Fortigate Ortamında Directaccess Kurulumu. Microsoft’un VPN ötesi olarak tanımladığı, harika bir esneklik sunan, internetin olduğu her yeri ofisinizdeki masanız haline getiren, DirectAccess kurulumunu LAB ortamında yapacağım. Sistemi Server 2016 üzerinde çalıştıracağım. Dikkat edilmesi gereken önemli bir konu Client’ların Windows 10 Enterprise sürümü kullanıyor olmasıdır. Eğer Win10 Pro sürümüne sahipseniz sadece sürüm yükseltme KEY’lerinden birisini kullanarak Enterprise’a yükseltebilirsiniz. Kurulum öncesi Fortigate’in kendi DNS hizmetini kullanmak ve VMWare üzerine Fortigate’in sanalını kurmak ile ilgili önceki makalelerime göz atabilirsiniz:
https://www.mshowto.org/fortigate-uzerinde-dns-sunucu-calistirmak.html
https://www.mshowto.org/yeni-nesil-fortigate-vmin-vmware-uzerine-kurulumu.html
Yazıda Kullanılan Topology
Resim-1
Minik Not : Bilgiyi paylaşmak, yeni şeyler öğrenmek bizim hayat enerjimiz. Yukarıdaki çizimi online bir web sitesi üzerinden yaptım ve çok sevdiğim bir free site: https://app.diagrams.net/
Fortigate de yaptığım ayarları kalabalık olmasın diye buraya koymuyorum ama genel olarak Interface’leri devre dışı bırakıp, VMWARE deki sanal makine gerçek makinenin saatini kullansın diye seçerek sanal Fortigate’i başlattım ve NTP ayarlarını Disable edip, Port1’ine kendi ağımda bir IP verip GUI arayüzünden bağlandım.
Fortigate Konfigürasyonu
Fortigate’de Port1’i internet bağlantım için, Port2’yi ise aşağıdaki gibi ayarlıyoruz:
Resim-2
Genel olarak portların durumu aşağıdadır:
Resim-3
Directaccess Kurulumu lab’ında Fortigate’in local DNS server özelliğini kullanacağım. Sebebim ise Demo ortamımdaki Client’lar Fortigate’den IP aldığında tanımlayacağım da.sb.com adresini kendi sunucuma yönlendirmek. Siz kendi projenizdeki bunun için External DNS’inizde bir Host A kaydı girmeniz yeterlidir. Fortigate’deki DNS Sunucu özelliğini kullanabilmek için System /Feature Select :
Resim-4
Sonrasında önce DNS servisini kullanacak Interface’i belirliyoruz :
Resim-5
Bu arada bu kullandığım Fortigate’in Firmware’i düşük olduğundan sizinkinde farklı görünebilir ama sistem ve adımlar aynıdır.
Resim-6
Üstteki adımda Mode kısmında siz daha yeni bir firmware kullanıyorsanız Recursive seçiniz. Ben önce böyle tanımlayıp sonrasında Edit deyip Recursive seçeceğim.
Resim-7
Şimdi de Domain’imde kullandığım Dns’i burada tanımlıyorum:
Resim-8
DNS’de da.sb.com için kayıt giriyorum:
Resim-9
Buradaki kaydımda DirectAccess sunucumum Lan2 ethernetinin IP’sini giriyorum:
Resim-10
Sonrasında Fortigate’ime internet erişimi vermek için Default Route tanımlıyorum:
Resim-11
Fortigate’in Port2’sinden internete erişim kuralı tanımlıyorum:
Resim-12
Fortigate de DNS Recursive olmalı, benim Firmware eski olduğundan bunu sonradan düzeltiyorum:
Resim-13
Directaccess Kurulumu – AD içinde Grup Ayarları
DC sunucumda (SRV91) :
Fortigate’deki ayarlarımızı tamamladık. Şimdi sıra sunucularda. Öncelik DC’imde DA-Clients isminde bir grup tanımlıyorum. Hedefim DirectAccess hizmetini kullanacak bilgisayarları burada toplamak.
