Microsoft Ürün AilesiNetwork

Microsoft Always on VPN Client Deployment – Part 4

Microsoft Always on VPN ile ilgili sunucularımızın kurulum ve konfigürasyonlarını tamamlamıştık. Bu kurulum ve konfigürasyonlar sonrasında istemcilerimiz üzerinde öncelikle Always on VPN için profilimizi oluşturacağız. Oluşturduğumuz Always on VPN ile bağlantılarımızı başarılı bir şekilde  sağladıktan sonra VPN profilimizin konfigürasyonlarını dışarıya alabiliriz. Almış olduğumu Always on VPN profile konfigürasyonumuzu ister Microsoft Endpoint Configuration Manager (SCCM)  ya da Intune ile istemcilerimiz için dağıtımları gerçekleştirebiliriz.

Bunun için istemci makinası üzerinde konfigürasyonlarımıza başlıyoruz.

İstemci makinamız üzerinde öncelikle başlat menüsüne geçiyoruz ve VPN Settings başlığına gidiyoruz.

Açılan penceremiz üzerinde ekran görüntüsünde de görüldüğü gibi Add a VPN Connection seçimini yapıyoruz.

VPN profilimiz için isimlendirmemizi yapıyoruz ardından VPN sunucumuzun FQDN bilgisi ve VPN tipimizi belirliyoruz. İstemci bağlantılarımız için sertifika kullanacağımızı tanımlıyor ve kaydediyoruz.

Eklemiş olduğumuz Always on VPN profilimiz için diğer ayarlarımızı gerçekleştireceğiz. Bunun için Change adapter option seçimini yapıyoruz ve diğer ihtiyaç duyduğumuz konfigürasyonlarımızı gerçekleştireceğiz.

Oluşturmuş olduğumuz VPN bağlantısı için oluşan AlwaysonVPN isimli arayüzümüz üzerinde sağ klik yapıyoruz ve ardından properties seçimini yapıyoruz.

Gelen ekranımızda güvenlik tabına geçtikten sonra Authentication altında Microsoft : Protected EAP seçimini yapıyoruz.

Protection EAP authentication modelinin seçimini yaptıktan sonra bizim için en kritik ve en hassas olan kısım ilgili sertifikalarımızın ve Network Policy (NPS) sunucumuzu tanımlayacağımız alanımıza geçiyoruz.

Bu ekranımız bizler için son derece önemli. İlk seçeneğimiz sertifika kullanarak sunucumuzun doğrulamasını tanımladığımız alanımız. Burada yer alan “verify the server’s…” onayımızı kaldırırsak güvenlik tarafında ciddi zafiyet oluşturabileceğinden bizler sertifikanın doğrulanmasını istiyoruz.

Bunun bizler için önemi ise son derece büyük bunu açıklayacak olursak aslında bizler VPN sunucusuna erişiyoruz ve erişimlerimizi yaptıktan sonra arka uç tarafta bulunan NPS sunucumuz üzerine kimlik doğrulaması için gönderiyoruz. Dolayısı ile burada doğrulama yapacağımız ekstra güvenlik katmanı kullanmamız son derece önem arz ediyor.

Bir başka alanımız ise NPS sunucumuzu tanımladığımız alanımız. NPS sunucumuzu tanımlarken IP adresi de kullanabilirdik fakat burada bundan da kaçınıyoruz. Bunun nedeni ise gerçekten bizim sunucumuza ulaştığından emin olmak istediğimiz için bu kontrollerimizi ve doğrulamamızı yaparken NPS FQDN ismini kullanıyoruz. NPS sunucumuza da hangi CA Authority sunucumuzun sertifika verdiğini de belirtmek için bizlerin iç ağımızda yer alan ilgili Certificate Authority sunucumuzun root sertifikasının tanımını da bu kısımda belirtiyoruz.

Notification kısmında kullanıcıya hiçbir şekilde bir bildirim yapmak istemiyoruz. Burada eğer güvensiz bir sertifika var ise kullanıcımız bununla ilgili herhangi bir şekilde bilgi sahibi olmayabilir ve kullanıcıya bıraktığımız seçimler de bizler için güvenlik zafiyeti oluşturabilir. Bu sebeple Don’t ask user to… seçimini yaparak devam ediyoruz.

