OPENVPN ile Cloud Director Kaynaklarına SSLVPN Erişimi Nasıl Yapılır

Cloud Director Üzerine OpenVpn Kurulması

Genel Bakış

Bulut alt yapısında kullandığınız hizmetlere güvenli erişim son derece önemli bir konudur. Vmware NST-V sürümünde desteklediği SSL-VPN çözümünü NSX-T sürümünde desteklememektedir. Bu yüzden Cloud Director kaynaklarına erişim işin farklı çözümler kullanmamız gerekmektedir.

• vCloud üzerine Jump Server kurup bu server üzerinden diğer kaynaklara erişebilirsiniz. Bu seçenekte bazı güvenlik sorunları yaşanabilir. RDP servisini dünyaya açılması zaten önerilen bir durum değil eğer rdp servisi kullanılacaksa default portun değiştirilmesi ve server updatelerinin yapılması gerekmektedir.
• 3th party open ssl çözümler kullanmak
• Fortigate FW üzerinde SSL-VPN hizmeti kullanarak

Biz bu makalemizde OpenVpn kurarak kullanıcıların Cloud Director’a  3th party open ssl çözümü ile güvenli erişim sağlaması anlatacağız.

Kuracağımız OpenVPN, Virtual Appliances ve 2 kullanıcının aynı anda bağlanmasına izin veren ücretsiz olan versiyonudur. Community versionu kurarak sınırsız kullanıcı ile kullanabilirsiniz.

Cloud Director Üzerine OpenVpn Kurulması

OpenVpn kurulumuna başlamadan önce OpenVpn için bir tane network oluşturabilir veya var olan network'lerinizi kullanabilirsiniz. Biz daha güvenli ve yönetiminin kolay olması için yeni bir network oluşturduk.

Şuan yapımızda 3 adet network bulunmaktadır.

Network ile ilgili tanımlarımızı yaptıktan sonra Nat ve firewall tanımlarını yapmak için Edge Gateways ayarlarına gidilir ve gerekli Nat tanımları yapılır.

Dnat tanımını kullanıcıların dışardan içerideki SSLVPN sunucusuna erişmesi için yaptık. Sizin yapınıza göre farklı çözümlerde kullanabilirsiniz. (port yönlendirme,virtual ip tanımlama gibi.. )

Snat tanımını eğer sslvpn server update yapılacaksa veya farklı bir ihtiyacınız var ise internette çıkmak için için yapabilirsiniz. Böyle bir ihtiyacınız yok ise sunucuyu internette çıkarmayınız. Kendi lokalinizde kapalı kalması daha güvenli olacaktır.

OpenVPN Nat tanımlarından sonra dışardan kullanıcıların erişmesi için 443 ve 943 portlarının dünyaya veya sizin izin vereceğiniz ip adreslerine açılması gerekmektedir. Firewall ayalarından bu tanımlar yapılır.

Network tanımlarımız bitti şimdi kuruluma geçebiliriz.

OpenVPN Kurulması

OpenVPN’ni linki üzerinden güncel sürümünü indirebilirsiniz.  Eğer indirilen dağıtım paketi Catolog üzerinde yok ise ova'yı import etmeniz gerekmektedir. Yeni vApp oluştur seçeneğinden Create vApp from Template ile kuruluma başlayabilirsiniz.

Vapp oluştururken kaynak ve network ayarları yapılır. Sizi belirlediğiniz ip adresi sunucuya verilir ve kurulum tamamlanır.

Kurulan VM’in root password’u Guest OS Customization ekranından ayarlayabilirsiniz.

Password belirlenebilir veya otomatik yaratılan password kaydedilmedir

OpenVpn sunucusunu root user ve belirlenen şifre ile giriş yapılır ve aşağıdaki soruları cevaplayarak kurulum tamamlanır. Bu soruların cevapları kendi ihtiyaçlarınıza göre değişiklik gösterebilir.

Eğer sunucu ayarları doğru yapılmış ise aşağıdaki gibi network ve ip adresi gelecektir. Buradan ilgili ip adresinin olduğu interface seçilir.

