Windows 2003 üzerinde RRaS servisini kullanarak internet daðýtýmý

[Chaos™]

Windows 2003 üzerinde RRaS servisini kullanarak internet daðýtýmý


Günümüzde internet vazgeçilmez bir ihtiyaç haline gelmiþ ve küçük veya büyük bütün þirket bünyelerinde çalýþanlara sunulan standart bir hizmet halini almýþtýr. Büyük çaplý firmalar internet trafiðini kontrol etmek için gerek yazýlýmsal gerekse donanýmsal firewall lar kullanýrken küçük ölçekli firmalar bir adsl modem ile bu daðýtýmý gerçekleþtirmektedir ler. Ancak gerek yazýlýmsal gerekse donanýmsal ürünleri satýn alacak bir bütçeye sahip olmayan firmalarda eðer internet trafiðini yönetmek ve kontrol altýna almak istiyorlarsa Windows Server 2003 ile beraber sunulan Routing and Remote Access ( RRAS ) Servisini kullanabilirler. Bu makalemde RRAS ile bir Windows 2003 server üzerinden internet daðýtýmý ve firewall özelliðini anlatmaya çalýþacaðým.
Örnek bir þirket yapýsý canlandýrmak gerekirse ; 20 makineli bir network te , bir adet Windows 2003 Server , 10 adet Windows XP Pro , 1 adet Adsl modem ile bir adet switch bu uygulama için yeterli olacaktýr ( daha küçük veya daha büyük yapýlar içinde kullanýlabilir sadece örneklendirmek için verilmiþ rakamlardýr.ADSL modem yerine G.SHDSL , router , juniper 5GT vb internet saðlayan cihazlar kullanýlabilir )
Öncelikle Windows 2003 Server üzerinde internet daðýtýmý yapabilmek için iki adet Ethernet interface olmasý gerekmektedir. Bunlarýn RRAS konfigürasyonundan önce ayarlanmasý ve gerek internet saðlayan cihaz ( adsl modem , router vb ) gerekse iç network teki makineler ile fiziksel iletiþim kontrol edilmelidir. Bu doðrultuda iki interface den birine internet ismi verilir ve ip olarak ise adsl modem ile ayný network idsin den ip verilir , örnek
ADSL Modem :
192.168.2.1/24
2003 Server Dýþ Bacak ( internet ) IP Adresi :192.168.2.10/24
DG : 192.168.2.1
DNS : 192.168.2.1
2003 Server Ýç Bacak ( lan ) : IP Adresi :172.16.0.1/16
DG : boþ
DNS : boþ ( domain ortamýnda dns yazýlmasý gerekir ancak workgroup ta ne yazdýðýnýz önemli deðildir , ancak 2003 üzerinde DC gibi kritik bir rol yoksa yine DNS önemli deðildir. Zaten DC için bu tavsiye edilmez iki interface den iki ip alacaðýndan özellikle forest yapýlarýnda bu iki ip DC için sorun teþkil eder. )
Ýstemci makinelerde ise ip konfigürasyonu aþaðýdaki þekilde olacaktýr
XP Pro : IP Adresi : 172.16.0.5/16
DG : 172.16.0.1
DNS : 172.16.0.1
Bu ayarlar yapýldýktan sonta artýk RRAS ý konfigüre edebiliriz.
Yönetimsel araçlarýn altýnda bulunan Routing and Remote Access kýsa yoluna týkladýðýmýzda karþýmýza aþaðýdaki gibi bir ekran çýkmaktadýr ;

Þekil -1
Karþýmýza çýkan mmc konsolundan server ý konfigüre etmeye baþlayalým. Öncelikle server üstüne sað týklayarak ?Configure and Enabled Routing and Remote Access ? seçiyoruz ve karþýmýza bir sihirbaz çýkýyor ,

Þekil -2
Next diyerek bir sonraki pencereye geçiyoruz ;

Þekil -3
Burada RRAS server ý hangi amaç için kullanacaðýmýz seçebiliyor ve bu doðrultuda sihirbaz ile ilerlemeye devam edebiliyoruz , yada custom diyerek birden çok özelliði ayný anda kullanabiliyoruz. Bizim amacýz iç networkte bulunan makineleri internete tek ip üzerinden çýkarmak olduðundan ( internet daðýtmak ) ikinci seçeneði seçiyor ve ilerliyoruz

Þekil -4
Burada , RRAS ýn internete baðlý olan interface ini seçtiðimiz ekrandýr . Eðer benim gibi interface leri isimlendirmiþ iseniz burada internete baðlý olan interface i seçmek kolay olacaktýr, bu seçim yapýldýktan sonra eðer RRAS ýn internet ile kullanýcýlar arasýnda bir firewall görevi görmesini istiyorsanýz aþaðýdaki seçeneði iþaretli býrakmanýz yeterli olacaktýr. Seçimler yapýldýktan sonra ?next? diyerek ilerliyoruz.

