Networkünüze dışardan gelen VPN baÄŸlantıları yapınız için ciddi güvenlik sıkıntılarına yol açabilirler. Sadece kullanıcı adı ve ÅŸifresini bilen bir kiÅŸi istediÄŸi bilgisayardan sizin networkünüze dahil olup tüm kaynaklara ulaÅŸabilir. Bunu engellemek için ise Sertifika ya da  Pre-shared Key ile L2TP üzerinden baÄŸlantılarınızı saÄŸlayabilirsiniz. Bu makalemde ISA Server a gelen VPN isteklerinin sadece L2TP kullanılarak networke giriÅŸ yapmalarına olanak saÄŸlayacağız.

Makalede kullanacağımız network yapısı şekil-1 verilmiştir.

Åžekil-1

ISA nın VPN özelliÄŸini, VPN Server ve VPN Gateway olarak iki ÅŸekilde konfigüre edebiliyoruz. VPN Server seçeneÄŸi, ISA Server üzerine dışardan gelen tüm isteklerin belirlenmiÅŸ kriterlere göre iÅŸlem görmesini saÄŸlarken, VPN Gateway seçeneÄŸi, farklı iki network yapısını birbirine baÄŸlayıp tek network gibi çalışmalarını saÄŸlıyor. Åžekil-1 de verilen network ü VPN Server olarak konfigüre edeceÄŸiz. GerçekleÅŸtireceÄŸimiz adımlar kısaca aÅŸağıdaki gibi:

VPN Server özelliÄŸinin ISA üzerinde etkinleÅŸtirilmesi

VPN client larının internal network e ulaÅŸmaları için bir Access rule yaratılması

Ä°stenilen kullanıcı hesapları için Dial-in izninin verilmesi  

ISA Server 2006 ya ve VPN client lara sertifika yüklenmesi

L2TP/IPSec VPN bağlantısının test edilmesi

VPN Client baÄŸlantılarının monitör edilmesi

A. VPN Server ın Etkinleştirilmesi

1. Microsoft Internet Security and Acceleration Server 2006 > Virtual Private Networks (VPN) > Verify that VPN Client Access is Enabled ı klikleyelim.

2. VPN Client Properties penceresinde Enable VPN client Access i işaretleyelim ve bağlanacak kullanıcı sayısını aşağıdaki kutucuğa girelim.

Åžekil-2

3. Groups tabında daha öncesinde, Active Directory de baÄŸlanacak kullanıcılar için oluÅŸturduÄŸumuz grubu seçelim.

Åžekil-3

4. Protocols tabında istediÄŸimiz protokolleri seçelim.

Åžekil-4

5. User Mapping tabında Enable User Mapping ve When username does not contain a domain, use this domain kutucuklarını işaretleyelim. Alt tarafa domain adımızı yazalım.

Åžekil-5

6. Microsoft Internet Security and Acceleration Server 2006 > Virtual Private Networks (VPN) > Remote Access Policy i klikleyelim.

7. Virtual Private Networks (VPN) Properties penceresinde External ı işaretleyelim.

Åžekil-6

8. Address Assignment penceresinde internal networkteki DHCP yi kullanacağımız için Dynamic Host Configuration Protocol (DHCP) seçeneÄŸini seçtikten sonra alt tarafta DNS DHCP gibi hizmetlere hangi kart üzerinden ulaşılacaksa o kartı seçelim. Burada dikkat edilmesi gereken nokta, ISA Server üzerinde, DHCP Relay Agent ı etkinleÅŸtirmeniz ve içerdeki DHCP yi tanımlamanız gerektiÄŸini unutmamanızdır. Bu iÅŸlemi yapmazsanız ISA Server üzerine gelen client bilgisayarlarınız IP adresi alamadan VPN baÄŸlantı oluÅŸturabilirler. Buda local kaynaklara eriÅŸememelerine neden olacaktır.

Åžekil-7

9. Authentication pencersinde sadece MS-CHAPv2 yi iÅŸaretli bırakalım. EÄŸer L2TP için sertifika kullanma ÅŸansınız yoksa Pre-shared Key i tercih edebilirsiniz. Fakat bu güvenlik seviyenizi daha düÅŸük kalmasına sebep olacaktır. Biz burada sertifika kullanacağımız için Pre-shared Key i boÅŸ bırakarak devam ediyoruz.

Åžekil-8

10. RADIUS penceresindeki kutucukları boÅŸ bırakarak devam ediyoruz. Kullandığımız ISA Server ve baÄŸlanacak istemci bilgisayarlar, zaten domaine üye olarak çalıştıkları için bu seçenekleri kullanmamıza ÅŸu anda gerek kalmıyor. 

Åžekil-9

11. Apply > OK > Apply diyerek konfigürasyonu kayıt edelim ve ISA Server ı restart edelim.

B. BaÄŸlanacak Kullanıcıların Local Kaynaklara UlaÅŸmaları Ä°çin Access Rule Yaratılması

Yukarıdaki adımlardan sonra external clientlarınızın yerel kaynaklara ulaşmalarını sağlamamız gerekiyor. Aşağıdaki adımları takip edelim.

1. Microsoft Internet Security and Acceleration Server 2004 > Firewall Policy > SaÄŸ klik > New > Access Rule

2. Welcome to the New Access Rule Wizard > Access rule name satırına belirlediğiniz bir ismi yazalım ve Next e klikleyelim.

