Forefront UAG Server içerisinde firewall friendly olarak adlandırabileceğimiz (VPN bağlantısında HTTPS yapılandırması kullanılır) Layer 3 seviyesinde VPN çözümünü SSTP ile sağlayabiliyoruz.

SSTP VPN yapılandırması yine route and remote access alt yapısını kullanarak çalışmaktadır. Benzer bir teknoloji IAG üzerinde “Network Connector” adı altında yapılandırılabiliyordu ve bu bağlantı modeli halen UAG Server üzerinde desteklenmektedir. SSTP ile gelen avantajları belirtmek gerekirse

* VPN clientlar için herhangi bir driver gereksinimi yoktur. (Gerekli driverlar Windows 7 içerisinde bulunmaktadır)

* Sadece tek bir HTTPS bağlantı kuruluması yeterlidir.

* VPN clientlar için DHCP desteği sağlamaktadır.

* SSTP VPN ile User Base policy yapılandırması oluşturulabilir.

 

Aşağıda SSTP ve Network Connector karşılaştırmasını görebilirsiniz.

image

Not: Eğer sunucu üzerinde Direct Access yapılandırması varsa Network Connector UAG Server üzerine kurulamaz.

 

UAG/SSTP Limitasyonları

* Sadece Windows 7 clientlar bu bağlantıyı kullanabilir.

* Sadece browser olarak Internet Explorer kullanılabilir.

* UAG Server domain member olmalıdır.

* UAG Server array yapılandırmasında bağlantı kurulan clientlar için IP Adresi dağıtımını static pool içerisinden yapılaması gerekir.

 

SSTP Yapılandırılması

1. UAG Management içerisinde Admin menüsü altında Remote Network Access > SSL network Tunneling (SSTP) seçeneğini seçin

image

2. Aynı anda en fazla kaç kullanıcının bağlantı kurmasını istiyorsanız bu rakımı Maximum VPN client connections karşısına yazabilirsiniz.

image

3. Protocols sekmesinde Secure Socket Tunneling seçeneğini işaretleyelim.

image

4. VPN client’ların manuel belirlediğiniz bir IP havuzundan mı yoksa DHCP sunucudan mı IP alması gerektiğini IP address Assignment sekmesinde beliryebilirsiniz.

image

5. User Groups sekmesinde ise belirleyebileceğiniz sstp vpn grouplarının hangi IP adresi aralığına erişimeleri gerektiğini seçebilirsiniz. Örneğin sizin şirketinizde çalışmayan ama sadece belirli görevler ile sizin networkünüzde bulunan bazı sunuculara erişim yapması gereken clientlarınız bulunuyorsa user Groups sekmesi altında bu groupları ve erişilecek IP veya IP subnetlerini belirleyebilirsiniz.

 

SSTP VPN Portal Publish

Bu aşamaya kadar SSTP VPN’ni UAG üzerinden yapılandırmasını tamamlamış oluyoruz. Şimdi ise bir trunk altında SSTP erişimi publish edelim.

SSTP için oluşturmuş olduğum trunk içerisinde Applications başlığı altında Add butonu ile devam ediyorum.

image

6. Select Application başlığı altında client/server and legacy seçeneğini seçerek Next ile devam ediyorum.

image

7. Application Name karşısına SSTP bağlantıyı beliryen bir isim veriyorum ve Next ile devam ediyorum.

image

8. Endpoint policy altında varsayılan Non Web Application Access policy ile devam ediyorum (Daha sonra ki yazılarda UAG üzerinde ki end point policy’leri çok daha detaylı inceleyeceğiz)

image

9. Contiguration Server settings penceresinde bağlantı sonrasında client sistem üzerinde bir batch file veya bir exe uygulaması başlatmak isterseniz ilgili uygulamaları bu alanda belirtebilirsiniz.

image

10. Portal’da SSTP VPN ismi ile ve varsayılan Remote bağlantı icon’u ile görüntülenmesini sağlıyorum. Bağlantı icon’unu Icon URL altında değiştirmeniz mümkün.

image

11. Authorization seçeneğinde tüm autharize olan kullanıcıların bu bağlantıyı portal içerisinde görüp çalıştırmasına izin veriyorum. Tabi ki spesifik olarak sitediğiniz kullanıcıların veya grupların SSTP bağlantısına erişmesini sağlayabilirsiniz.

image

12. Son olarak Finish butonu ile wizard’I sonlandırıyorum.

image

Şimdi SSTP bağlantısını test edelim. Client makine üzerinden portala login oluyorum.

image

Gördüğünüz gibi bağlantı kurduğum trunk içerisinde SSTP bağlantısı bulunuyor. SSTP VPN seçeneğine tıkladıktan sonra bağlantının kurulduğunu ve internal resource’lara erişimi test edebilirsiniz.

image

Bağlantı kurulduktan sonra sağ alt köşede Portal Activity’e baktığınızda SSTP bağlantısının kurulduğunu görebilirsiniz.

image

Bağlantı kuruluduktan hemen sonra Connection Started uyarısı yine sağ alt bölümde görüntülenecektir.

image

Client üzerinde ipconfig /all çıktısı ile client’ın internal network içerisinde IP alıp olmadığını veya UAG Server üzerinde Web monitor içerisinde ve RRAS yapılandırması içerisinde client bağlantısını görüp takip edebilirsiniz.

Başka bir blog yazısında görüşmek üzere.

Yavuz YILMAZ