Intelligent Application Gateway (IAG) ‘in en önemli özelliklerinden birtanesi hiç şüphesiz “network connector” özelliğidir. Tamamen SSL altyapısını kullanarak full VPN erişimi sağlamamıza olanak veren bu özelliğin kurulumu, ayarları ve portalda publish edilmesine detaylı bir şekilde göz atıyor olacağız.
Bugüne kadar PPTP, L2TP /IPSEC gibi bağlantılar ile şirket networklerine erişim sağlayıp kaynaklara ulaşıp işlerimizi yaptık. Bu teknolojiler kullanılmaya başlandıktan sonra çeşitli engeller de ortaya çıktı. Örneğin yurtdışında bir otelden vpn yapmaya çalıştığınız ancak oteldeki firewall’un vpn trafiğine izin vermediği gibi senaryolar ile çok karşılaştık. Microsoft bu problemi öncelikle rpc/https ve yeni adı ile outlook anywhere ile email tarafında başarılı bir şekilde çözdü. Daha sonra bir adım ileriye götürdü ve ilk olarak appliance olarak tasarlanan ama çok kısa bir süre önce hyper-v için de release edeceğini duyurduğu IAG’yi sundu. Bildiğiniz gibi SSLVPN ile bir portalda çeşitli şirket kaynaklarını publish edebiliyoruz. Ancak şirketin belirli departmanlarının (i.e IT) sadece portalda publish edilen kaynaklara değil tüm kaynaklara erişmesi gerekebilir. Network connector sayesinde SSL altyapısını kullanarak şirket networkune uzaktan dahil olup işlerimizi yapabiliyor olacağız.
Demo için kullanacağımız altyapı ile ilgili bilgiler
IAG 2007 SP2 – Windows Server 2003 SP2 SE https://remote.canibeyaz.com
Internal Interface : 10.0.0.21/24
External Interface : 172.16.1.11/24
CLIENT (Windows XP SP3)
İlk olarak network connectorı enable edip ayarlarını yapıyoruz.
1- IAG konsolunda ilgili portalı seçip daha sonra admin tabından network connector serverı tıklayın.
Şekil-1
İlk olarak “Activate Network Connector”ı işaretleyerek etkinleştirin. “Use the Following Connection” bölümünde IAG serverın internal networkunu temsil eden interface’in seçili oldugundan emin olun. Complementary data bölümünde “Only if network configuration is Missing” seçeneğinin seçilmesi halinde, Interface’e bu ayarlar daha once girildiyse internal NIC ile aynı ayarlar gelecektir. Girilmemesi halinde demoda da oldugu gibi manuel girmek gerekecektir.
2- İkinci tabımızda “IP provisioning” bölümü var. Bu bölümde network connector ile baglanan clientlara nasıl ip adresi sağlanacağını belirliyoruz.
Şekil-2
Corporate IP address seçeneği ile şirketin lokal networku ile aynı segmentte bir ip adres aralıgı belirleyebilir, veya private ip addresses seçeneği ile farklı bir subnet kullanabiliriz (off-subnet). Resimde görüldüğü gibi lokal subnet olan 10.0.0.0/24 networkunde bir ip aralıgı girin.
3- Access Control bölümünde vpn ile baglanan clientların aynı anda nasıl internete çıkacağı ve ayrıca ip spoofing ve protocol blockers ile ilgili ayarları yapabiliyoruz. Internet Access bölümünde Split tunneling seçilmesi halinde vpn baglantısı yapan clientlar internet baglantısını kendi orjinal baglantıları ile yapacaktır. Non split tunneling ise, internet trafiğini de vpn baglantısı üzerinden şirket gatewayine aktarmamıza olanak saglar. No internet access ile ise vpn yapan client bilgisayarın internete çıkması engellenebilir. Split tunneling seçeneği güvenlik açısından sakıncalı olabilir. Vpn ile baglantı kurmuş bir clientın aynı anda internette zararlı içeriklere erişmesini istemeyebiliriz. Non split tunneling ise daha güvenli bir seçenek olmasına karşın şirket kaynakları kullanılacağı için performansı etkileyebilir.
Şekil-3
4- Additional Networks tabında ise, network connect ile baglanan clientların şirket lokal networku haricinde başka bir networke baglanıp baglanmayacagı ile ilgili ayarları yapabiliriz. (i.e networkte birden fazla ip subnet olması halinde)
5- Son olarak advanced bölümünde aşağıdaki ayarlar karşımıza çıkıyor. Bu bölümde listener port ayarları, loglama seviyesi (1-5 arası) gibi ayarları yapabiliriz.
Şekil-4
Network connector ayarlarını tamamlamış olduk. Bir sonraki adımda portalda network connector uygulamasını publish ediyor olacağız.
6- Application seçeneklerini açıp add seçeneğini tıklayın
7- Aşağıda gösterildiği gibi network connectorı seçin
Şekil-5
8- Next ile ilerleyin
9- Applicationa bir ad verin ve diğer seçenekleri default bırakarak next ile ilerleyin
10- Server ve port seçeneklerini default bırakıp next ile ilerleyin
11- Portal web sayfasında görünecek application ismini girin ve finish ile bitirin.
Bütün ayarları tamamladıktan sonra, IAG server whale network bağlantısını gerçekleştirecektir.
Şekil-6
Intelligent Application Gateway (IAG) 2007 – Network Connector Client Bağlantısı
12- IAG 2007 serverımıza baglanmak için internet explorer’dan
ilk bağlantıda gerekli componentlar bilgisayarımıza download edilip kurulur.
Şekil-7
13- Kurulum bittikten sonra bağlantı kurdugumuz client bilgisayarın uyumlu olup olmadıgı kontrol edilir. Uyumluluk kriterleri IAG 2007’de policyler ile belirlenir. (Demo sebebiyle policy ayarları default policy olacak şekilde ayarlandı. )
Şekil-8
14- Uyumluluk kontrolü bittikten sonra karşımıza logon ekranı gelecektir. Portal ayarlarken seçtiğiniz authentication tipine uygun olarak buraya kullanıcı adı ve şifre girin.
Şekil-9
15- Böylece portale giriş yapmış olduk. Daha önce publish ettiğimiz network connector linkini burada görüyoruz. Giriş yapmak için tıklayın.
Şekil-10
16- İlk girişte network connector için gerekli componentler download edilip kurulduktan hemen sonra bağlantı başlayacaktır.
Şekil-11
17- Bağlantı kurulduktan sonra taskbarda bağlantı ile ilgili durumu gösteren bir ikon belirecektir.
Şekil-12
18- Network Connector Server ayarlarında ip provisioning bölümünde yaptıgımız ayarlara göre lokal networkten bir ip adresi alıp almadıgımızı kontrol edelim.
Şekil-13
Görüldüğü üzere belirlediğimiz network aralıgındaki ikinci ip adresini almış olduk (ilk adresi IAG whale network alır).
Sonuç olarak;
Bu makalede IAG 2007 üzerinde network connect serverın kurulum ve ayarlarını gördük. Portalda ilgili applicationı publish ettikten sonra client bağlantı sürecini ve adımlarını inceledik. Bir sonraki makalede portalı görsel olarak nasıl customize edebileceğimizi göreceğiz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
–
