Draytek Vigor Router cihazları PPTP/SSL Remote Dial-In VPN bağlantılarındaki kullanıcı isimleri ve şifre bilgilerini kendi veritabanında tutabildiği gibi eş zamanlı olarak RADIUS/LDAP/AD/ TACACS+ sunucularından da sorgulayabilmektedir. Bu sayede VPN bağlantısı yapacak kullanıcılarınız için cihazlar üzerinde başka kullanıcı hesapları oluşturmanıza gerek kalmayacak, RADIUS/ LDAP/ AD/ TACACS+ entegrasyonu sayesinde kullanıcıların tek hesap bilgisi ile hem VPN bağlantısı yapabilmesi, hem de şirket kaynaklarına erişimini sağlamış olacaksınız.
Bu makalede Draytek Vigor 2860 cihazını ortamımızda bulunan Microsoft Active Directory ile entegre ederek istediğimiz OU altındaki kullanıcıları VPN bağlantısı yapabilme imkanı vereceğiz.
Kısaca yapının çalışmasından bahsedecek olursak,
1- Kullanıcı cihazımızdan gelen PPTP/ SSL Remote Dial-In VPN isteği Draytek Vigor 2860 cihazımızda sonlanacak.
2- Gelen istekteki VPN kullanıcı adı ve şifre bilgileri ortamımızda bulunan Active Directory sunucusuna sorulacak.
3- Bilgiler doğru ise bağlantı sağlanacak ve kullanıcı şirket kaynaklarına erişim sağlayabilecektir.
Öncelikle cihaza web arayüzü üzerinden bağlananınız ve admin bilgileri ile oturum açınız. Varsayılan olarak admin bilgileri; kullanıcı adı admin, şifre admin şeklindedir.
Soldaki menüden VPN and Remote Access sekmesini genişletiniz ve Remote Access Control sekmesine tıklayınız. Açılan pencerede bağlantıya izin vereceğimiz VPN türlerini seçiniz.
Dikkat edilmesi gereken bir nokta, eğer SSL VPN kullanılacaksa cihazın https erişim portu ile SSL VPN erişim portu çakışacağı için https yönetim portu değiştirilmelidir. Bunu değişikliği yapmak için System Maintenance sekmesi altından Management sekmesine geliniz. Management Port Setup altındaki HTTPS portunu 443’den farklı bir port ile değiştiriniz. Bu ayar yapıldıktan sonra cihaza https portu ile bağlanıp yönetmek isterseniz https:\\CihazIpAdresi:verdiğinizport şeklinde bağlanmanız gerekecektir. Yani bizim demo ortamında kullandığımız cihazın https üzerinden erişimi https://172.16.0.1:4143 üzerinden olacaktır.
Bağlantı yapılmasını istediğimiz VPN türlerini seçtikten sonra AD yapılandırmasına geçiniz.
Draytek Vigor 2860 Router Active Directory /LDAP Yapılandırması:
1. Menüden Applications sekmesi altından Active Directory /LDAP sekmesini tıklayınız.
2. Açılan pencerede Enable kutusunu işaretleyiniz. Bind Type olarak Regular Mode seçiniz. Diğer mode ların açıklamaları şöyle;
· Simple Mode: Basit olarak yapılandırılan moddur. Active Directory içinde herhangi bir arama seçeneği kullanılmayacaksa tercih edilir. Genellikle kullanıcı hesapları tek bir OU altında ise kullanılır.
· Anonymous Mode: Önce Anonymous kullanıcı hesabı ile bağlantının deneneceği daha sonra AD sorgusunun yapılacağı durumlarda kullanılıyor. Genellikle Active Directory sunucusunun Anonymous bağlantısını varsayılanda reddettiği durumlarda bu seçenek tercih ediliyor.
· Regular Mode: Anonymous Mode ile benzerdir. Aralarındaki fark ise bu seçenekte ilk olarak Regular DN ve Regular Password alanlarına girdiğiniz bilgiler ile Active Directory’de sorgulama gerçekleştirir. Regular DN ve Regular Password alanları bu seçenekte girilmesi zorunludur. Bu seçenek genellikle kullanıcı hesapları farklı OU’lar altında ise tercih edilir.
