RAS Connection Manager Administration Kit (CMAK) Kullanarak VPN Client Bağlantı Paketi Oluşturma
Sizlere çoğumuzun karşılaştığı ve genelde çok değerli vaktimizi harcayarak her kullanıcı bilgisayarına ayrı yükleme yaparak çözmeye çalıştığımız aslında kurulumu oldukça basit olan ama son kullanıcılarımıza bir türlü yaptıramadığımız kuruma ve kişiye özel VPN bağlantısı kurulum paketi oluşturma işlemlerini anlatmaya çalışacağım dilim döndüğünce.
Oluşturacağınız VPN bağlantısı kurulum programı ile son kullanıcılarınızın bu işlemleri kolaylıkla yapabilecekleri için iş yükünüz oldukça azalacaktır. Eksik ve yanlış ayarlamalardan dolayı oluşabilecek bağlantı sorunları, VPN bağlantılarının istenildiği gibi çalışmaması gibi bir çok hatanın bu şekilde önüne geçmiş olacaksınız.
Bu makalemizi sizden istenebileceğini düşündüğümüz kurumlara özel bazı isteklerin var olduğunu düşünerek yönlendirecek, VPN kurulum paketlerini bu senaryoya uygun olarak oluşturarak gerçek hayata en yakın kurulumu yapmaya çalışacağız.
Senaryomuzdaki kurumunuz network’ünü içerisinde bir file server’ınız var ve buradaki kaynağa erişimi güvenli bir yoldan yapmak istiyorsunuz. Kurumunuz lokasyonu dışında seyyar olarak çalışan bir çok kullanıcınınız var tüm bu kullanıcılarınızın bilgisayarlarında ayarlanacak bir VPN bağlantısı ayarı ile firma network’üne güvenli bir şekilde bağlanarak bu kaynağa erişmesini gerekiyor.
VPN bağlantısı için özel bir VPN bağlantı ürünü kullanıyorsunuz ve bu cihaz üzerinde VPN kullanıcı hesapları oluşturarak bu kullanıcıları L2TP protokolü ile kurum network’üne eriştirebiliyorsunuz.
VPN ile farklı bir network erişiminde kullanıcıların internet erişimleri her zaman tartışma konusu olmuştur. Bu tip bağlantılarda internet erişimi ile ilgili seçeneklerimiz aşağıdaki gibidir;
– Internet erişimine izin vermeyelim internet kullanmasın VPN bağlantısı sırasında.
– Izin verelim ama internete kendi lokasyonundaki internet erişimi yolunu kullanarak internet’e erişsin.
– Internet kullansın ama bağlandığı lokasyondaki kurumun internet çıkışını kullansın ve buradaki kısıtlamalara göre internet erişimini sağlasın.
Bizim makale senaryomuzda buradaki ikinci seçenek olan VPN bağlantısı yapan kullanıcı interneti de kesintisiz kullanmasını istiyoruz ama internet erişimini bağlantı yaptığı noktadaki internet erişimini kullanarak yapsın istiyoruz. Kurum internet çıkışımızı kullanmasını istemiyoruz.
Gerçek hayatta böyle bir istek durumunda yapılması gerek işlemlere şöyle bir göz atalım;
– Kullanıcının bilgisayarında manuel olarak bir VPN bağlantısı oluşturmalıyız,
– Bu bağlantıyı özelleştirerek L2TP bağlantısı için güvenlik ayarlarını yapmalıyız,
– Kurum internetini kullanmaması için bağlantı ayarları üzerinde Default gateway olarak bu bağlantıyı kullanmasın diye gerekli ayarları yapmalıyız.
– Kurum kaynaklarına sorunsuz erişmesi için VPN bağlantısı sırasında alacağı VPN IP adresi üzerinden kurum network’une doğru bir route(yol) yazmalıyız.