Þekil ? 5
Yeni kurulmuþ bir Windows 2003 üzerinde kurulum yaptýðýmýz için DNS ve DHCP servisleri yüklenmemiþtir , bu nedenle RRAS bu servisleri bulamadýðýný ve bu durumda isim çözümlemesi ile ip atamasý konusunda nasýl bir yol izleyeceðini bize sormaktadýr. Ýlk seçenekte ip atama iþini RRAS kendi yaparken isim çözümlemeyi internet üzerindeki bir DNS e göndereceðini belirtiyor ( ilk olarak kendi DNS i 192.168.2.1 , bu adsl modem olduðundan adsl modemde kendine genle dns isteklerini çalýþtýðý hat üzerinden aldýðý otomatik dns lere yönlendirecektir yani Türk Telekom un DNS leri ve bu yol üzerinden internete çýkabilmekteyiz. ) . Ýkinci seçenekte ise bizim DNS ve DHCP yi yapýlandýracaðýmýzý belirtiyoruz . Ben iþlerin daha zor olmasý için her þeyi RRAS a býrakýyorum ve ilerliyorum.
( Not : domain ortamýnda var olan DHCP server ýnýz ip daðýtýrken var olan DNS iniz de isim çözümler ve böyle bir yapýda bu seçeneðe rastlamazsýnýz. Bu yapýda RRAS daha rahat çalýþmaktadýr , ancak üzerinde DHCP ve DNS çalýþmayan bir Windows 2003 üzerinde dahi internet daðýtýmý mümkündür. )

Þekil -6
Bu ekranda RRAS kendisinden IP isteyecek istemcilere hangi havuzdan ip vereceðini tarafýmýza bildiriyor , bu bilgiyi aldýktan sonra ?next? diyerek ilerliyoruz .

Þekil ? 7
Bu ekran ise bize hazýrladýðýmýz RRAS konfigürasyonunun bir özetini sunmaktadýr. ?Finish? diyerek konfigürasyonu bitiriyoruz.
Artýk RRAS üzerinden kullanýcýlarýmýz internete rahatlýk ile çýkabilmektedir , Bu sayede internet çýkýþýmýzý merkezi bir hale getirdik. Bunu yararlarý ise merkezi yönetim , merkezi raporlama , bütünleþik güvenlik duvarý ve RRAS policy leri ile internet üzerinde hakimiyettir. Eðer Adsl modeminizde bütün portlarý ( DMZ ) RRAS sunucunuzun dýþ bacaðýna açarsanýz artýk içerideki firewall network ü koruyacak ve sadece RRAS üzerinden bir kural ile istediðini portu veya servisi açabileceksiniz. Yada isterseniz önce adsl modem üzerinde bir port açar ardýndan bu port tan içeri giren datanýn RRAS ýn sahip olduðu firewall a takýlmamasý için birde RRAS üzerinde port açmanýz gerekmektedir ( iki adet güvenlik duvarý ile uðraþmak istemiyorsanýz , ya adsl modeminizdeki tüm portlarý RRAS a yönlendirecek veya RRAs kurulumundaki güvenlik duvarý seçeneðini kaldýracaksýnýz. )
Eðer RRAS ile internete çýkan makinelerin birinde Web server yayýnlamak istiyorsanýz , öncelikle Adsl modeminizde 80 nolu portu RRAS ýn dýþ bacaðýna doðru yönlendirmelisiniz ardýndan RRAS tanda aþaðýdaki adýmlar ile Web Server için gelen 80 nolu pot isteklerini içerideki web server a aktarmalýyýz.
MMC konsolunda Ip Routing altýnda NAT / Basic Firewall sekmesine týklýyoruz ve sað taraftan internete baðlý interface i seçip özelliklerine giriyoruz.

Þekil -8
Özellikler penceresini açtýktan sonra ?Services and Ports ? sekmesine geliyor ve buradan Web Server ý seçiyoruz

Þekil ? 9
Seçimi yaptýktan sonra karþýmýz aþaðýdaki gibi bir ekran gelmektedir ;

Þekil -10
Burada Web Server ýn ip adresini belirtiriz . Bu iþlem bittikten sonra artýk RRAS ile gelen Firewall üzerinde bir Publish iþlemi yapmýþ olduk . Burada olmayan servisleri veya portlarý elle eklemeniz mümkündür.
Bu bilgiler ýþýðýnda artýk ( RRAS ile ) þirketinizdeki makineleri güvenli bir þekilde internete çýkarýp , internet üzerinden gelen bir istemci içinde þirket kaynaklarýný paylaþtýrmayý öðrenmiþ olduk .
Eðer VPN uygulamasýný DSL modem veya bir firewall arkasýnda yapacaksanýz VPN için gerekli portlarý açmanýz gerekmketedir. Bu port bilgileri aþaðýdaki gibidir
VPN Port numaralarý
PPTP için 1723 TCP/UDP ancak GRE protkolüde gerekli ( GRE protocol 47 ) ve bunun içinde tcp 47 nolu port açýlmaktadýr cisco cihazlarda ise gre protokolunu aktif hale getirmek yeterli
L2TP için ise : 1701 TCP/UDP , UDP 500 (receive/send) , UDP 4500 (receive/send) ,Pass IP protocol 50 ve 51
Baþka bir makalede buluþmak üzere.

Yayýnlanýþ Tarihi 18 Ocak 2007 Perþembe 04:19 Yayýnlayan: Hakan UZUNER