3. Destination Port, varsayılan olarak gelen port olan 389 olarak bırakılır. Ortamınızda farklı bir port üzerinden haberleşme sağlıyorsanız buradaki portu değiştirmelisiniz. Port erişiminde sorun yaşarsanız Active Directory sunucusu üzerinde aktif bir firewall uygulaması var ise porta izin verin veya firewall uygulamasını devre dışı bırakınız.
4. Regular DN ve Regular Password alanlarına gireceğimiz bilgiler için Active Directory’de bir kullanıcı açıyoruz. Benim tavsiyem şifresi değişmeyecek ve şifre süresi olmayan admin yetkili bir kullanıcı oluşturmanızdır. Bu kullanıcı Draytek router dan Active Directory’e sorgu yapacağı için şifresi değişirse veya şifre süresi dolarsa sorgu yapamaz ve VPN bağlantıları gerçekleşmez. Bu senaryo için SISTEM OU’su altında vpn kullanıcı adı olan, domain admin yetkilerinde bir kullanıcı oluşturduk. Kullanıcıyı açtıktan sonra kullanıcı bilgilerini öğrenebilmemiz için Active Directory Explorer uygulamasına ihtiyacımız var. Bu uygulama çalıştırılabilir bir uygulama olup DC üzerinde çalıştırmamız gerekmektedir. Uygulamayı https://technet.microsoft.com/en-us/sysinternals/adexplorer.aspx adresinden indirebilirsiniz.
5. Uygulamayı DC üzerinde çalıştırıyoruz. Bağlantı ekranı ile karşılaşacaksınız. Connect to kısmına DC’nizin adının FQDN li halini yazıyoruz. Bu senaryo için pdc.cozumpark.local Username ve Password kısımlarını domainde sorgu yapabilecek bir admin hesap bilgisi ile dolduruyoruz ve OK tuşuna basarak domaine bağlanıyoruz.
6. Bağlantı gerçekleştikten sonra sorgu işlemi için açtığınız kullanıcıyı bulunuz ve kullanıcı üzerine tıklayınız.
7. Sağ pencerede kullanıcı bilgileri çıkacaktır. Bu bilgiler içinden distinguieshedName bilgisine çift tıklayınız ve Values kısmında yazan bilgileri kopyalayınız. Router daki Regular DN kısmına yapıştırınız.
8. Regular Password kısmına sorgu için açtığınız bu kullanıcının şifresini yazınız ve OK tuşuna basınız.
9. Sistem yeniden başlatma isteyecektir. Yeniden başlattıktan sonra işlemlerimize devam edeceğiz.
10. Yeniden başlattıktan sonra Menüden Applications sekmesi altından Active Directory /LDAP sekmesi tıklayınız. Sağda açılan pencerede Active Directory /LDAP Profiles sekmesine geçiniz.
11. Index 1 i tıklayınız.
12. Gelen pencerede Name alanına herhangi bir isim veriniz. Ben hatırlaması kolay olsun diye OU ismini vermeyi tercih ettim. Common Name Identifier alanına uid yazınız.
13. Base Distinguished Name alanının yan tarafında bulunan mercek simgesine tıklayınız ve Active Directory sorgusu ile OU’ların geldiği görünüz. Bu aşamada sorun yaşıyorsanız 5. Aşamadaki işlemlere tekrar dönünüz ve sorgu için gerekli kullanıcı ayarlarını tekrar gözden geçiriniz.
14. Açılan listeden VPN bağlantısına izin vereceğimiz kullanıcıların bulunduğu OU yu seçiniz ve OK tuşuna basınız. Bu senaryo için BT OU’sunu seçtik. Profil oluşturma sayfasına geri dönüldüğünde aşağıdaki gibi bir profiliniz olması gerekiyor. Burada da OK tuşuna basınız ve bir önceki sayfaya geri dönünüz.
