Local Ağ Kurup VPN Yapalım! / PART 1

Codx

Katılımcı Üye
30 Tem 2017
309
1

Merhabalar, iyi forumlar herekese.

Yapacaklarımızdan kısaca bahsedecek olursak eğer, bir adet Domain Controller, 2 adet DNS Server, 2 adet DHCP Server, 2 adet Client, 2 adet Route and Remote Access Protokolü için RAS / RRAS / Router kurup yapılandıracağız.

Birinci DNS Server'ımıza, ikinci DNS Server'ımızı Secondary Zone olarak tanımlayacağız.

DHCP Server'larımızın %50 - %50 Load Balance ile çalışmasını sağlayacağız. Bu sayede iki farklı network üzerinde bulunup RAS makineleri ile birbirleri arasında iletişim kurabilen bu makinelerden birisi stop durumuna düşerse diğerinden IP alınabilecektir.

Kuracağım İşletim Sistemleri

  1. 2 adet Windows Server 2012
  2. 2 adet Windows Server 2008
  3. 2 adet Windows 8

Bu partta ağırlıklı olarak kurulumlar üzerinde duracağız.

VMWare üzerinde kurulumları yapacağım. Klasik next next diyerek kurulumları yapıyoruz. Benim bu başlıkta anlatacağım konular işletim sistemlerinin kurulumları değil sadece söylemem gerekenleri söyleyeceğim.

Sanal makine olarak vmdk uzantılı sanal hard diski oluştururken verdiğim ayarlar bu şekilde. Alanını esneyebilir olduğu için disk alanının ayarlarını değiştirmedim. 60 gb alan vermeniz elbette şart değil.



Söyleyebileceğim bir başka şey, hangi evaluation'u kurduğum. İkinci seçeneği seçerek kurulumu gerçekleştiriyorum.



Bu bizim Domain Controller makinemiz olacak. Bunun ile birlikte üzerine DHCP ve DNS server da kuracağız. Makine kurulduktan sonra açılınca ilk iş adını değiştiriyorum.



Server Manager > Local > Computer Name > Chance

Adımları ile server name'i değiştiriyorum DC1 yapıp yeniden başlatıyorum. Bunun ile birlikte bu makineyi bir private networke bağlıyorum.



Burada söylemem gereken tek şey Host-Only şeklinde işaretlenmiş olması gerektiği onun dışında dikkat edilmesi gereken bir durum yok.

Bu makineden bir tane daha lazım bize ben tekrar kurmak yerine VMWare'in clone özelliğini kullanıyorum.

Clone'ladığım bu makineyi başka bir Host-Only Adapter'e bağlıyorum, ve adını değiştiriyorum.

İsimlerini değiştirmezseniz bir problem yaşamazsınız, ama ben düzenli çalışmayı seviyorum. Bu makineyi DNS2 olarak isimlendiriyorum.

Şimdilik bu makineler ile işimiz bitti o yüzden ikisini de kapatıyorum, fakat kapatmadan önce yapmamız gereken bir işlem var bu makinelere statik ip adresleri vermeliyiz. Server makineleri her yerde kaynak olarak kullanılacağı için DHCP'den ip alamazlar, eğer alırlar ise o zaman ip adresleri değiştiği için kullanıldığı her yerde ip adreslerinin güncellenmesi gerekmektedir. Bu sebeple server makinler statik ip adreslerine sahip olmalılar. IP'leri hiç bir zaman dinamik olamaz.

Domain Controller makinenin olduğu network 192.168.1.0 network'u olacak. Diğer network 192.168.2.0 network'u olacak.

IP adreslerini yapılandırıyoruz.



Makinenin IP adresini 192.168.1.1 olarak verdik. Gateway olarak da biraz sonra kuracağımız RAS makineye vereceğim IP adresini verdik. Alternatif DNS olarak olarak ikinci olarak kuracağımız ve secondary zone olarak tanımlayacağımız DNS server a vereceğim IP adresini verdim.

