Bu yazi dizisinde ISA Server 2004’un VPN server olarak nasil konfigüre edilecegini ele alip yapilmasi gereken islemleri adim adim anlatacagim. Öncelikle Sekil-1’deki örnek network’ü baz alarak uzak kullanicilarin VPN server üzerinden yerel network’e ulasabilmeleri için yapilmasi gerekenleri ele alacagiz.

Sekil-1: VPN uygulamasini gerçeklestirecegimiz örnek network’ümüz

Remote-to-Site VPN baglantisi olarak da bilinen bu yapida sirketimizin gezgin kullanicilari internet üzerinden VPN Server’imiza baglanarak ihtiyaç duyduklari sirket kaynaklarini kullanabileceklerdir. Özellikle istemcilerin gerçeklestirmis oldugu uzak baglanti maaliyetlerini düsürdügü için günümüzde bir çok sirket, bünyesindeki gezgin kullanicilarin sirket disindayken ihtiyaç duyduklari sirket kaynaklarini kullanmalari için VPN’i tercih etmektedir. ISA Server 2004 bu ihtiyaca fazlasiyla cevap veren bir yazilim. Ayrica ISA Server 2004 ile birlikte gelen yeni özellik sayesinde VPN baglantisi gerçeklestiren istemcilerin yerel network’de ulasabilecekleri yerleri kisitlayabilmemiz ve hangi protokolleri kullanabileceklerini bizim belirleyebilmemiz mümkün. Bu sayede VPN istemciler üzerinde daha fazla kontrol sahibi olabiliyoruz. ISA Server 2000’de VPN baglantisi gerçeklestiren bir kullanici tüm yerel network’e ulasabiliyordu ve biz bunu kisitlayamiyorduk. Simdi ise istemcilerin nereye ulasacaklarini hangi protokolleri kullanabileceklerini belirleyebiliyoruz.

ISA Server 2004’un istemcilerden gelecek VPN baglantilarini kabul etmesi için öncelikle Sekil-2’de gösterilen ISA Server 2004 yönetim konsolunu açip buradaki Virtual Private Networks (VPN)’e tiklayip VPN ayarlarinin yapildigi kismi açiyoruz.

Sekil-2:ISA Server’da VPN ayarlarinin yapildigi pencere.

Bu penceredaki “Verify that VPN Client Access is Enabled” link’ine tiklayarak ISA Server’in istemcilerden gelecek VPN baglanti isteklerini kabul etmesi için yapmamiz gereken ayarlarin bulundugu Sekil-3’deki pencereyi açiyoruz.

Sekil-3:ISA Server’in VPN istemcilerden gelecek baglanti isteklerini kabul etmesi için yapmamiz gereken ayarlarin bulundugu pencere.

ISA Server 2004’un VPN istemcilerden gelen VPN baglanti isteklerini kabul etmesi için bu pencerede bulunan “Enable VPN client access” kismini seçip “Maximum number of VPN clients allowed” kismina da ISA Server’in ayni anda kaç VPN baglantisina hizmet verecegini belirliyoruz. Groups tabina tikladigimizda karsimiza hangi kullanicilarin VPN baglantisi gerçeklestirebilecegini belirledigimiz Sekil-4’deki pencere çikar.

Sekil-4:Hangi kullanicilarin VPN baglantisi gerçeklestirebilecginin belirlendigi pencere

