ISA Server ile VPN bağlantısı yaptırılan kullanıcılara 2 yöntem ile ip adresi atayabiliyoruz; Networkte bulunan bir DHCP server tarafından otomatik olarak veya ISA server üzerinde belirleyeceğimiz bir ip adress havuzundan statik olarak atayarak. Default olarak ISA Serverda ip adresi dağıtımı için DHCP ayarlanmıştır. Bu yöntem statik dağıtıma oranla çeşitli avantajlar sunmaktadır. Öncelikle statik ip adres havuzu kullandığınızda, belirlediğiniz ip adres aralığını internal network aralığından çıkartmanız gerekir. Aksi halde overlap ip adress hatası ile karşılaşırsınız. Diğer bir avantaj ise bu makalenin de konusu olan DHCP seçeneklerinin VPN ile bağlanan kullanıcılara atanabilmesi. Ancak VPN clientlar için DHCP kullansanız dahi DHCP seçeneklerini clientlara iletemezsiniz. Bunun sebebi ise VPN clientların iç networkteki clientlardan farklı olarak hiçbir zaman DHCP server ile iletişime geçmemesidir. RRAS servisi başladığında DHCP serverdan belirli sayıda ip adresini VPN clientlara dağıtmak için kendisine alır ve daha sonra kendisine bir ip adresi aldıktan sonra geri kalanı VPN clientlara dağıtır. Ip adresi bittiği zaman tekrar DHCP’den toplu ip adresi alır ve süreç aynı şekilde devam eder. Ancak sorun RRAS servisinin DHCP seçeneklerini almamasıdır. Dolayısıyla ISA Server üzerinde DHCP ile ip dağıtımını seçseniz dahi clientlara sadece ip adresi dağıtabiliyor olursunuz. DHCP’de scope ayarlarken belirlediğimiz bu seçenekler arasında özellikle “DNS Suffix” şirket kaynaklarına erişimde büyük kolaylık sağlamaktadır. DHCP seçenekleri DNS suffix ile sınırlı kalmayıp WPAD gibi webproxy tanımlaması yapan ayaları da kapsamaktadır.DHCP Bootp paketleri router ve firewallardan geçmez (router’lar networku broadcast domainlere boldugu için). Bu sebeple sadece VPN clientlar için değil DHCP paketlerinin geçmesi gereken her durumda DHCP relay agent kullanmamız gerekecektir.
Bu makelede ISA firewallda VPN’in aktif halde olduğu ve iç networkte halihazırda bir DHCP server oldugu varsayılarak aşağıdaki adımları kullanarak DHCP relay agent’ın aktif hale getirilerek VPN clientların tüm DHCP seçeneklerini nasıl alacağı anlatılacaktır.
İzleyeceğimiz adımlar şu şekildedir;
- ISA Server’da clientlara ip adresi ataması için DHCP seçeneğinin aktif hale getirilmesi
- DHCP relay agent için gerekli firewall kurallarının oluşturulması.
- RRAS konsolda DHCP relay agent kurulumu ve ayarlarının yapılması
- Server’ın restart edilmesi ve bağlantı testleri
1. İlk adımda ISA Server konsolunu açıp VPN bölümüne girin ve DHCP seçeneğini işaretleyin (default olarak işaretli olan seçenek budur ancak yine de teyit edin).
Resim-1
2. Daha sonra ikinci adım olarak gerekli firewall kurallarını oluşturmaya başlayın. DHCP süreci için ISA firewallda iki protokol vardır. DHCP request (istek) ve DHCP reply (cevap). İlk olarak istek için kural oluşturalım.
3. ISA Server konsolda yeni bir access rule (erişim kuralı) oluşturma adımlarına başlayalım. İlk bölümde kurala bir isim veriyoruz.
Resim-2
4. Sonraki ekranda kuralın izin için mi yoksa yasaklama için mi kullanacağını seçin. Amacımız erişimi sağlamak olduğu için Allow seçeneğini işaretleyip bir sonraki adıma geçiyoruz.
Resim-3
5. Kuralımızın hangi protokol(ler) için geçerli olacağını bu aşamada seçiyoruz. İlk kuralımız “istek” olacağı için DHCP (request) protokolünü seçip Next ile ilerleyin.
