcp                # NETBIOS session service
netbios-ssn    139/udp
 

 
Gönderildi : 13/12/2011 20:57

(@kamerkoseoglu)
Gönderiler: 199
Estimable Member
 

Tekrar merhaba arkadaşlar,

Site to site vpn kurulumunda herhangibir sıkıntım yok, iki lokasyonda birbirine ping atabiliyor.

Fakat, ikinci lokasyona kuracağım addinational dc'yi kurarken, dcpromo'yu çalıştırdığımda domain adımı çözümlemiyor, atladığım bir püf noktamı var, yoksa radius kurmak gerekiyormu?

iki server'da 2008 r2, biri standart diğeri enterprise...

DCPROMO öncesi AD üzerine gecici DNS kurulumu yaparsan problemin kalmaz ilk konuda bahsetmişti sonrasında zaten Integrated olarak cevirirsin.

 
Gönderildi : 14/12/2011 17:04

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Tekrar merhaba arkadaşlar,

Site to site vpn kurulumunda herhangibir sıkıntım yok, iki lokasyonda birbirine ping atabiliyor.

Fakat, ikinci lokasyona kuracağım addinational dc'yi kurarken, dcpromo'yu çalıştırdığımda domain adımı çözümlemiyor, atladığım bir püf noktamı var, yoksa radius kurmak gerekiyormu?

iki server'da 2008 r2, biri standart diğeri enterprise...

 

Hocam şu mail ile haber verilme sistemi kaldırıldığı için bazen konuları geç görüyoruz. Aslında VPN yaptığınızda herhangi bir firewall sistemi uygulanmıyor ise direk ulaşabilmen lazım. Mesala DrayTek cihazları site to side VPN lerde IPSEC profili içinde netbui isimlerini kesiyor bu nedenle bunları devre dışı bırak madan DNS bağlantıları sorun yaratır. Aynı şey yapınızda ki cihazlarda da olabilir.

 
Gönderildi : 11/01/2012 00:18

Paylaş: