Microsoft Server ailesinden Windows Server 2012 R2 DC işletim sistemi üzerinden RRAS (Routing and Remote Access Service) ile uzak bağlantıyı nasıl oluşturabileceğimize değineceğim bu makalemizde. Ne işimize yarayacak bu RRAS diye soracak olursanız kısaca değinelim. Ofisiniz dışında bulunan şubelerinizi kolaylıkla ağınıza bağlayıp sanki ağınızdaymış gibi aralarında güvenli bir iletişim sağlamalarını, dosya paylaşımında bulunmalarını sağlayabilirsiniz. Ofis ve şubelerdeki ağa bağlı çevre birimlerine müdahale edebilir ve kullanabilirsiniz. Şimdi RRAS kurulumuna başlayalım.
Sunucu Yöneticisini açıp Rol ve özellik ekle diyerek yapılandırmaya başlayalım.
İleri butonuna tıklayınız.
Tekrar İleri butonuna tıklayınız.
Kullandığımız sunucuya kurulum yapacağımız için sunucumuzu seçip İleri butonuna tıklayınız.
Rollerden Uzaktan Erişim’i seçip İleri butonuna tıklayınız.
Herhangi bir özellik eklemeyeceğimiz için İleri butonuna tıklayınız.
Tekrar İleri butonuna tıklayınız.
Rol hizmetlerinin tümünü seçip İleri butonuna tıklayınız.
Tekrar İleri butonuna tıklayınız.
Web Proxy kullanacağımız için IIS rolünü de kurmamız gerekiyor. Ekstra yüklemek istediğiniz özellikler varsa buradan yükleyebilirsiniz. İşleminizi yaptıktan sonra İleri butonuna tıklayınız.
Yükle butonuna tıklayarak yüklemeyi başlatalım.
Kurulum bitti. Kapat butonuna basalım.
Sunucu Yöneticisine girip Araçlar sekmesi altında bulunan Bilgisayar Yöneticisine girelim.
Hizmetler ve Uygulamalar altında bulunan Yönlendirme ve Uzaktan Erişim sekmesi bizim RRAS yapımızı oluşturacağımız bölüm. Yapılandırmadığımız için kırmızı işaretli şimdi sağ tıklayıp Yapılandır ve Etkinleştir seçeneğini seçelim.
Yapılandırmayı başlatmak için İleri butonuna tıklayınız.
İster size sunulan hizmetleri seçip otomatik düzenleme yapabileceğiniz gibi Özel yapılandırma diyerek kendi istediğiniz ve manuel bir yapılandırma yapmanız da mümkün. Biz Özel yapılandırmayı seçelim
Uzaktan erişim ve ağımıza bağlı olan terminalleri de vpn üzerinden internete erişmlerini istediğimiz için VPN erişimi ve NAT seçip İleri butonuna tıklayınız.
Son butonuna tıklayınız.
RRAS yapılandırmamız başlamak için Hizmeti başlat butonuna tıklayınız.
Yapılandırma bittikten sonra aşağıdaki ekran bizi karşılayacak.
Yapılanma tamamlandı. Kırmızı olan işaret yeşile döndü RRAS yapımız hazır demektir. Şimdi bir kaç düzenleme yapalım. Dış yada iç ağımızdan vip ile bağlanan terminallerin internete erişebilmeleri için NAT düzenlemesini yapalım. IPv4 kullandığımız için IPv4 sekmesi altında NAT seçeneğine gelelip sağ tıklayarak Yeni arabirim ekleyelim.
Sunucumuza bağlı ic_ag olarak adlandırdığım internet erişii olmayan ağımızı seçiyorum. (Eğer tek ethernet kartınız varsa sadece dıs_ag seçeneğini uygulayabilirsiniz.)
k
Tamam butonuna tıklayınız.
Yine sağ tıklayıp bu sefer internalı ekleyelim.
Tamam butonuna tıklayınız.
Natımıza ic_ag ve internalı ekledik. Şimdi tekrar sağ tıklayınız ve Yeni Arabirim ekleyelim.
Seçeneklerden dıs_ag seçeneğini seçiniz ve Tamam butonuna tıklayınız.