En son seçenek olan kurum ağına yönlendirme işlemi için ise kullanıcın bu bağlantıyı yaptığı sırada almış olduğu IP adresini öğrenmek ve bu IP adresini kullanarak şirket network’ünün IP grubuna doğru yönlenebileceği routing tablosuna bir route satırı eklemek ile mümkün olacaktır. Bu işlem pratikte son kullanıcıya yaptırılamayacak kadar zor bir işlemdir. VPN bağlantısında alınacak IP adresi sabitlenerek bir script yazmak bir yöntemdir ama bu scritp’ide her bağlantı sonrası çalıştırmak ayrı bir iş yükü olacaktır.
Buradaki senaryodaki taleplere kolayca çözüm üretebilmemiz için Microsoft’un RAS Connection Manager Administration Kit (CMAK) bağlantı paketi oluşturma programı imdadımıza yetişiyor.
Bu program aracılığı ile oluşturacağımız VPN bağlantısı kurulum paketleri aracılığı ile son kullanıcının sadece ama sadece iki mouse tıklaması özelliklerini değiştiremeyeceği bizim kurumumuza özel bir VPN bağlantısını bilgisayarında oluşturtabilir ve VPN bağlantısını yaptığı sırada almış olduğu IP adresini kullanarak firma local ağına erişim için gerekli olan yolu routing tablosuna eklenmesini işlemini VPN bağlantısı kurulur kurulmaz otomatik olarak yapılmasını sağlayabiliriz.
Şimdi aşağıdaki istekler doğrultusunda gerekli olan VPN kurulum paketimizi oluşturmaya başlayalım.
– Kullanıcının VPN bağlantısı sırasında internet erişimi kesilmesin.
– Kullanıcı VPN ile bağlandığı noktanın değil bağlantıyı yaptığı lokasyondaki internet erişimini kullanarak internet’e erişsin.
– Kullanıcı VPN bağlantısı için gerekli olan ayarları değiştiremesin.
– Kullanıcı VPN kullanıcı adı ve şifresini saklayamasın her bağlantı sırasında yeniden yazsın bu bilgileri
– VPN bağlantı ekranında destek için bir telefon numarası gözüksün.
– Bağlantı ekranında firmamıza ait logo görünsün.
Biz bu makalemizde VPN bağlantımızı L2TP Protokolunu kullanarak yapacağız. Bağlanılacak noktada bu protokol’e destek veren bir VPN cihazının olduğunu bu cihaz üzerinde bizim adımıza bir VPN kullanıcı adı ve şifresi oluşturulmuş olduğunu varsayacağız.
Bağlantıyı oluşturmadan önce bilmemiz gereken bilgiler aşağıdaki gibidir;
– Bağlantı kurulacak olan lokasyonun VPN erişim cihazına ait dış erişim IP adresi.
– Bağlantı kurulacak olan lokasyonda kullanılan iç IP grubu ve Subnet bilgisi.
– Kuruma ait logo. (Şart Değil)
Önemli Not:
CMAK paketlerini kullanacağımız işletim sistemi ve versiyonuna göre 32 bit veya 64 bit işletim sistemi yüklü platform üzerinde oluşturmamız gerekmektedir. 32 bit bir platformda oluşturulmuş paketleri 64 bit makinalara yükleyemiyoruz.
32 bit ortamlar için CMAK paketlerini Windows 7 X32 işletim sistemi yüklü bilgisayar üzerinde oluşturabiliriz ancak 64 bit ortamlara için paket oluşturmak için Windows Server 2008(R2) X64 işletim sistemi yüklü bir sunucuya ihtiyacınız olacaktır.
CMAK Paketlerini Oluşturma:
Öncelikle bağlantı sonrasında yapılacak olan kurulum network’üne doğru olacak routing için .txt dosyasına bilgisayarın routing tablosuna eklenecek olan satırı ekleyerek hazırlayalım. Bu hazırlayacağımız .txt dosyası ANSI formatında olmalıdır.