15. Ana menüden VPN and Remote Access sekmesi altındaki PPP General Setup sekmesine geçiniz. Açılan pencerede PPP Authentication Methods altından AD/LDAP kutucuğunu ve altında oluşturduğunuz profil/profillerin kutucuklarını işaretleyiniz. Dial-In PPP Authentication seçeneğini PAP Only olarak değiştiriniz.
Not: Burada gördüğünüz Remote Dial-in User seçeneği cihazın kendisi üzerinde açtığınız kullanıcıların olduğu veritabanıdır. VPN ile bağlanan kullanıcıların alacağı IP adreslerinin başlangıç IP adresini Assigned IP Start LAN1 seçeneğine yazabilirsiniz. Burada DHCP dışında bir IP adresinden başlatmada fayda var.
Not : Eğer tüm doğrulama seçenekleri seçilirse (Remote Dial-in User, RADIUS, AD/LDAP, TACACS+) gelen VPN istekleri önce Remote Dial-in User veritabanına yani cihazın kendi veritabanına sorulur, yoksa RADIUS sunucusuna sorulur, yoksa AD/LDAP sunucusuna sorulur, yoksa TACACS+ sunucusuna sorulur.
16. Router ve Active Directory sunucusu tarafındaki ayarlarımız bu kadar. Şimdi bağlantıyı test edelim.
17. Öncelikle Ağ ve Paylaşım Merkezi’ne giriniz. Yeni bağlantı veya ağ kurun seçeneğini tıklayınız. Açılan pencereden Çalışma Alanına Bağlan seçeneği seçip devam ediniz.
18. Gelen pencerede Hayır, Yeni bağlantı oluştur seçeneğini seçip devam ediniz.
19. Açılan pencerede İnternet Bağlantımı (VPN) Kullan seçeneğini seçip devam ediniz.
20. Açılan pencerede İnternet adres kısmına router dış IP adresini giriniz. İsim kısmına hatırlatıcı bir isim veriniz. Bu senaryoda dış IP 10.0.0.2 isim Cozumpark-Draytek olarak yapılandırıldı.
21. Bağlantı yapmayı deneyerek VPN bağlantısını oluşturunuz. Başarısız olursa yine de bağlantıyı oluşturma seçeneği ile devam ediniz.
22. Ağ ve Paylaşım Merkezi’nden Bağdaştırıcı Ayarlarını Değiştirin seçeneğini seçiniz ve oluşturduğunuz VPN bağlantısına sağ tıklayıp özellikler seçeneğine tıklayınız.
23. Açılan pencereden Güvenlik sekmesine tıklayınız ve ayarları aşağıdaki gibi yapılandırınız ve Tamam tuşuna basınız.
24. VPN Güvenlik sekmesi ayarlarını yaptıktan sonra bağlantıyı gerçekleştirebiliriz. Öncelikle masaüstü sağ alt köşedeki Ağ Bağlantısı simgesine tıklayınız ve açılan listeden oluşturduğunuz VPN bağlantısını tıklayarak Bağlan seçeneğini seçiniz.
25. Kullanıcı adı, şifre isteyen bir ekran ile karşılaşacaksınız. Bu ekranda VPN ile bağlanmaya çalışacağımız kullanıcı, router da AD profili oluştururken seçtiğimiz OU altında olmalıdır. Bu senaryoda BT OU’su altındaki bt1 kullanıcısı ile VPN yapmayı deneyeceğiz. Active Directory’de tanımladığımız bt1 kullanıcısına ait hesap bilgilerini girip Bağlan tuşuna tıklıyoruz.
26. Kullanıcı adı ve şifre doğrulanıyor.
27. Bağlantı kuruldu.
28. Şimdi kurulan bağlantının çalışıp çalışmadığını test edelim. Komut satırını açalım ve Active Directory sunucusunun iç IP adresine ping atalım.
29. Görüldüğü üzere VPN bağlantısı kuruldu ve şirket içindeki kaynaklara erişebiliyoruz.
Başka bir makalede görüşmek üzere.