Gelelim ikinci makineye ikinci makinede durum yine bu makinedeki gibi olacaktır. Verdiğim IP bilgilerini gösterecek olursam eğer;



Şimdi gelelim RAS makinlerimize. İki adet Windows 2008 R2 Server kuracağız. Bu serverlarda Rouring And Remote Access Service çalışacak. RAS yada RRAS isimlerini de buradan almaktadır. Router da denebilir, fakat bu isimler piyasada karşılaşılan isimler olduğu için bunları burada zikretmek istedim.

Geçelim kuruluma;



Bu makineye iso dosyasını yükledikten sonra adını değiştiriyorum. Network kartını Host-Only olan 192.168.1.0 network'une göre ayarlıyorum. Bu makineye Gateway olarak DC'ye verdiğim IP adresini vereceğim. RAS makinelerin domaine alınması gerekmiyor şuan bizim işimizi domaine almadan da görebilirler.



Şuan 1.0'lı network'e bakan bacağımızın adını Private olarak değiştiriyorum, çünkü bir network kartı daha ekleyip onu da dışarı vericez RAS makineler arasında public interneti simüle ederek VPN tüneli yapacağız. Ardından bir kart daha ekliyorum ve adını public yapıyorum. Bu kısımda dikkat edilecek şey sanallaştırma teknolojileri üzerinde çalışırken Hyper-V yada VMWare gibi programlarda network adapter eklediğimizde eğer diğerinin adını değiştirmezsek üstüne bir de ikisini de aynı anda ekleyip IP adreslerini sonradan vermeye kalkarsak problem yaşarız bunu önlemek için adapter'larımı ekleyip IP verip isimlendiriyorum peşin peşin.

Bir tane daha ekleyip bunu NAT olarak ayarlıyorum. Adını public yapıyorum. IP adresini isterseniz 1.1.1.1 bile verebilirsiniz. Ben 5.0'lı network'e alıp IP adresini 192.168.5.0 yapıyorum.



Gateway olarak da bir sonraki resimdeki gibi 192.168.5.254 verebilirsiniz.

Bundan bir tane daha kuracağımız için isterseniz clone özelliğini kullanın isterseniz tekrar kurun fark etmez. Diğerini de kurup IP adreslerini yapılandırıyoruz.



İkinci RAS makinemizi kurduktan sonra bunları haberleştirmemiz gerekiyor. Bu sebeple VPN bağlantısını yapıyoruz.

Server Manager ekranından Add Roles seçeneğini seçip Network Policy And Access Services kutucuğunu işaretliyoruz. Sonrasında Next & Next diyoruz;



Peşinden bize bu başlık altında ekleyebileceğimiz seçenekleri sunuyor. Buradan Routing And Remote Access seçeneğini seçiyoruz;



Buradan sonra Install butonu gelecektir. Tıklayıp yüklüyoruz. Aynı işlemi diğer RAS makineye de uygulamamız gerekiyor.

Klavyeden windows tuşuna basıp "routing" yazarsanız Routing And Remote Access çıkacaktır. Bu seçeneğe tıklıyoruz.

Server Manager karşılar bizi bu durumda,



Roles > Network Policy And Access Services > Routing And Remote Access şeklinde buraya ulaşabiliriz ve sağ tıklayıp ilk seçeneği seçeriz.



Bizi bu şekilde bir kurulum sihirbazı karşılar. Bunların hepsini teker teker anlatmıyorum, biz birkaç tanesini yapacağımız için bizim bu ihtiyacımızı karşılayan bir seçenek burada bulunmadığı için ben custom configuration seçeneğini seçip next diyorum.



Bizim simüle ettiğimiz ortamda iki farklı şehirdeki şubeyi aynı ağdaymış gibi haberleştirmek şeklinde bir seneryomuz vardı.

LAN Routing
VPN Access
NAT

Seçenekleri bizim bu işimizi görmekte bu sebeple bu seçenekleri işaretleyip next diyorum.

Ardından Finish butonuna basıyorum, bunun ile birlikte bana servis başlatılsın mı diye bir seçenek sunuyor ve Start Service butonu ile servisi başlatıyorum.