Åžekil-10

3. Rule Action penceresinde Allow u seçelim ve Next e klikleyelim.

4. Protocols penceresinde All outbound protocols u seçelim ve Next e klikleyelim.

5. Access Rule Sources penceresinde Add e klikleyelim. Add Network Entities penceresinde Networks > VPN Clients > Close diyelim.

Åžekil-11

6. Next > Add > Add Network Entities > Networks > Internal u seçip sonrasında Close diyelim.

Åžekil-12

7. User Sets penceresinde All Users > Next > Finish > Apply diyerek işlemi sonlandıralım.

Åžekil-13

Son aşamada şekil-14 teki gibi bir Rule un yaratılmış olması gerekiyor.

Åžekil-14

C. Dial-in Ä°çin Ä°stenilen Kullanıcıya Ä°zin Verilmesi

VPN baÄŸlantısı yapacak kullanıcılar için dial-in izinlerini ayarlamanız gerekiyor. Benim buradaki tercihim kullanıcı hesabı üzerinden iÅŸlem yapmak olacak. AÅŸağıdaki adımları takip edelim.

1. Start > Administrative Tools > Active Directory Users and Computers ü açalım ve VPN baÄŸlantısı yapmasını istediÄŸimiz kullanıcının özeliklerine geçelim.

2. Dial-in penceresini açalım ve Remote Access Permission (Dial-in or VPN) baÅŸlığı altında Allow access seçeneÄŸini iÅŸaretleyelim. Apply > OK diyerek iÅŸlemi sonlandıralım.

Åžekil-15

D. ISA Server 2006 ya Sertifika Yüklenmesi

VPN esnasında L2TP kullanılması için, hem baÄŸlanılacak server da hem de baÄŸlanacak client ta IPsec yada Administrator sertifikasının yüklü olması gerekiyor. AÅŸağıdaki adımları takip edelim.

1. Bir Explorer açalım ve http://10.0.5.60/certsrv yazıp Enter a basalım ve karşımıza gelecek ekranda username olarak Administrator ı kullanarak devam edelim.

2. Request a Certificate > advanced certificate request > Create and submit a request to this CA i seçelim.

3. Sertifika listesinden Administrator ü seçelim (IPsec sertifikası da seçilebilir) ve alt taraftaki Store certificate in the local computer certificate store kutucuÄŸunu dolduralım.

4. Submit i klikleyelim ve gelen Potential Scripting Violation ı Yes diyerek kabul edelim.

5. Certificate Issued sayfasında Install this certificate i klikleyelim ve gelen Potential Scripting Violation ı Yes diyerek kabul edelim.

6. Start > Run > mmc > Enter > File menüsünde Add/Remove Snap-in i klikleyelim.

7. Açılan pencerede Add > Certificates > Computer Account > Local Computer > Finish i seçerek tekrar Add e klikleyelim.

8. Certificates (Local Computer) > Personal > Certificates e klikleyelim ve sol tarafa bakalım.

9. Az önce yüklemesini gerçekleÅŸtirdiÄŸimiz Administrator sertikasını çift klikleyelim.

10. Details tabına geçip alt taraftaki Copy to File butonuna klikleyelim.

11. Next e klikleyelim ve Export File Format penceresinde Cyptographic Message Syntax Standard – PKCS #7 Certificates (.P7B) ı seçip Next e klikleyelim.

12. File to Export penceresinde dosyaya bir isim verip masaüstümüze kayıt edelim ve iÅŸlemi Next > Finish ÅŸeklinde sonlandıralım.

13. Trusted Root Certification Authorities > Certificates > All Task > Import u seçelim.

Åžekil-16

14. Next > File to Import sayfasında Browse a klikleyelim ve az önce masaüstümüze kaydettiÄŸimiz sertifikayı gösterelim.

15. Next > Next > Finish diyerek işlemi sonlandıralım.

E. VPN Ä°le BaÄŸlanacak Client Bilgisayara Sertifika Yüklenmesi

BaÄŸlanacak client bilgisayarlar için ISA Server üzerinde gerçekleÅŸtirdiÄŸimiz iÅŸlemlerin aynısı geçerlidir. Fakat önerim, VPN baÄŸlantısı oluÅŸturacak bilgisayarların local networkteyken bu sertifika yükleme iÅŸlemlerini gerçekleÅŸtirmeleridir.

F. Client Bilgisayarlarda VPN Bağlantısının Oluşturulması

1. Start > Run > Settings > Network Connection > Create New Connection > Connect to the network at my workplace > VPN Connection e klikleyelim ve bir isim vererek Next e klikleyelim.

2. VPN Server Selection penceresinde Modem inizin dış bacak IP sini verelim ve Finish e klikleyelim.

3. Connect to penceresinde Properties e klikleyeli ve Networking tabına geçelim.

4. Type of VPN seçeneÄŸini L2TP IPSec VPN olarak deÄŸiÅŸtirelim.

Åžekil-17

Artık baÄŸlantı kurmaya hazırız.  OluÅŸturduÄŸumuz baÄŸlantıyı çevirelim ve ISA Server üzerinde gelen baÄŸlantıları gözlemlemeye baÅŸlayalım. Client üzerinde oluÅŸturduÄŸumuz baÄŸlantının ayrıntılarına baktığımızda ÅŸekil-18 gibi olmalıdır.

Åžekil-18

ISA Server üzerinde baktığımızda gelen baÄŸlantıyı kullanıcı adını ve IP adresini görebiliriz.

Åžekil-19

Bu ÅŸekilde VPN baÄŸlantısını sertifika aracılığı ile L2TP li oluÅŸturarak gerekli güvenlik artırımını gerçekleÅŸtirmiÅŸ olduk.