Merhaba,
Repo’daki ISO dosyasını indirim kurdum. Root kullanıcısına geçince’de otomatik NAC kurdu. Fakat web interface’sine ulaşamıyorum. Bakıyorum packetfence ve ahtapot servisleri ayakta. Fakata başka bir makineden https://ip-address:1443 adresine gidiyorum, bağlantı hatası veriyor. İki makine’de aynı ip bloğunda.
Hala yardım bekliyorum, keşke sitenizde bir yerde NAC’ın nasıl çalıştığı, hangi servisleri kullandığı, nereden ulaştığımızı ekleseydiniz.
Merhaba,
Forum genellikle son kullanıcıya destek verdiği için, burayı pek fazla takip etmiyoruz. Normalde e-posta bildirimi alırdık, lakin son bir haftadır e-posta sunucumuzda problem vardı. Gecikme için kusura bakmayın.
Hangi sürümü kurdunuz? Pardus-AHTAPOT-NAC-1.0-amd64.iso ile kurulum yapın lütfen, 5dk önce kurdum, konfigürasyon ekranına geldim. Bir problem yaşıyorsanız muhtemelen ağ bağlantınızla (kurulum sırasında bağımlı olduğu bazı paketleri repolardan çekmesi gerekiyor) problem olduysa, ya da kurulum yapmaya çalıştığınız platform uyumsuz ise problem yaşayabilirsiniz. Fiziksel sunucular, Qemu/KVM ya da esxi (vmware üzerinde switch yapılandırmanızın uygun olması gerekiyor, aksi halde konfigüre etseniz dahi 802.1x uygulayamazsınız, Ahtapot ile ilgili değil, networking ile ilgili bir konu) destekliyoruz. Bunların haricinde hiç bir platforma kurmanızı önermiyoruz, herhangi bir destek de sağlayamıyoruz (Virtualbox dahil, lütfen sadece kurumsal bir ortamda deneyin/kurun).
NAC çözümleri için daha evvel attığınız emaile cevap vermiştim, tekrar edeyim. Network Access Controllerlar , tamamen ağ topolojinize göre konfigüre edilmesi gerektiği için, dökümantasyon hazırlama konusunda problem yaşıyoruz (problem derken; Kamu kurumlarının ihtiyaçlarını göz önünde tutarak, ortak bir senaryo üzerinden dökümante etmeye çalışıyoruz, lakin bu süreç oldukça zorlu, herkes ağ topolojisini paylaşmaz takdir edersiniz ki).
Ağınızda kullandığınız istemci işletim sistemlerinden, kullandığınız switch/access point marka ve modellerine göre değişebiliyor tüm senaryo. Bu yüzden bu ürün oldukça üst seviye network bilgisi isteyen bir üründür, kur çalıştır tarzı değil. Zaten ilk kurulum ekranında da sizden ağ/vlan yapılandırmanız hakkında konfigürasyon isteyecek.
Lütfen belirttiğim durumları göz önünde tutarak, kurulumu tekrar deneyin, yine problem yaşarsanız test etmeniz için kurulu bir sanal makina imajı sizinle paylaşabiliriz.
Kolay gelsin, iyi çalışmalar dilerim.
ahtapot[a]pardus.org.tr
3 Beğeni
Teşekkür ederim, fiziksel bir test ortamında demo yapmaya çalışacağım. Tekrar sorunla karşılaşırsam, buraya yazarım.
Merhaba @ibrahim.ari Bey,
Ahtapot NAC demosunu gerçekleştirmek amacıyla fiziksel bir laboratuvar ortamı oluşturduk. Bu laboratuvarda firewall, switch ve sunucular gibi gerekli tüm ekipmanları kurduk. Ek olarak paylaştığım fotoğrafta da görebileceğiniz üzere bir yapı da inşa ettik. Ayrıca, belirttiğiniz Pardus-AHTAPOT-NAC-1.0-amd64.iso sürümünü fiziksel bir sunucu üzerine kurarak ilerledik.
Ancak, GUI arayüzü ile kurulum seçeneğini tercih etmeme rağmen GUI arayüzü aktif hale gelmedi. Ağ bağlantılarının kuralları sorunsuz bir şekilde yapılandırılmış olmasına karşın, makineye herhangi bir bağlantı sağlayamıyorum. SSH üzerinden erişim denemelerim sonuçsuz kalıyor. Çünkü Firewall’da erişemiyor.
Makineyi 1050, yani MNGMT vlanına atadım. Portunda ona göre ayarladım.
