Site to Site IPSec Tunnel Yapılandırmasında Remote Site da bulunan Web sayfası Görüntülenmesinde Problem Yaşayabilirsiniz.
Merhaba. Bu yazi içerisinde çok sik karsilasilan bir problemin çözümünü paylasacagim. TMG Server üzerinden kurulan site to site VPN yapilandirmasinda uzak lokasyonda bulunan web sayfasini açmak istediginizde problem ile karsilasabilirsiniz. Problemin olus asamasinda ki detaylari asagidaki makalede görebilirsiniz.
You cannot browse Web servers on a remote site when you use IPsec tunnels to connect sites on a Windows Server 2003-based computer that is running ISA Server 2004, ISA Server 2006, or Forefront Threat Management Gateway, Medium Business Edition
https://support.microsoft.com/kb/885351/
Çözüm adimlari için öncelikle 80 ve 443 portu için Custom Protocol’ler olusturalim. Bunun için Firewall Policy üzerindeyeken sag taraftaki panel içerisinde toolbox mensünde New altinda Protocol seçenegini seçelim.
Protocol ismi olarak ben “Custom http” adini vererek devam ediyorum.
Sonraki ekranda New buttonuna tiklayalim.
Protocol Type: TCP
Direction: Outbound
Port Range > From: 80, To: 80
Olacak sekilde yapilandirdiktan sonra OK butonuna tiklayalim.
Next ile devam edin ve sonra ki ekranda Secondery Connection olusturmayacagimiz için tekrar next butonu ile devam ederek Finish ile Wizard’i sonlandirin.
Eger remote site’da erismeniz gereken SSL bir web sayfasi bulunuyorsa ayni adimlari Port Range araligi 443 olacak sekilde yapilandirabilirsiniz.
Bir sonraki adimda ise remote site’da erismeniz gereken web sayfasi için bir URL set olusturabilirsiniz veya erismeniz gereken makinenin IP adresini biliyorsaniz bir Computer objeside olusturabilirsiniz.
Ben yeni bir computer objesi olusturmak için yine toolbox içerisinde New seçenegi ile Computer’u seçip devam ediyorum.
Remote site’da bulunan IIS Server’i belirleyici bir isim verdikten sonra bu makinenin IP adresini yaziyorum.
OK ile islemi sonlandiriyorum.
Bu asamdan sonra sira Firewall Policy üzerinden asagidaki 2 kurali yazmamiz gerekmektedir.
Yeni bir Access kurali olusturun,
Rule Action : Allow
Protocols: Custom Http (User defind klasörü altindan ulasabilirsiniz.)
Access Rule Source : Internal
Access Rule Destination: Branch Office IIS Server
User Sets: All Users (Dilerseniz burada sadece erisilmesini istediginiz user setleri ekleyebilirsiniz.)
Olusturulmasi gereken diger kural ise bir DENY kurali olacaktir. BU kural mutlaka Allow olarak yapilandirdigimiz kuralin hemen altinda olmasi gerekmektedir.
Rule Action : DENY
Protocols: HTTP
Access Rule Source : Internal
Access Rule Destination: Branch Office IIS Server
User Sets: All Users
Bu olusturdugumuz rule’lar sayesinde client makineden gelecek http istekleri Web Proxy Filter’da islem görmeden remote site’a iletilecektir.
Umarim yukaridaki adimlar yardimci olmustur.
Yavuz YILMAZ
Comments
- Anonymous
January 01, 2003
Nice