Üye Girişi
Bağlan Google+ ile Bağlan Facebook ile Bağlan
Yeni Kayıt
Tüm Forumlar
  • Tüm Forumlar
  • Donanım / Hardware
  • Network ve Güvenlik
  • Network
  • Bu Konuda
Şimdi Ara

Modemi, kendi üzerinden VPN yapılan IP dışında tüm internete kapatmak mümkün müdür?

Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
2 Misafir - 2 Masaüstü
5 sn
8
Cevap
0
Favori
2.523
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
Konuya Özel
0 oy
Öne Çıkar
Cevapla
Sayfa: 1
Giriş
Mesaj
  • 3 farklı lokasyonda birbirinden uzak binalarımız var. Söz konusu her bina için server alma imkanı olmadığından dolayı her bina için TP-Link TD-W8960N marka/model VPN destekli modem aldım. Her bina için 192.168.1.0, 192.168.2.0 ve 192.168.3.0 gibi farklı yerel ağ adresleri oluşturup her bir modem için gerekli IpSec ayarlarını girerek modemler üzerinden her üç binamızdaki bilgisayarları tek bir ağdaymışçasına topladım. Amacım Modemler üzerinden gerçekleştirdiğim bu donanımsal VPN yardımıyla, uzak binalarımızdaki Clientler de dahil olmak üzere tüm clientleri merkez binamızdaki tek bir server üzerinden etki alanı ve etkin group policy ayarları ile yönetebilmek. Buraya kadar sorun yok.

    Benim istediğim durumlar şunlar:

    1) Her makine internete kendi binasında bulunan modem üzerinden çıksın. Ancak clientleri etkin group policy ayarları ile merkez binadaki server üzerinden yönetmek istediğimden ve tüm clientleri etki alanına dahil edeceğimi varsayarak, merkez binadaki ve/veya diğer binalardaki clientlerin 1. DNS'lerini, 2. DNS'lerini ve Default Gateway'lerini nasıl girmem lazım? Etki alanı kullanımı gereği DNS'e merkez binadaki serverin IP adresini girmem gerekmiyor mu? (Server üzerinde DNS kurulu olması şart ve clientlere de bu DNS kurulu serverin IP adresini girmeliyim diye biliyorum) Ancak 2. DNS'e mesela google'ın 8.8.8.8 gibi bilinen bir DNS adresini girsem ne olur? Yani amacım serverden farklı binada buluna bir client internet erişiminde bulunacaksa doğrudan google'ın DNS ini kullansın, ama intranet üzerinde bir veri iletişimi yapacaksa server'in DNS'ini kullansın.

    2) Merkez bina dahil olmak üzere tüm hizmet binalarımızdaki clientlerın internete erişiminde (server üzerindeki group policy kısıtlamaları haricinde) modem üzerinden herhangi bir kısıtlama olmasın ancak, merkez binadaki server internete çıkamasın. Yani server modem üzerinden yapılacak bir ayar ile LAN dan WAN'a çıkmak istediğinde sadece VPN (IpSec) ile belirlenen noktaların sabit WAN IP adreslerine erişim sağlayabilsin. Bunun dışında hiçbir düzeyde hiçbir internet çıkışı bulunmasın. Bu ayarlama modem üzerinde olsun ve en temel düzeyde, tüm portları kapsayacak şekilde yapılandırılsın. Ama bu internet erişimi kısıtlaması sadece web sitesi anlamında değil, işletim sisteminin kendi kaynak kodlarında belirtilen ve arka planda bilinmeyen tüm internet erişimlerini de engelleyebilecek kadar temel düzeyde ve sağlam olsun.

    3) Tüm clientlere sabit IP vereceğim. Ancak binaya gelen herhangi bir misafirin Laptop üzerinden internete erişebilmesi için (bu bilgisayarlara internet kısıtlaması, group policy ve etki alanına alma olayı olmayacak) DHCP'nin de aktif olması gerekiyor. Bu durumda DHCP ile IP dağıtma olayını merkez binadaki serverdan, Server 2008 R2 üzerinden gerçekleştirmek mi mantıklı, yoksa her binalardaki modemler kendi ağlarına IP mi dağıtsın? Bir de söz konusu binalardaki personelin şahsi Laptoplarını getirdiği durumlar var. Bu durumda da istiyorum ki bu şahsi bir Laptop da olsa internet erişiminin etkin kontrolü ve diğer kontroller için de etki alanına alınsın ve group policy ayarlarım ile yönetilebilsin. Tabi son olarak internet bağlantısını kullanan personelin akıllı telefonları için de bu etki alanı ve group policy yada internet erişim kısıtlamaları uygulanabilsin (tabi bunları etki alanına almak gibi bir durum olamayacak sanırım dolayısıyla sadece modem üzerinden internet kısıtlamaları ve/veya filtrelemeleri yapılabilir). En azından personelin önceden MAC adresi ile bana kayıt ettireceği bu smart telefonlara yada laptoplara modemden sabit ip dağıtılabilsin.


    Çok sordum biliyorum ama şu an için özellikle 2. sorunun cevabı bana acil olarak gerekli. Tüm araştırmalarıma rağmen buna bir cevap bulamadım. İlginize teşekkür ederim arkadaşlar...