Ardından yetkilendirme için kullanıcı adı ve şifre yerine seritifika istiyoruz ve Enable Fast reconnect seçimini yapıyoruz. Bu seçim ise kullanıcılarımızın mevcut bağlı oldukları ağdan başka bir ağa ya da Wifi alanında bir başka bir Wifi alanına geçtiğinde otomatik olarak bağlanmasını destekler. Bizler yine güvenlik gerekçesi nedeniyle TLV doğrulaması yapmasını eğer bu doğrulamayı yapamaz ise bağlantıyı kapatmasını istiyoruz. Bu ekranımızda yer alan konfigürasyonlarımızı tamamladıktan sonra yetkilendirme kısmının yanında bulunan “Configure…” seçimini yapıyoruz ve ek ayarlarımızı yapmaya devam ediyoruz.

Bu adımımızda bir önce yapmış olduğumuz konfigürasyonlara çok benzemekte. Burada da yine güvenlik bizler için ön planda çünkü artık kimlik bilgilerini değiştiriyoruz ve arka sunucumuza gönderiyoruz. O sebeple yeniden arka tarafta kimlik bilgilerini değiştireceğimiz NPS sunucumuz için FQDN , Kök sertifikamızı ve kullanıcımıza hiçbir seçenek bırakmamayı tercih ediyoruz. Yine ekran görüntüsünde de görülen Advanced seçimini yapıyoruz.

Advance seçimini yaptığımız da yine kök sertifikasını bununla birlikte Extended Key Usage (EKU) olarak sadece Client authentication aramasını istediğim için ilgili seçimleri ekran görüntüsünde de görüldüğü gibi tanımlıyor ve onaylıyoruz.

Networking tabına geçtiğimiz de IPv4 seçimini yaparak özelliklerine giriyoruz.

Default olarak force tunneling aktifti. Bunu split trafik olarak yapılandırmak istediğimiz için Use default gateway on remote network seçimini kaldırıyoruz. Disable class based route addition seçimini seçmemizin nedeni ise kendisi karar vermesin diyoruz. Burada route tablosunu kendimiz ekleyeceğiz.

DNS tabına geldiğimizde ise suffix olarak bizim domain adımızı tanımlıyoruz ve bütün konfigürasyonlarımızı böylelikle tamamlamış oluyoruz.

Bütün tanımlarımız tamamlandıktan sonra sıra Route ve IPSec tanımlarımızı yapmaya geçiyoruz. Bu tanımlamaları yapabilmek için client üzerinde powershell komut satırımıza geçiyoruz.

Add-VpnConnectionRoute -ConnectionName ‘AlwaysonVPN’ -DestinationPrefix 10.0.2.0/24

(local network tanımını yapıyoruz.)

Arka network tarafında erişim yapacağımız ne kadar networkümüz var ise bu tanımlamaların hepsini burada tanımlamamız gerekmekte.

İlgili trafik yönlendirmelerimizi yaptıktan sonra şimdi ise IPSec politikalarımızı tanımlayacağız.

Set-VpnConnectionIPsecConfiguration -ConnectionName ‘TESTAOVPN’ -AuthenticationTransformConstants GCMAES128 -CipherTransformConstants GCMAES128 -DHGroup Group14 -EncryptionMethod GCMAES128 -IntegrityCheckMethod SHA256 -PfsGroup ECP256 -Force

Burada yer alan konfigürasyonlarımız bizlerin VPN sunucumuz üzerinde yer alan yapılandırmamızla aynı olmalıdır. VPN sunucumuz üzerine mevcut ayarlarımızı doğrulayarak burada yer alan konfigürasyonu da aynı şekilde yapacağız. Eğer itemci tarafında yer alan konfigürasyonumuz ve RAS sunucumuz üzerinde yapılandırmamız farklı olur ise IPSec politakımızın eşit olmadığını ve bundan dolayı bağlantıyı kuramayız.

Artık istemci üzerinde bütün konfigürasyonlarımızı yaptıktan sonra VPN bağlantımız hazır durumda. Oluşturmuş olduğumuz Always on VPN profilimiz üzerinde Connect seçimini yaptıktan sonra ekran görüntüsünde de görüldüğü gibi bağlantımız kurulmuştur.

Always on VPN istemci üzerinde yapmış olduğumuz konfigürasyonumuz export edildikten sonra makalemizin başında da belirttiğimiz gibi ister Endpoint Configuration Manager (SCCM) ya da Intune ile dağıtımlarını gerçekleştirebiliriz.

İlgili Makaleler

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu