VPN İçinde Domain Çözümleme

Arkadaşlar herkese iyi akşamlar.

Kurumumuzda noktadan noktaya 16 farklı lokasyonda özel bir ağ var. Sağlık Bilgi Ağı. Lokasyonlar önceden merkeze metro ile geliyordu biz bunu vpn içine alınca herkes merkezden tek metro ile internet çıkışı sağladı. Sistem içindeki sunucularımız ise vpn içinde bir ip bloğunda bulunuyor. Şimdi sorunumuz şu. Eskiden X Kurumu portal.xxx.gov.tr adresini yazdığı zaman bu sub domain merkez public ip ye yönleniyordu. Bizde güvenlik duvarından sorce'a göre içeride portal.xxx.gov.tr ye gelen çağrıyı 10.11.250.103:8000 portuna yönlendiriyorduk. Başka bir lokasyon için ise 10.11.250.103:7001 'e yönlendiriyorduk.

VPN'e geçince bu dns çözümlenememeye başladı. Daha doğrusu biz SBA içinde her hangi bir kişi bu sunucuya erişmek için dışarı çıkmadan erişsin istiyoruz. tabi ip ve port ezberlemek çok zor olacak herkese anlatmakta sorun olacak. VPN içinde bu dns çözmlemesini nasıl yapabiliriz.

Kısaca:

Ben A noktasından portal.xxx.gov.tr yazdığım zaman 10.11.250.103:8000 portuna

Ben C noktasından portal.xxx.gov.tr yazdığım zaman 10.11.250.103:8010 portuna yönlendirmek istiyorum.

Selamlar ;

Merkezde  ve  şubelerde  dns  sunucu kullanıyor musunuz ? Kullanıyor iseniz  dns  sunucu  üzerinde portal.xxx.gov.tr  olarak  kayıt  açıp ip adresi  olarak da 10.11.250.103 olarak  belirtmeniz gerekmektedir.

Bütün lokasyonlarda dns sunucu var. dediğinizi yaptım fakat browser üzerinde başarılı olamadım. belkide yanlış yapmış olabilirim tekrar deniyorum hemen. Söz konusu sunucular web tamanlı bir yazılım çalışıyor. Browser aracılğı ile kullanılıyor.

Selamlar ;

Uzak lokasyonlarınızdan ping portal.xxx.gov.tr dediğiniz  zaman hangi  ip  adresine  ping  atıyorsunuz ?

Hocam domain yapımız saglik.lokal adında. Bende dns kaydı olarak saglik.lokal içine bir tane ana makina oluşturdum. ve ip sini sunucu ip si yaptım. ping portal.saglik.lokal dediğim zaman ana makinaya atadığım ip yi pingliyor. buraya kadar sorun yok. fw tarafında nat oluşturdum ama burada işlem çalışmıyor. ne yaptımsa olmadı. nat yapmıyor. bu yeterli oluyor mu yoksa dns tarafında başka bişeyler yapmam gerekiyor mu? eğer dns tarafında yaptığım işlemler doğru ise artık fw tarafındaki sorunlar neler onları araştıracağım

Hocam domain yapımız saglik.lokal adında. Bende dns kaydı olarak saglik.lokal içine bir tane ana makina oluşturdum. ve ip sini sunucu ip si yaptım. ping portal.saglik.lokal dediğim zaman ana makinaya atadığım ip yi pingliyor. buraya kadar sorun yok. fw tarafında nat oluşturdum ama burada işlem çalışmıyor. ne yaptımsa olmadı. nat yapmıyor. bu yeterli oluyor mu yoksa dns tarafında başka bişeyler yapmam gerekiyor mu? eğer dns tarafında yaptığım işlemler doğru ise artık fw tarafındaki sorunlar neler onları araştıracağım

Selamlar ;

Uzak  noktalarınız  ile  site-to-site  vpn  networkunuz  var  ise fw  uzerinde  nat  yapmanıza  gerek  yok. Uzak noktadaki  pc  lerden  ping www.saglik.local  e  ping  attıgınız  zaman  hangi  ip  adresine  çözümleme  yapıyor ve  ping  paketlerı  sunucuzuna  kadar  ulasıyor  mu  bu  arada  uzak  lokasyondakı  clientlarınızın  da  saglık.local  domaininde  oldugunu  varsayıyorum.

aynen öyle herkes saglik.lokal ağında. ben xxx.saglik.lokal diye bir dns ana makina yaptım. ping atıyorum istediğim ip yi pingliyor ancak 10.33.23.102:8000 portuna yönlendiremiyorum. eğer dediğiniz gibi bunu fw içinden yapmayacaksak bu iş nasıl olacak. dns server içinde tcp tanımlamak mı gerekiyor anlamadım ki. zaten defalarca kere fw ile denedim hiçbirisi olmadı.

Arkadaşlar yapmak istediğimi şöyle özetleyeyim. Sağlık özel ağı içindeyim.

Toplama Merkezindeki 1. sunucu ipsi: 10.10.250.103

Toplama Merkezindeki 2. sunucu ipsi: 10.10.250.104

1.Lokasyondaki ip adresim: 10.10.36.3

2.Lokasyondaki ip adresim: 10.10.38.3

Şimde ben bunların her birinden diğerine RDP bağlantısı yapabiliyorum. Sorun yok. 10.10.250.103:8000 yaptığımda da sunucuya erişiyorum. Bundada sorun yok. 

1. 1. Lokasyon dan gelen talebin 10.10.250.103:8000 portuna
2. 2. Lokasyon dan gelen talebin 10.10.250.103:9000 portuna 
3. 1. Lokasyon dan gelen talebin 10.10.250.104:7002 portuna
4. 2. Lokasyon dan gelen talebin 10.10.250.104:5002 portuna

yönlenmesini istiyorum. Şuana kadar fw tarafından yazdığım nat lar hiçbir işe yaramadılar. saglik.lokal ağı altında 2 tane ana makina oluşturup birine 10.10.250.103 diğerine 10.10.250.104 ipsini verdim. Ping portal.saglik.lokal dediğim zaman 103 ipsini portal2.saglik.lokal dediğim zaman ise 104 ipsini pingliyor. Burdada sorun yok. Bunları ilgili portlara nasıl forward edeceğim?

Selamlar ;

Firewall  olarak  hangı urunu  kullanıyorsunuz  ve  nasıl bır  nat  tanımlaması  yaptınız   wan dan lan a  dogru bır  tanımlama  yaptıysanız calısmaması normal paketler  size  ipsec  tunel uzerinden  gelıyor  sube clentında  tracert -d 10.10.250.103 ve 104  yaparak  izledıgı yolu gonderır mısınız ?

tracert -d 10.10.250.103 dediğim zaman;

1 <1 ms  <1 ms 1 ms 195...15    (public ip)

1 <1 ms  <1 ms 1 ms 10.10.250.103   (dmz)

olarak gidiyor. Checkpoint kullanıyoruz. Wan dan lan'a ve Wan dan dmz te forwardlar var. çünkü aynı sistemin bazı bileşenlerine insanlar dışarıdan erişim sağlamaktalar. Paketler güvenlik duvarına hiç girmiyor. ancak girmemesine rağmen portal.saglik.lokal:8000 dediğim zaman istediğim sunucuya erişim sağlıyor. dns sunucu içinden tcp forward yapılabilir mi?

Arkadaşlar bu konuda fikir beyan edebilecek birisi yok mu?

tracert -d 10.10.250.103 dediğim zaman;

1 <1 ms  <1 ms 1 ms 195...15    (public ip)

1 <1 ms  <1 ms 1 ms 10.10.250.103   (dmz)

 

olarak gidiyor. Checkpoint kullanıyoruz. Wan dan lan'a ve Wan dan dmz te forwardlar var. çünkü aynı sistemin bazı bileşenlerine insanlar dışarıdan erişim sağlamaktalar. Paketler güvenlik duvarına hiç girmiyor. ancak girmemesine rağmen portal.saglik.lokal:8000 dediğim zaman istediğim sunucuya erişim sağlıyor. dns sunucu içinden tcp forward yapılabilir mi?

 

Selamlar ;

Subeleriniz  ile  aranızdaki vpn trafiğinin  geçtıgı firewall  uzerinde  nat  uygulamaları  ile  bu sorunu  aşabilirsiniz ama  bıraz  detaylı bır  natlama  olacaktır firewall ın yeteneklerı  de  on  plana  cıkar   ki  bu  natlama  işlemının  calısması  ıcın merkez  ve  subeler  uzerınde  route  based  ipsec  vpn  kullanıyo  olmanız  gerekır  dıye  dusunuyorum  ama en  kolayı  ve  temızı  lokasyondakıler  sısteme  neden   http://ip :port   yazarak  baglandırtmıyorsunuz ?

Lokasyonlarda bulunan toplam kullanıcı sayım 7600 kişi. Hangi birisine port izah edelim :)) Kurumda check point kullanıyoruz neyse ki sounu çözdük. portal.saglik.lokal dediğimde dns sunucusu ip çözümlüyordu ancak paketler firewall üzerine gelmiyordu. Telekom çözüm ortağı firma ile yaptığmız görüşmeler neticesinde router yapılandırmasındaki sorunu hallettiler ve bizim sorun çözüldü.

Şimdi: 

A Lokasyonundan portal.saglik.lokal yazıldığı zaman firewall üzerinden 8000 portuna Nat yaptım.

B Lokasyonundan portal.saglik.lokal yazıldığı zaman firewall üzerinden 7200 portuna Nat yaptım.

Hepsi için 80 portundan bu ip için gelen talepleri ilgil portlara yönlendirdim. Sorun çözüldü.

Hekese ilgisi için teşekkür ederim.