UAG Server üzerinde SSTP VPN yapılandırmasını oluşturdunuuz ve sonrasında bağlantı kurulduktan hemen sonra “Connection Ended” hatası karşılaşabilirsiniz ve internal kaynaklara erişim sağlayamayabilirsiniz.

Bu hatanın oluşmasına sebep olabilecek bir çok etken söz konusudur ancak genel anlamda bu problem UAG Server üzerinde sertifika yapılandırması ile ilgi bir hatadan kaynaklanabilir veya client sistemler sertifika için CRL (Certificate Revocation List ) check yapamadığı için bu problem oluşmaktadır.

 

Bu problem ile karşılaşıldığında öncelikli olarak kontrol edilmesi gereken alanlar aşağıdaki gibidir.

* Route and remote access service’i başlatalım. RAS properties’ine geçtikten sonra Security sekmesine geçin. Bu bölümde SSL certificate binding başlığı altında Default seçeneği yerine SSTP için kullandığınız sertifikayı seçin ve OK butonu ile pencereleri kapatın

Not: Bu değişiklik RAS Servisinin yeninden başlatılmasını gerektirir.

image

SSL certificate bind’i değiştirdikten sonra tekrar SSTP bağlantısını kontrol edebilirsiniz.

Bu konuda ki bir başka senrayo ise client sistemlerin Certificate Revocation List (CRL) URL’lerine erişim sağlayamadığı durumlarda oluşmaktadır.

Aşağıda bu konu ile ilgili bir örnek görebilirsiniz.

SSTP VPN yapılandırılmasında kullanılan sertifica içerisinde CRL kontrolü yapılaması için client’ın URL=http://comtrust.etisalat.ae/crl/serverca.crl adresine ulaşması ve buradan CRL bilgilerini alması gerekir. (Sizin kullanmış olduğunuz sertifikanın CRL URL’ini görmek için sertifikanın özeelilerine açın ve details bağlığı altında “CRL Distribution Points” özelliğine tıkladığınızda ilgili URL’i görebilirsiniz.)

image

Client tarafında toplanan network trace içerisinde bu durum aşağıdaki gibi görülmektedir.

 

Filter > (ip.addr eq 192.168.1.36 and ip.addr eq 195.229.85.171) and (tcp.port eq 51969 and tcp.port eq 80)

 

889 40.864925000 192.168.1.36 195.229.85.171 TCP 116 51969 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1
891 40.869290000 192.168.1.36 195.229.85.171 TCP 104 51969 > http [ACK] Seq=1 Ack=1 Win=65536 Len=0
892 40.869480000 192.168.1.36 195.229.85.171 HTTP 240 GET /crl/serverca.crl HTTP/1.1
899 41.072338000 192.168.1.36 195.229.85.171 TCP 104 51969 > http [ACK] Seq=137 Ack=1460 Win=64000 Len=0
1588 71.175737000 192.168.1.36 195.229.85.171 TCP 104 51969 > http [ACK] Seq=137 Ack=1461 Win=64000 Len=0
1589 71.175881000 192.168.1.36 195.229.85.171 TCP 104 51969 > http [FIN, ACK] Seq=137 Ack=1461 Win=64000 Len=0

 

İlgili URL’lere gönderilen get requestler yanıt gelememektedir. CRL kontrolü yapılamadığından SSTP VPN bağlantısıda kurulamamaktadır.

Bu sorunu geçici olarak aşağıdaki registry kayıdını oluşturup client sistemler üzerinde CRL kontrolü yapılmasını disable edebilirsiniz.

Not: Clientlar üzerinde CRL kontrolünün yapılmaması kesinlikle önerilen bir davranış değildir. Problemin kesin çözümü olarak seritifka dağıtısı ile iletişime geçip bu problemin çözümlenmesini sağlamanız gerekiyor.

* Kayıt defterini regedit ile başlatalım.

* Registry altında aşağıdaki anahtara kadar ulaşalım.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters

* Parameters üzerinde sağ tıklayalım, new seçeneği ile yeni bir 32-bit DWORD değeri oluşturalım.

* Değer adı olarak NoCertRevocationCheck ve değer verisi 1 olarak yapılandıralım.

Bu işlemden sonra client’ı restart ederek SSTP bağlantısının oluşup oluşmadığını kontrol edebilirsiniz.

Configure RRAS with a Computer Authentication Certificate

http://technet.microsoft.com/en-us/library/dd458982.aspx

 

Teşekkürler :)

Yavuz YILMAZ