Admin Web UI erişimi için default port 943’tür, port değiştirebilir veya default olarak kalabilir.

Open VPN Daemon portu defal olarak 443’tür, Default port ile devam ediniz.

Kuruluma devam edildiğinde aşağıdaki sorular cevaplanarak devam edilir. Bu ayarlar ihtiyaçlara ve konfigürasyona göre değişebilir.

VPN ve Kullanıcı Ayarlarının Yapılması

OpenVpn 2 kullanıcının aynı anda bağlanması için free lisanslıdır. Eğer daha fazla kullanıcının aynı anda bağlanması isteniyor ise lisans satın alınmalıdır. Aşağıdaki ekranda eğer lisans anahtarı var ise girilmeli, Lisans anahtarı yok ise boş geçerek devam edilir ve free lisans aktif olur.

OpenVpn web yönetim ekranlarına default user olan “openuser” kullanılacak ise sunucu üzerinden değiştirilmelidir. #passwd openvpn komutu ile user şifresi değiştirebilirsiniz

Openvpn local ip adresi veya natladığınız wan ip adresi üzerinden erişebilirsiniz veya dns kaydı yapabilir ve FQDN ile erişebilirsiniz.

OpenVPN admin ekranlarına erişim sağladıktan kullanıcı/grup oluşturma, network ve VPN ayarlını yaparak işlemlere başlıyoruz. Yapacağımız ayarlar genel kullanım için ve giriş seviyesinde olacak, kendi ihtiyaçlarınıza göre farklı ayarlar yapabilirsiniz.

Otamımızda bulunan aşağıdaki networkler ve sunucular için 3 tane kullanıcı oluşturacağız. DB_Admin kullanıcısı DB networküne, Web_Admin kullanıcısı Web networküne, alpagut kullanıcısının ise bütün networklere erişim sağlayabilecek.

Yapımıza göre user ve grupları oluşturduk. Her kullanıcı veya grubun farklı networkler erişim hakkı vereceğimiz için vpn ayarlarında aşağıdaki değişikliği yapıyoruz.

Yapacağımız diğer bir ayar ise user profildeki ip adresinin değiştirilmesi. Kullanıcı ilk login olduğunda ssl bağlantısını yapmak için OpenVPN client programını ve bağlantı profilini indirebileceğimiz bir ekran vermektedir. Aşağıdaki ekran üzerinde uygun platforma göre OpenVPN Connect programını indirebilirsiniz.

Kullanıcı profilinde yer ip adresi ilk kurulumda OpenVPN server ip adresi olarak gelmektedir. Bu adres private bir ip adresi olduğu için ofis dışınca bağlanan kullanıcılar hata alacaktır. Bu yüzden dnat yaptığımız public ip adresini yazmamız gerekli. Aşağıdaki ekrandan ip adresini değiştirebilirisiniz.

Yetkilendirme işlemlerini grup bazında daha gelişmiş şekilde yapabilirsiniz. Grup içinde oluşturulan erişim izinleri gruba eklenen kullanıcılar için geçerli olacaktır. Toplu işlem yapmak için bu seçeneği kullanabilirsiniz. Web ve DB için gruplar için network izinleri verildi.

SSL VPN Bağlantı Yapılması

 https://wanipadresiniz veya url ile kullanıcı web tarayıcı üzerinden giriş yapabilir.  Örn:https://openvpn.dorukcloud.com veya https://212.3.x.x.

Login olduktan sonra Vpn Client ve user profil bilgileri gelecektir. Bu ekran üzerinden kullanılan cihaza göre uygun VPN Client indirilip kurulumu yapılır. Connection Profile içerisinde bağlantı için gerekli bilgiler yer almaktadır.

OpenVPN Connect programı ve kullanıcı profil bilgileri indirilip kurulum işlemi yapılır. Kurulum ve kullanıcı tanımları yapıldıktan sonra bağlantı yapmak için hazırız ve bağlantı başarılı şekilde sağlandı.

Web_Admin kullanıcısı ile login olduk ve erişim testlerini aşağıda görebilirsiniz. Web sunucularının olduğu network'e erişim sağladık, DB network'üne ise erişimimiz yok.