Bizim test ortamımızda VPN bağlantısı yapılacak olan ortamda kullanılan IP adresi grubu 192.168.30.0 Subnet 255.255.255.0 şeklindedir. Buna göre aşağıdaki satırı routing.txt isimli bir dosya oluşturup içerisine yazalım.
ADD 192.168.30.0 MASK 255.255.255.0 default METRIC default IF default
Yukarıda not olarak belirtmiştik, hangi ortamlar için paket hazırlayacaksak Windows XP, Windows 7, X32 veya X64 o işletim sistemi yüklü bir bilgisayarda bu işlemi yapmamız gerekmektedir.
Biz bu makalede Windows 7 X32 işletim sistemi yüklü bir bilgisayar üzerinde Windows 7 X32 platformu için kurulum paketlerini oluşturacağız.
Control Panel Program and Feature’a girip RAS Connection Manager Administration Kit (CMAK) Install edelim.
Yükledikten sonra bilgisayarımıza yüklenmiş olan Connection Manager Administration Kit Programını Administration Tools içinde bulup açalım.
Karşımıza çıkan ilke ekran aşağıdaki gibidir, Next ile ilerleyelim.
Biz Windows 7 ve Windows Vista için bir paket oluşturacağız bu seçeneği seçerek devam edelim.
Elimizde henüz oluşturulmuş bir profile olmadığından New Profile seçerek devam edelim.
Oluşturulacak olan VPN bağlantısı objesi için açıklayıcı ve anlaşılır bir isim verelim Service Name kısmına, File name kısmına ise 8 karakterden fazla olmayacak şekilde paketin içeriğini size anımsatacak bir isim yazalım biz Windows7 32bit olduğu için win732 ismini verdik. Bu isimde bir folder oluşturulup paketler bu folder içerisine eklenecektir.
Bir user name vermiyoruz Do not add a realm name to the user name seçip devam edelim.
Daha önce burada bu işlemi yaptıysak karşımıza profile çıkacak istersek onu seçebiliriz bir bir profile seçmeden devam edeceğiz zaten yok.
VPN bağlantı noktasına ait IP adresini dış IP adresini yazalım aşağıdaki Always use sam VPN server alanına lütfen.
Aşağıdaki ekranda Çözümpark_VPN bağlantısını seçerek Edit edelim ve bize özel gerekli olan ayarlarımızı yapalım.
General tabında biz bu bağlantıda sadece IPv4 adreslerini kullanmak istediğimiz için Only IPv4 address seçerek IPv4 tabına geçelim.
Bizden istenen kullanıcılar bu VPN bağlantı sırasında internet erişimi olsun ve bunu kendi bulundukları lokasyondaki internet erişimi üzerinden yapsalardı bunun için bu ekrandaki Make this connection the client’s default gateway ‘in üzerindeki işareti kaldıralım.
Security tabına gelelim ve biz L2TP ve CHAP (Challenge Handsahake Authentication Protocol) kullanacağımız için aşağıdaki resimdeki gibi ayarlayalım.
VPN strategy : Onyl use Layer Two Tunneling Protocol (L2TP) seçelim.
Data encryption : Requeire encryption seçelim.
Authentication methods : Challenge ndshake Authenticayion Protokols (CHAP) seçelim.
Advanced kısmına gelip istersek domain’de olmayan kullanıcılarımız için DNS suffix ekleyebiliriz biz içeride kullanmış olduğumuz domain name için cozumpark.local olarak düzenledik. Bu ekranda yapacaklarımız bitti Ok ile bu ekranı kapatalım ve Next ile devam edelim paket oluşturma işlemine.
Aşağıdaki ekranda Automatically downlaod phone book updates kısmınındaki işareti kaldırarak devam edelim.
Biz Dial-up bağlantı kullanmayacağımız için burada herhangi bir değişiklik yapamadan Next ile devam edelim.