Resim-14
Şimdi de Demo ortamımda test olarak kullanacağım Client bilgisayarımı bu gruba üye yapıyorum:
Resim-15
Resim-16
Directaccess Kurulumu
DirectAccess sunucumda (SRV92) :
2. Etherneti LAN2 olarak ekledim. Fortigate’den 77.70.15.20 IP sini aldı. Bu interface de internet dağıtımı vardı. Sonrasında genelde sunucularımda kapattığım Firewall’u enable ettim. DirectAccess için gerekli Rol’ün kurulumuna geçelim:
Add Roles And Features Wizard’dan Remote Acces rolünü seçiyorum:
Resim-17
Sonraki ekranda yalnızca DirectAccess ve VPN kısmını seçiyorum, bu kadar projem için yeterli:
Resim-18
Kurulum tamamlanınca son ekrandaki linke tıklıyoruz :
Resim-19
Açılan pencerede Deploy DirectAccess Only seçeneği ile devam ediyoruz :
Resim-20
Bu aşamada DirectAccess sunucumun konumuna göre bir seçenek belirlemeliyim. Benim bir tanesi internete bir tanesi de iç Network’e bağlı iki Ethernetim olduğundan Edge seçiyorum ve öncesinde planladığım, personelim şirket dışında internette iken çözümleyeceği adresi buraya giriyorum:
Resim-21
Çıkan ekranda minik düzenlemek için ilgili linke tıklıyorum :
Resim-22
Client ayarları
Client’lar ile ilgili değiştirmemiz gereken ayarlar var. Bunun için:
Resim-23
İlk olarak Default gelen grubu kaldırıp, bizim tanımladığımız grubu ekliyoruz. Sonrasında da yalnızca Mobile Computers Only kısmını kaldırıyoruz.
Resim-24
Burada Client’larda görünecek DirectAccess tanım ismini Karadenizli arkadaşlarıma sevgilerimi ileterek Bize Heryer Ofis olarak düzenliyorum. Alttaki kutucuğu da işaretliyoruz :
Resim-25
DA sunucu ayarları
Client kısmındaki düzenlemeleri bitirdikten sonra DA sunucumdaki ayarları düzenlemek için ilgili yere giriyorum :
Resim-26
Bu ekranda Ethernet kartlarımın IP’lerini kontrol ediyorum ve aşağıdaki Sertifika tanımının OK işaretini kaldırıp tekrar işaretliyorum. Bendeki uygulamamda sertifikanın CN adresi tam çıkmamıştı, böyle yapınca tam olarak çıktı:
Resim-27
Sonrasında bu kısmı da bitirip genel olarak düzenlemeleri tamamlıyorum:
Resim-28
Directaccess Kurulumu – Windows PC ayarları
Client bilgisayarımda (CLT95) :
Sıra geldi Client ayarlarıma.
Önce firewall’u devreye alıyorum:
Resim-29
Sonrasında gpupdate /force ile Policy güncellemesi yapıyorum ve günceleme sonrası yeni Policy’yi aldığını kontrol ediyorum. Biz 2. Sunucumuza DA’yı kurunca 2. Sunucu DC de ilgili Policy’leri de oluşturuyor.
Resim-30
Sonrasında Client’ımda DirectAccess bağlantısını kontrol eden servisin çalışır durumda olduğunu kontrol ediyorum:
Resim-31
Sistemi LAN2 ye almadan önce Get-DAConnectionStatus diyelim ve bir sorun olmadığını hemde local bağlı olduğunu görelim:
Resim-32
Sonrasında Client’ın bağlantısını LAN2 yapıp restart ediyorum. Böylece Lan2’den Real IP dağıtan Fortigate’den IP alacak ve Client DA sunucusuna Local IP’sinden ulaşamadığını anlayınca Ofis dışında olduğunu anlayıp dışarıdan da.sb.com adresinden DA sunucusunun IP’sine erişecek. Burada da Fortigate’in DNS servisi bu adresi çözmesinde yardımcı olacak. Restart sonrası cihazıma internet geliyor ve hemen DA servisini kontrol ediyorum:
Resim-33
Herşey harika, bağlandı. Hatta ofis dışında internette olmama rağmen DC’me ping atabildim. Şimdi de DA sunucumuzdan kontrol edelim :
Resim-34
DA sunucumuzda da bağlı Client’ları görebiliyorum.
Özetlersek, bu yazıda Microsoft DirectAccess Kurulumu işleminin nasıl olduğunu inceledik. Sağlıklı, bol gülümsemeli günlerde yeni makalelerde görüşmek dileğimle..
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Ruijie Router ile Ömür Boyu Ücretsiz URL Filter ve Application Control
How to limit the bandwidth for each user on ruijie EG?
TAGS: Fortinet, Fortigate, DNS, DirectAccess, Direct Access, Microsoft