Internet erişimimiz bu ağdan olacağı için Internet’e bağlı arabirim ve güvenlik duvarı seçeneklerini işaretleyelim. Bu şekilde ağımıza bağlanan terminallerin internete çıkmalarına da izin vermiş oluyoruz. Bunu İç ağınıza bağlı kullanıcıların internete erişmeleri için de kullanabilirsiniz.
NAT yapılanmamız tamam bir kaç düzenleme daha yapalım. Yönlendirme ve Uzaktan Erişime sağ tıklayıp Özellikler sekmesini seçelim.
Yönledirici rollerini ve uzaktan erişimin hangi protokol üzerinden sağlanacağını ayarlayabilirsiniz. Biz ikisini rolü de IPv4 üzerinden sağlayacağımız için IPv6 aktifleştirmeye gerek yok.
Güvenlik seçeneği altında VPN bağlantısının hangi tür olacağını oturum açma çeşitlerini ve ssl sertifikası kullanmak işlemlerini yapabileceğimiz bölüm. L2TP türü bir bağlantı sağlamak isteyip istemeyeceğimizi soruyor. Eğer L2TP yapılandırmak isterseniz VPN bağlantınızı L2TP olarak oluşturmanız gerekecektir. Biz PPTP olarak oluşturacağız ve oturum açmak için de Windows Kullanıcı hesaplarını seçeceğiz.
IPv4 kısmında DHCP kullanıp kullanmayacağımızı ve DHCP, DNS kullanıyorsanız WINS adreslerinin hangi bağdaştırıcı üzerinden sağlamak istediğimizi soracak.
Biz DHCP değilde kendi sitediğimiz bir ip blokuna almak istiyorsak VPN bağlatısı sağlayacak olan kullanıcıları Statik Adres Havuzunu seçip Ekle butonuna tıklayınız.
Bir ip aralığı girip Tamam butonuna tıklayınız.
Yaptığımız değişiklikleri Uygula butonuna tıklayarak kaydedelim.
IPv6 sekmesine IPv6 kullanmadığımız için herhangi bir düzenleme yapmaya gerek yok.
IKEv2 sekmesinde bağlanacak kullanıcıların bağlantı ile ilgili düzenlemesi. Örneğin 5 dakika herhangi bir işlem akışı olmazsa bağlantısı kesilsin gibi.
PPP sekmesinde noktadan noktaya bağlantı kullanımı için yapabileceğimiz düzenlemeler mevcut.
Günlük sekmesinde RRAS log kayıtları ile ilgili. Gerekli düzenlemelerimizi kaydettikten sonra şimdi RRAS bağlantısı sağlayabilecek kullanıcılarımızı belirleyelim.
Eğer AD kullanmıyorsanız Bilgisayar Yöneticisi kısmından Kullanıcılar bölümüne girebilirsiniz. AD kullanıyorsanız Sunucu Yöneticisini açıp Araçlar menüsünden Active Directory Kullanıcıları ve Bilgisayarları sekmesini seçiniz.
Örneğin Zülfü Mehmet adlı kullanıcımıza izin vermek için kullanıcıya sağ tıklayınız ve Özellikler seçeneğine tıklayınız. (Eğer yeni bir kullanıcı oluşturacaksanız oluşturduğunuz kullanıcıya şifre atanan bölümde bir sonraki oturumda şifreyi değiştirebilir seçeneği işaretli olmaması gerekiyor aşağıdaki gibi olmalı. Aksi halde VPN bağlantı oluşturacağınız zaman bağlantıyı sağlayamazsınız.)
Açılan menüden İçeri Ararken sekmesi altında bulunan Uzaktan Erişim izni bölümünden Erişime izin ver kutucuğunu işaretleyelim.
Eğer kullanıcılara sabit ip ermek istiyorsanız Statik IP Adresleri Ata kutucuğunu işaretleyiniz.
Kullanıcıya atamak istediğiniz ip adresini girip tamam butonuna tıklayınız. Genel yapılanma bitti. VPN bağlantısı oluşturacak kullanıcıyı seçtik. NAT yapıp internete çıkışlarını sağladık. IP bloğumuzu belirledik. Kullanıcıya statik ip verdik. Şimdi terminallerimizden VPN bağlantısını oluşturalım.