Biz biraz önce default gateway olarak bu bağlantıyı kullanma dediğimiz için bu bağlantı kurulduktan sonra firma network’une erişimde sıkıntı yaşamaması için sadece bu bağlantı sonrasında oluşturulacak olan kullanıcı bilgisayarı routing tablosuna ekleme yapacağımız routing bilgisini gireceğiz. Kuruluma başlarken oluşturmuş olduğunuz routing.txt browse ile bulup ekleyelim. Define a routing table update seçip bu dosyamızı seçelim.
Routing.txt içeriği aşağıdaki gibidir.
Proxy server kullanmadığımız için aşağıdaki Do not configure proxy settings seçeneği ile devam edelim.
Bağlantı sırasında karşılaşabileceğimiz aşağıdaki ekrandaki durumlar sonrasında programa bazı görevler verebiliriz. Özelleştirme işlemini buradan yapıyoruz.
Bağlantı kısayolu üzerinde üst tarafta gözükecek olan Firmamıza ait bir resim varsa buraya resmi ekleyebiliriz istersek. Ekleyecek olduğumuz logomuz .bmp formatında 330X140 pixel boyutunda olmalı burada düzgün gözükebilmesi için. Biz Çözümpark logosunu ekledik ama boyutunu tam ayarlayamadığım için biraz uzadı logo.
Aşağıdaki resimdeki gibi yan tarafta gözükecek bir resim seçebiliriz bu resminde yine .bmp formatında ve 114X309 boyutlarında olması gerekmektedir. Burada default resim ile devam delim.
Özel bir icon’umuz varsa onu seçelim. Biz defult olarak devam edelim.
Bağlantı öncesinde ana ekranda gözükecek olan sorun yaşanması durumunda arayabilecekleri bir numarayı buraya ekleyebilirsiniz.
Kurumunuza özel kullanım esnasında oluşabilecek sorunlara karşı hazırlanmış bir lisans sözleşmesi dokümanınız varsa kullanıcılarınıza bu dokümanı okutup onaylatacaksanız buradan ekleyebilirsiniz. Next ile devam edelim.
Kurulum sırasında kurmak istediğiniz başka kurulum paketleri de varsa buraya buradan ekleyebilirsiniz.
Kurulum öncesinde bizden istenilenler kullanıcılar bu VPN bağlantısı ayarlarını değiştiremesin, şifresini saklayamasın isteklerini gerçekleştirebilmek için aşağıdaki ekranda Advance Customization seçerek bu ayarları yapabileceğimiz bölüme erişerek devam edelim.
Section name kısmında Connection manager seçili iken key name kısmında HideDomain seçip Value 1 yapalım ve Apply butonu ile onaylayalım, artık domain ismimiz gözükmeyecektir.
Connection Type kısmına erişip bağlantı ayarlarını değiştirmesinler diye ConnectionType seçip değerini 1 yapalım ve Apply butonuna basalım.
Kullanıcıların Password’lerini kayıt etmesini istemiyorduk bu seçenek listede yok ama biz bu satırı elle manuel ekleyebiliyoruz HideRememberPassword değerini biz elle manuel olarak yazalım ve değerini 1 yapıp Apply butonuna basalım. Next ile devam edelim.
Tüm ayarlarımız bitti bu ayarlar ile bir kurulum paketleri oluşturulup aşağıdaki resimde gösterilen adrese kopyalanacaktır. Finish ile bu ekranımızı kapatalım.
Kurulum için oluşturulan VPN kurulum paketlerimiz aşağıdaki adresteki folder içinde bulabilirsiniz.
C:\Program Files\CMAK\Profiles\Windows 7 and Windso Vista\win732
Kurulum dosyalarımız aşağıdaki gibidir. Dikkat ederseniz routing.txt ve eklemiş olduğumuz CozumPark_logo.bmp dosyası da kurulum paketleri içerisine eklenmiş durumdadır.
Bu folder’i kurulumu yapacağımız kullanıcımız ile paylaştıktan sonra Win732.exe ile dosyası kurulumu yapabileceğini belirtelim.