Resim-4
6. Erişim kuralının kaynak bölümünde VPN clients networkunu seçin ve sonraki aşamaya geçin.
Resim-5
7. Erişim kuralı hedef bölümünde Localhost networkunu seçiyoruz. Bunun sebebi VPN clientların erişim isteğini RRAS servisine göndermesi ve RRAS’ın da DHCP relay agent sayesinde iç networkteki bir DHCP servera iletmesidir.
Resim-6
8. Kullanıcı bölümünü default ayarlar ile bırakıp (all users) sonraki adıma geçin.
Resim-7
9. Finish’e tıklayarak ilk kuralımızı oluşturmuş durumdayız.
Resim-8
10. Aynı şekilde ikinci kuralı da oluşturmaya başlayalım. Bu kural ile DHCP cevap protokolüne izin veriyor olacağız. Yeni bir erişim kuralı oluşturma adımlarına başlayalım. Kural için isim verdikten sonra Next ile bir sonraki adıma geçin.
Resim-9
11. Bu kuralda da Allow seçeneğini seçerek ilerleyin.
Resim-10
12. Protokol bölümüne bu defasında DHCP cevap protokolünü (DHCP Reply) ekleyin ve ilerleyin.
Resim-11
13. Kaynak network bölümünde Internal networku seçin.
Resim-12
14. Hedef network bölümünde ise VPN client networkunu seçin.
Resim-13
15. Kuralın hangi kullanıcılar için geçerli olacağı bölümünü default olarak “All users” olarak brakın ve kuralı onaylayıp bitirin.
Resim-14
16. Oluşturduğumuz kurallar konsolda aşağıdaki gibi görüntülenecektir.
Resim-15
DHCP relay agent için gereken kurallar bu şekildedir, şimdi sırada DHCP relay agent’ın aktif hale getirilmesi ve gerekli ayarların yapılması bulunuyor.
17. İlk olarak ISA Server’da, Administrative tools > Remote Access Server konsolunu açın ve Ip Routing menusu altında General bölümüne sağ tıklayıp New Routing Protocol seçeneğine tıklayın.
Resim-16
18. Açılan menude DHCP Relay Agent’ı seçip onaylayın.
Resim-17
19. Ip routing menusu altında DHCP Relay Agent özelliğini göreceksiniz. DHCP Relay Agent’a sağ tıklayıp new interface seçeneği ile DHCP Relay Agent’ın iletişim için hangi network’u kullanacağını seçin. Burada dikkat edilmesi gereken, RRAS servisinin kendi network interface’i olan “internal”i seçmenizdir. Bu yüzden ISA Serverda interface’lere isim verirken karışıklık olmaması adına Internal ismini kullanmamanızı tavsiye ederim.
20. Internal isimli networku seçip onaylayın.
Resim-18
21. Bu işlemden sonra son olarak DHCP Relay Agent’a yine sağ tıklayıp properties menusune girin. Burada lokal networkteki DHCP server ip adresini girip ekleyin ve onaylayın.
Resim-19
Bu işlemi de bitirdikten sonra artık ISA Server üzerinde bir DHCP relay agent servisine sahip oluyoruz. Böylelikle VPN clientlar tarafından yapılan DHCP istekleri relay agent sayesinde lokal networkteki DHCP server’a iletilecek ve aynı lokal networkteki clientlarda olduğu gibi tüm DHCP seçenekleri de VPN clientlara iletilmiş olacaktır. Test yapmadan önce ISA Server’i yeniden başlatmamız VPN özelliğinin daha önceden aktif edilip edilmediğine göre gerekse de biz her ihtimale karşı firewall’u yeniden başlatalım.
Yaptığımız işlemlerden sonra bir VPN bağlantısı kurup sonucu görelim.
22. VPN bağlantısı kurulduktan sonra command prompt’ta ipconfig /all komutu ile aldığımız ip adresini görüntülediğimizde, DNS suffix dahil tüm DHCP seçeneklerinin başarılı bir şekilde alındığını görüyoruz.
Resim-20
Sonuç:
Şirketteki kaynaklara dışarıdan erişim artık şirketler için vazgeçilmez bir duruma geldi. Bu tecrübeyi olabildiğince sorunsuz ve lokal networkteki ile birebir aynı duruma getirmek te oldukça önemli. DHCP relay agent ayarları ve ISA server üzerinde yapılan 2 kural ile DHCP seçeneklerini VPN clientlara ulaştırabildik.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
–