Bakın yapılandırma yapmadan önce kırmızı ve aşşağı bakan bir ok simgesi vardı üzerinde bu down durumda olduğu anlamına gelmekte. Şimdi yukarı bakan yeşil bir ok var bu servisimizin ayakta olduğu anlamına gelmektedir.

Şimdi bu adımların aynısını diğer RAS makinemizde de gerçekleştirelim.

Ardından IPv4 tabına geliyoruz. Yapılandırmaya başlayabiliriz.



NAT seçeneğine sağ tıklayıp new interface diyoruz. Burada eklediğimiz iki ethernet kartının hangisinin iç bacak hangisinin dış bacak olduğnu belirteceğiz.



Dış bacak için oluşturup public diye adlandırdığım kartı seçiyorum.



Bunun Public olduğunu ve NAT çalışacağını belirtiyorum. Ardından hangi bacağın içeri baktığını belirtmem gerekiyor.



Ardından,



Private bacak olarak çalıştığını belirtiyorum.

Kafamızda modelleyebilmemiz için birkaç cümle edecek olursak eğer, lokal ağımızdan dış ağlara bağlanmamızda köprü rolü alan router cihazlarımızın (biz burada server makineyi router olarak yapılandırıyorduk) bir ucunun yolun karşısına uzandığını, diğer ucunun yolun bu tarafında olduğunu belirtiyoruz. Aynı işlemi diğer RAS makinesinde de yapıyoruz.

İnterface tanımlama işlemlerimizi yaptıktan sonra görüntümüz bu şekile olacaktır.



Ardından General seçeneğine gelip sağ tıklayarak New Routing Protocol seçeneğini seçiyorum.



Statik Routing ile uğraşmak istemiyorum ben bunu dinamik yapmak istiyorum. Bu yüzden RIP protolünü aktif edeceğim.



RIP seçeneği görüldüğü üzere geldi sağ tıklayıp New Interface diyorum.



Private seçeneğini seçip hiçbir şeyi değiştirmeden OK butonuna basacağım aynı şekilde Public seçeneğine tıklayıp yine bir şeyi değiştirmeden OK butonuna basacağım.



Interface'lerimiz geldi şimdi bu işlemleri diğer RAS makinede de yapıyorum.

İkinci RAS makinede Interface'leri tanımladığım zaman



Resimde görüldüğü üzere Responses sent alanında görüldüğü üzere hemen istek gönderip bağlanmaya çalışmaya başladı. Fakat yanındaki Responses recieved alanı hala 0 değerine sahip bu sorunsuz bir şekilde bu makine çalışıyor ama karşıdan bir dönüş gelmiyor anlamına geliyor.

Bende geliyorum diğer makinede önce IP adreslerini kontrol etmek amaçlı Interfacelerin bulunduğu alana bakıyorum. General seçeneğine tıkladığım zaman;



İşaretlediğim yerde IP adresinin bu Interface'de bulunmadığını söylüyor. Bende IP vermediğimi anlıyorum. Public olarak isimlendirdiğim ethernet kartının IP adresini kontrol ediyorum.



İsimlendirdiğimi görüyorum. Fakat hala ethernet kartı çalışmıyor. Bende bunun üzerinde gidip ethernet kartının ayarlarını kontrol ediyorum ve NAT modda kaldığını görüyorum. Diğer RAS makinem custom modda VMnet10(NAT) olarak bağlıydı. Bunu da aynı şekilde yapıyorum.



Ve interface'imiz IP aldı şimdi bağlantıyı kontrol edelim. Bu adımda güvenlik duvarının kapalı olması gerekli ki gereken haberleşme sağlanabilsin.



Bakın sağ taraftaki alanda Public kısmında bir hareketlilik oluştu biraz beklediğimizde. Şimdi bu makineler birbirlerini Public isimli interface'ler ile pingleyebilirler. DC olan makinemi açıyorum, ve karşıdaki Router'a test amaçlı ping atıyorum.



Görüldüğü üzere farklı bir network'e ait olmasına rağmen bunu sorunsuz bir şekilde pingleyebildim.

Bu partta anlatacaklarım bu kadardı sonraki partta görüşmek üzere okuduğunuz için teşekkür eder, iyi forumlar dilerim.

 
Son düzenleme:
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.