Artık bu kurulum dosyalarımız ile kullanıcılarımız artık maksimum 2 mouse tıklaması ile istemiş olduğumuz ayarlar ile VPN bağlantısını bilgisayarlarında oluşturabileceklerdir. Win732.exe tıklayalım ve kurulumu başlatalım.
Aşağıdaki ekrandaki kurulum başlayacağına dair bilgi ekranı gelecektir karşınıza Yes ile kuruluma başlayabilirsiniz.
Aşağıdaki ekrandaki gibi My use ony veya All users seçelim desktop’a kısayol oluşturması için aşağıdaki seçenek işaretli gelecektir direk desktop üzerinde bu bağlantıyı çalıştırabilmek için kısayol oluşturulacaktır. Ok basalım ve kurulum yapılsın.
Hepsi bu kadar VPN bağlantımız istediğimiz ayarlar ile söylediğimiz gibi sadece iki mouse tıklaması ile sorunsuz olarak oluşturuldu, network bağlantıları arasında oluşturulan bu yeni bağlantımızı görebilirsiniz aynı zamanda desktop üzerinde de bu bağlantı için bir kısayol oluşturulmuştur.
Oluşturulan bu VPN bağlantımızın özelliklerine girip kullanıcımızın VPN bağlantısı için gerekli olan temel ayarlara erişemediklerini bu ayarları değiştiremeyeceklerini görelim.
General bölümü görünümü aşağıdaki gibidir. Bağlantı ayarları değiştirilebilir durumdadır.
Internet Logon bölümü görünümü aşağıdaki gibi kullanılamayacak durumdadır.
Options bölümü görünümde yapılabilecekler aşağıdaki gibidir. Bağlantı deneme sayısı değiştirilebilir durumdadır, Bağlantı hiç kullanılmaz ise otomatik kesilme süresi 10 dakika olarak ayarlanmıştır istenirse değiştirilebilir, Logging bölümü aktif durumdadır yapılan her bağlantı loglanmaktadır. View log ile bu loglar incelenebilir Clear log ile temizlenebilir. Bağlantı sorunları yaşandığında kullanabileceğiniz bu loglar içerisine yaşanan sorunlar daha detaylı olarak işlenmektedir.
Sharing bölümü Internet Connection Sharing’i enable edilebileceği bir bölümdür aktif durumdadır.
VPN bağlantısı yapmak istediğimizde karşımıza çıkacak olan VPN bağlantı ana ekranımız aşağıdaki gibidir. Gördüğünüz gibi ÇözümPark Logomuz eklenmiş, destek için vermiş olduğumuz telefon numaramız ana ekranda görülebiliyor ve kullanıcımızın kullanıcı adı ve password’ünü save edebileceği save password bölümüne erişim engellenmiştir ekranda gösterilmez.
VPN bağlantısı için adımıza oluşturulmuş olan kullanıcı adımız ve şifremizi girdikten sonra Connect butonu kullanarak VPN bağlantımızı kuralım.
Bağlantı kurulmadan önce ilk bağlantı sırasında bağlantı sonrasında routing işleminin yapılabilmesi için CMROUTE.dll dosyası çalıştırılacağına dair bilgi ekranı karşımıza çıkacaktır. Bu ekranı tekrar görmek istemiyorsak do not show this message again for this connection şeneğini işaretlememiz yeterlidir. (UAC kapatılmasını önermiştik UAC açık ise bu dosyanın çalışmasını engelleyebiliyor bazı durumlarda yani ruting yapılamıyor)
Bağlantımız başarılı bir şekilde kuruldu şimdi bizden istenilenleri gerçekleştirebildik mi bağlantımız istediğimiz gibi çalışıyor mu testlerimizi yapalım.
Internete bağlanalım ve bağlandığımız IP adresimizi görebileceğimiz bir siteye giderek internete hangi IP adresinden bağlandığınızı test edelim. Eğer bir sorun yok ise VPN bağlantısını başlattığınız bulunduğunuz lokasyonun IP adresini göreceksiniz.