Bu penceredeki Add butonuna basarak VPN baglantisi gerçeklestirmesine izin verdigimiz grup yada gruplari seçiyoruz. Burada unutulmamasi gereken nokta bu gruplara üye kullanicilarin VPN baglantisi gerçeklestirebilmeleri için kullanici özelliklerindeki Dial-in tabinda bulunan Remote Access Permission (Dial-in or VPN) kismindaki seçeneklerden ya “Control access through Remote Access Policy” yada “Allow access” seçili olmalidir. Eger Domain’inizin functional level’i Windows 2000 mixed ise ki varsayilan level budur, bu durumda kullanicinin Dial-in özelliklerinde “Control access through Remote Access Policy” seçenegi seçilemez durumda olacaktir. Bu durumda ISA Server VPN baglantisi gerçeklestirmek isteyen kullanicinin VPN baglantisini kabul etmeden önce o kullanicinin dial-in özelliklerini kontrol edecektir. Eger Domain’inizin functional level’i Windows 2000 Native yada Windows Server 2003 ise bu durumda ISA Server VPN baglantisi gerçeklestirmek isteyen kullanicilarin baglanti isteklerini kabul etmeden önce kendi olusturdugu Remote Access Policy ayarlarini kontrol edecek ve baglanti istegini ondan sonra kabul edecektir. Eger domain’inizin functional level’i Windows 2000 Native yada Windows Server 2003 ise kullanicilarin dial-in izinleri “Control access through Remote Access Policy” seklindedir.

NOT

Sekil-5:Kullanicilarin Dial-in izinlerinin ayarlandigi pencere

VPN baglantisi gerçeklestirmesine izin verdigimiz kullanici gruplarini seçtikten sonra sira bu istemcilerin hangi tünel protokolünü kullanarak VPN baglantisi gerçeklestirebileceklerini seçmeye geldi. Bunun için Protocols tabina tiklayip Sekil-6’daki pencereyi açiyoruz. ISA Server 2004 varsayilan olarak sadece PPTP baglanti isteklerini kabul eder. PPTP baglantilarinda varsayilan olarak MPPE sifrelemesi kullanilir. Eger biz daha güvenli bir VPN baglantisi istiyorsak bu durumda “Enable L2TP/IPSec” seçenegini seçmeliyiz. Fakat burada unutulmamasi gereken bir nokta var. O da L2TP/IPSec baglantilari için hem ISA Server 2004’un hem de VPN baglantisi gerçeklestirecek istemcinin dijital sertifika sahip olmalari gerekiyor. Eger bu bilgisayarlarin dijital sertifikalari yoksa L2TP/IPSec baglanti girisimleri basarisiz olacaktir. Gerçi pre-shared key kullanarak L2TP/IPSec baglantisi gerçeklestirebilirsiniz ama bu durum çok fazla tavsiye edilmez. Ben bu yazi dizisinde önce PPTP ardindan L2TP/IPSec baglantilarinin nasil gerçeklestirilebilecegini anlatacagim. O yüzden bu penceredeki iki tünel protokolünü de aktif hale getiriyorum.

Sekil-6:VPN istemcilerin kullanabilecekleri tünel protokollerinin seçildigi pencere.

User Mapping tabina tikladiginizda ise karsiniza Sekil-7’deki pencere çikacaktir. Bu penceredeki ayarlar ile RADIUS ya da EAP kimlik dogrulama metodunu kullanarak kimlik dogrulama islemlerini gerçeklestirdiginiz kullanicilarin bir Windows hesabi ile eslesmesini saglar. Eger kimlik dogrulama metodu olarak Windows Authentication kullaniliyorsa buradaki ayarlar gözardi edilecektir. Yani ISA Server bir Domain üyesiyse ve kullanici kimlik dogrulama islemi sirasinda kullanici bilgilerini tam olarak açikca yazmissa buradaki ayarlar geçerli degildir. Bu penceredeki “Enable User Mapping” seçenegini seçerek kullanici esleme özelligini aktif yapiyoruz. Ayrica buradaki “When username does not contain a domain, use this domain” seçenegini seçip eger kullanici kimlik dogrulama islemi sirasinda domain ismini belirtmemisse hangi domain’in kullanilacagini asagidaki kisma yaziyoruz.

Sekil-7:Kullanici esleme ile alakali ayarlarin yapildigi pencere.

Bu ayarlari yaptiktan sonra yaptigimiz ayarlarin geçerli olmasi için Sekil-8’de gösterildigi gibi Apply butonuna basmamiz gerekiyor.

Sekil-8:Yaptigimiz degisikliklerin geçerli olmasi için Apply butonuna basiyoruz...

kaynak:http://bilisim.milliyet.com.tr