Bu konuda ilerleyebilmem adına elinizde başka bir ISO sürümü ya da çözüm önerisi olup olmadığını öğrenmek isterim.
Yardımlarınız için şimdiden teşekkür eder, iyi çalışmalar dilerim.
Saygılarımla,
1 Beğeni
Merhaba,
SSH üzerinden erişim sağlayamıyorsanız, güvenlik duvarı yapılandırmanızı kontrol edin lütfen. SSH standart 22 port üzerinden çalışmaktadır (konsol üzerinden # netstat -tulnp komutu ile ssh servisinin çalıştığından emin olun) .
Configurator ekranında, management için ayrı bir interface tanımlama şansınız var. Bu interface 'i yönetim ağı için kullanabilirsiniz, bu sayede erişim kaybı yaşamazsınız. VLAN ayarlamalarını aynı interface üzerinde yapabilirsiniz fakat bağlı olduğu switch port 'u buna göre konfigüre etmeniz gerekmekte.
İlgili VLAN yapılandırmasını configurator ekranında uyguladıktan sonra, DHCP sunucunuz üzerinden DHCP helper olarak NAC sunucusunun adresini girin (bu sayede DHCP Lease bilgilerinizin bir kopyası, NAC 'a gönderilecektir).
NAC 'ı firewall ile backbone arasına koymak zorunda değilsiniz, hatta şahsen backbone ile sunucu havuzunuz arasında konumlandırmayı tercih ederim (paylaştığınız diagrama göre). Çalışma prensibi olarak, NAC üzerinden herhangi bir trafik geçmeyecek. Ama NAC 'ın DHCP/AD sunucunuza erişiminin problemsiz olması gerekiyor. İşleyiş şu şekilde;
Client → Switch → İstemci layer2 üzerinden dot1x isteği yapar
Switch → NAC —> Switch gelen makina bilgilerini NAC’a iletir (switch inizin Radius konfigürasyonunu NAC erişim bilgilerine göre yapmalısınız)
NAC → AD → Nac kendisine gelen isteği biçimlendirerek AD ye sorar (ldap , AD ya da local auth, hangi yöntemi kullanıyorsanız, ama Machine Authentication için prosedür bu)
NAC → Switch → AD den gelen cevap, NAC ta tanımlanan Rule setlere göre radius cevabı oluşturulur ve Switch, NAC cevabına göre ilgili switch portuna VLAN ataması yapar.
Bu aşamadan sonra, istemci ilgili vlanda bulunan dhcp anonsunu alır, ve dhcp requesti ile ip talebinde bulunur, yani artık nac tamamen devreden çıkmıştır. Switch portuna atanan VLAN a bağlı olan DHCP sunucu devralır, atama yapar.
Not: Kurulum yaparken, sunucunun internet erişimi olması önemli, paket bağımlılıklarını repodan çekecektir.
Not 2: NAC ı backbone arkasına alırsanız daha rahat ilerleyeceksiniz gibi geliyor.
Not 3: Vmware ya da KVM imajı paylaşabilirim IP/Subnet bilgisi paylaşırsanız, preconfigured olarak da gönderebilirim. Bu talebinizi ahtapot[a]pardus.org.tr den iletebilirsiniz.
3 Beğeni
Merhaba İbrahim Bey,
Değerli geri dönüşleriniz ve detaylı açıklamalarınız için çok teşekkür ederim. SSH erişimi konusunda bağlantı sorununu çözdüm. İnterfaceler çakışıyormuş. Tavsiyeleriniz doğrultusunda firewall yapılandırmasını kontrol edeceğim. Ayrıca, VLAN ve DHCP yapılandırmaları konusunda da önerdiğiniz adımları takip edeceğim. NAC’ı sunucu havuzumuz ile backbone arasında konumlandırma konusundaki önerinizi de dikkate alacağım.
Eğer ilerleyen süreçte herhangi bir sorun yaşarsam, belirttiğiniz iletişim adresinden sizinle tekrar irtibata geçeceğim. İmaj paylaşım teklifiniz için ayrıca teşekkür ederim, şimdilik mevcut yapımız üzerinden devam edeceğim.
Yardımlarınız ve desteğiniz için tekrar teşekkür eder, iyi çalışmalar dilerim.
Saygılarımla,
1 Beğeni
Merhaba Hocam,
ISO talebimle ilgili olarak, sizin e-posta adresinize gerekli bilgileri ilettim.
İyi çalışmalar dilerim.