Bu işlem için aşağıdaki siteyi kullanabilirsiniz.
VPN ile bağlandığımız kurum network’ü üzerindeki kaynaklara erişimlerimizi test edelim ve sorunsuz olarak erişebildiğimizi görelim.
Firma lokasyonuna erişmek için eklemiş olduğumuz routing.txt içerisindeki satırın bilgisayarımızın routing tablosunu eklenip eklenmediğini görmek isterseniz dos komut sistemini açalım ve aşağıdaki komut yardımı ile bilgisayarımız üzerindeki routing tablosunun çıktısını alalım, bu satırlar içinde VPN bağlantısı ile bağlandığımız lokasyondaki IP adreslerinin ve subnet’inin eklenip eklenemediğini gözlemleyelim.
Route print -4 (-4 sadece IPv4 ile ilgili tabloyu gösterir.)
Aşağıdaki resimde sarı ile işaretlediğim satırlar burada aradığımız satırlardır. VPN bağlantısı sağlandıktan sonra bilgisayarımın VPN cihazı üzerinden almış olduğu VPN bağlantısı için gerekli olan IP adresi (10.2.23.10) üzerinden bağlandığım kurum network’üne erişebilmem için gerekli olan routing (yönlendirme) satırları eklenmiş durumda olduğunu görebilirsiniz.
Hatırlarsanız routing.txt dosyamız içerisindeki IP adresi 192.168.30.0 şeklinde idi. Interface ve Metric kısımları default olarak yazılmıştı default olarak yazılan bölümlere VPN bağlantısında alınan IP (10.2.23.10) adresleri atanarak buradaki bu yönlendirme satırları otomatik olarak oluşturulmuştur.
VPN bağlantınız sonlandırdığınızda yine route print -4 ile routing tablonuzu kontrol ederseniz aşağıdaki resimdeki gibi VPN bağlantısı sırasında oluşturulan satırların otomatik olarak silinmiş olduğunu göreceksiniz.
Gördüğünüz gibi Microsoft CMAK yardımcı araçlarını kullanarak oluşturabildiğimiz VPN bağlantısı kurulum paketleri ile son kullanıcı tarafında harcayacağımız zamanı minimuma indirmek,
VPN ayarlarını yaparken yapılabilecek hataları sıfıra indirmek ve kullanıcılarınıza sadece kullanıcı adı şifrelerini girmenin dışında bir işlem yaptırmadan istediğimiz özelliklerde bir bağlantı yaptırabilmek çok kolay bir şekilde mümkün olabilmektedir.
Notlar:
– Son kullanıcı tarafında sorun yaşamamak için UAC disable edilmesi önerilmektedir.
– 80070057 ve 800XXX hatalarını alırsanız önce UAC disable’mi onu kontrol edin sonrada routing.txt içerisine yazmış olduğunuz komutunuzu kontrol ediniz. IP adresleri konusunda veya Subnet musk adresi konusunda bir problem olma ihtimali oldukça yüksektir.
– 64 Bit işletim sistemleri için özel VPN kurulum paketi oluşturmak için Windows Server 2008 R2 işletim sistemi üzerinde kurulması gereken features Connection Manager Administration Kit’tir.
Herkese faydalı olması dileklerimle.
Microsoft’un bu CMAK aracı ile beni tanıştıran ve öğrenmeme yardımcı olan çok değerli mesai arkadaşım ve sevgili abim Soner TEMİZSOY’a çok teşekkür ederim.
İşteyken kendi evimdeki bilgisayara bu yöntemle bağlanmak istiyorum , deneme yaptım kendi bilgisayarım içinde kurup kendim hem istemci hem client olarak bir sorun çıkmadı, tabi test amaçlı tek bilgisayardan yapmak istedim elimin altında ikinci bir makinem olmadığından. Fakat bu kullanıcı adı ve parola nedir nereden bulunabilir ya da konabilir?