    < Bu mesaj bu kişi tarafından değiştirildi ajunbegii -- 12 Haziran 2013; 15:32:45 >







  • Çok zor sorular mı sordum acaba? :)
  • Merhaba 1. sorunuza cevap vercek olursak bir etki alanı kurmanız halinde otomatik olarak active directory tarafından bir dns rolüde kuracaksınız dns olarakta normal şartlarda kendini (server'i) görmesi yapının daha mantıklı olmasını sağlar
    2.sorunuza gelecek olursak bu sistemi server 2008 üzerinden yapmak yerine (yapılabilir gibi görünüyor dhcp rol ve firewall yazılımı) ile sağlayabilirsiniz
    Bence şirketinizin bütçesi var ise bir firewall cihazı alın kullanın derim server'a gerek kalmadan hem dhcp fonksiyonlarını hemde kısıtlama olsun içerik yönetimi olsun tüm müdehaleleri yapabilirsiniz diye tahmin ediyorum ayrıca bu konuyu server işletim sistemi vb. konuların paylaşıldığı forum sitelerinde sormanız daha faydalı olur
  • İlginize çok teşekkür ederim. Peki Clientlarda IP Yerel Ağ Bağlantısı IPv4 yapılandırmasında yer alan 1. DNS ve 2. DNS alanlarına; 1. DNS için Domain Controller'ın IP adresini, 2. DNS için ise örneğin google'ın bilinen bir DNS IP adresini yazsam ne olur? Daha uygun bir yapı olur mu benim için?

    Bir de Server 2008 R2 kullanmak zorundayım malesef. Ve firewall cihazı alabilme imkanımız yok.



    < Bu mesaj bu kişi tarafından değiştirildi ajunbegii -- 17 Haziran 2013; 19:00:49 >
  • quote:

    Orijinalden alıntı: ajunbegii

    İlginize çok teşekkür ederim. Peki Clientlarda IP Yerel Ağ Bağlantısı IPv4 yapılandırmasında yer alan 1. DNS ve 2. DNS alanlarına; 1. DNS için Domain Controller'ın IP adresini, 2. DNS için ise örneğin google'ın bilinen bir DNS IP adresini yazsam ne olur? Daha uygun bir yapı olur mu benim için?

    Bir de Server 2008 R2 kullanmak zorundayım malesef. Ve firewall cihazı alabilme imkanımız yok.

    Merhaba 2.dns olarak google dns yazdığınız zaman 1.dns sunucusu sorun yaşamadığı takdirde hiçbir problem olmaz, diyelimki server kapandı veya çalışmıyor bu durumda client bilgisayarlar 2.dns sunucu üzerinden internete çıkarlar sorun olmaz. Daha uygun bir yapı olurmu? evet olur clientler in internet erişimi kesilmez ama senin yaptığın dns fonksiyonlarıda geçersiz olur ama ben olsam secondary dns yapısı kurur ana makinem sıkıntı yaşar ise yada bakım yapmam gerekiyor diyelim 2.dns sunucu üzerinden internet erişimi devam ederler tabi bu mükemmel yapı oluyor :D ayrıca dns sunucuyu modem üzerine girerek de otomatik atama yapabilirsiniz böylece elle girmenize gerek kalmaz



    < Bu mesaj bu kişi tarafından değiştirildi altanbilisim -- 18 Haziran 2013; 12:17:54 >




  • vay, bu iyi ya da kötü? biraz pahalı, değil mi? bkz:http://rmz.co/fNhu
  • altanbilisim kullanıcısına yanıt
    Aslında Primary Domain Controller yanına Addition Domain Controller yapabileceğim bir makine var. Çok iyi olmasa da en azından böyle durumlarda yada kısa süreli sunucu bakımlarında idare eder. Bunu domain yapıma alabilirim. DNS sunucuyu modeme girmekten kastınız da sanırım clientlarda dns sunucuyu otomatik al seçeneği etkin olduğunda modemin atayacağı dns sunucusu olarak, modemin arayüzünde kendi domain yapımıza hizmet veren dns sunucularımızın IP adreslerini girebileceğimiz bir alan olduğu. Bu bahsettiğiniz güzel bir öneri oldu benim için. DNS'i modemin dağıtıyor olması yeterli olacak, ekstra bir ayar yapmadan ve kolaylıkla clientların, kendi DNS'lerimizi kullanmış olması sağlanacak.
    İlginiz için çok teşekkür ederim...
  • quote:

    Orijinalden alıntı: ajunbegii

    Aslında Primary Domain Controller yanına Addition Domain Controller yapabileceğim bir makine var. Çok iyi olmasa da en azından böyle durumlarda yada kısa süreli sunucu bakımlarında idare eder. Bunu domain yapıma alabilirim. DNS sunucuyu modeme girmekten kastınız da sanırım clientlarda dns sunucuyu otomatik al seçeneği etkin olduğunda modemin atayacağı dns sunucusu olarak, modemin arayüzünde kendi domain yapımıza hizmet veren dns sunucularımızın IP adreslerini girebileceğimiz bir alan olduğu. Bu bahsettiğiniz güzel bir öneri oldu benim için. DNS'i modemin dağıtıyor olması yeterli olacak, ekstra bir ayar yapmadan ve kolaylıkla clientların, kendi DNS'lerimizi kullanmış olması sağlanacak.
    İlginiz için çok teşekkür ederim...

    Aynen Öğle size önerim her zaman yedekli sistemler kurmanız elinizde fiziksel bilgisayar yok ise sanallaştırma tarafında yapmaya çalışın felaket senaryolarında hayat kurtaran çözümler hem sizin hemde şirketinizin faydasına olacaktır, aynı dili konuştuğumuza sevindim :)




    • 
Sayfa: 1

Benzer içerikler

- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.
Hizmet kalitesi için çerezleri kullanabiliriz. DH’ye girerek kullanım izni vermiş sayılırsınız.
Anladım Veri Politikamız