Ağ ve Paylaşım merkezine girip Yeni bağlantı ve ağ kuru seçelim.
Çalışma alanına bağlan seçip İleri butonuna tıklayınız.
Internet bağlantımı (VPN) kullan seçiniz.
Kullanıcı adımız ve şifremizi girip Oluştur butonuna tıklayınız.
Sunucu adresimizi girelim. İster dış bacak (modemden veya router üzerinden nat yad DMZ yaptıysanız) ip adresimizi ister iç bacak ip adresimizi girip vpn bağlantısı için bir ad belirleyip Şimdi bağlanma seçeneğini işaretleyip İleri butonuna tıklayınz.
VPN ağ bağlantımızı sağlayabiliriz artık. Kapat butonuna tıklayıp ağ bağlantımızı oluşturalım.
Ağ bağlantılarından belirlediğimiz VPN ağımızı seçip bağlanmaya çalışalım.
Bağlan butonuna tıkladıktan sonra herhangi bir yanlışlık yapılmadıysa bağlantı sağlanmış olması gerekiyor.
VPN bağlantı Ayrıntılarına baktığımızda ip olarak istediğimiz ip olan 10.0.30.52 aldığımızı göreceksiniz.
RRAS üzerinden Uzaktan Erişim İstemcilerine baktığımızda bağlı olan kullanıcıları görebilirsiniz. Kullanıcılara çift tıkladığımız zaman karşımıza çıkan menüden kullanım ayrıntılarına bakabilir bağlantısını kesebilirsiniz. Şimdi kontrol edelim terminaller ve sunucu ile iletişim kurabiliyor muyuz?
Önce bağlı olan terminallere bakalım
İki tane istemcilerimiz bağlı biri 10.0.30.52 diğeri 10.0.55 ip adresine sahip. 10.0.30.52 ip nolu terminalden 55 ve sunucumuza bağlanalım.
Bağlantı sağlandı. İletişim kurabiliyoruz 10.0.30.55 ip nolu terminalle.
Sunucu ip adresimiz 10.0.30.10 IPv4 de DHCP değil de elle ip aralığı 10.0.30.10 / 10.0.30.69 olarak belirlemiştik ilk ip adresi sunucuya ait oluyor.
Sunucu ile de iletişim kurabiliyoruz.
Sagolasın
yasaklı sitelerede girebilirmiyiz
Evet
Sunucu Yöneticisini nerden açıyoruz
Bilgisayarıma sağ tıklayıp yöneti seçiniz.
Konuyu çok güzel, ayrıntılarıyla ve akıcı bir şekilde paylaşmış sınız, Sizin gibi değerli insanlardan öğrenecek fazlasıyla ok bilgi olduğuna inanıyorum…
benim sistemimde olası hack saldırılarına karşı Server RDP bağlantısını kapalı. Ayrıca teamwiewer , vnc ile de bağlanmak istemiyorum. Vpn ne derece güvenli olur bilemiyorum… servere güvenli olarak bağlanacağım ne /nasıl bir sistem önerirsiniz…
İnternete açılan bir kapı sorunsuz olamaz bunu bilmeniz gerekiyor öncelikle. Yapılacak tek şey önlem almak. Nasılsa bir eve hırsız girmemesi için kapılara pencerelere koruma yapıyorsak bunu da o şekilde düşünün. Uzaktan erişimin en güvenilir olarak şu şekilde yapabilirsiniz. Bir VPN ağ oluşturdunuz. Bunu daha da güvenli hale getirin. Örneğin PPTP tek kullanıcı adı şifre sorar. siz PPTP türünü kapatıp daha güvenli olan L2TP türünü aktif edin. Hem kullanıcı adı şifreyi sorar. Hem sunucu için belirlenmiş bir key ile giriş yapabilirsiniz.
İlgili makaleye https://www.zulfumehmet.com/rras-uzerinden-l2tp-protokolu-ile-vpn-baglantisi-saglama/ burdan bakabilirsiniz.