Şirketin mevcut CRM veritabanından tüm müşteri bilgilerini CSV formatında export ettim. Daha sonra örnek bir contact oluşturarak linux’ten ldapsearch ile bu contact’taki hangi alanın hangi attribute’a karşılık geldiğini tespit ettim. Aşağıda yazmış olduğum script ile de CSV formatındaki ilgili kolona karşılık her bir veriyi ldif formatına dönüştürdüm.

#!/bin/bash

# iletisim_bilgileri.csv dosyasının kolon sırası aşağıdaki gibi olmalı
# first_name,last_name,phone_mobile,phone_work,phone_other,phone_fax,email,company

IFS="
"

for i in `cat iletisim_bilgileri.csv`
do

givenName=`echo $i | cut -d, -f1 | sed "s/^ //g" | sed "s/ $//g"`
sn=`echo $i | cut -d, -f2 | sed "s/^ //g" | sed "s/ $//g"`
pmobile=`echo $i | cut -d, -f3`
pwork=`echo $i | cut -d, -f4`
pfax=`echo $i | cut -d, -f6`
email=`echo $i | cut -d, -f7`
company=`echo $i | cut -d, -f8`
nickname=`echo ${givenName} ${sn} | sed "s/ //g" | sed "y/ğüşıöçĞÜŞİÖÇ/gusiocGUSIOC/" | sed "s/[^a-zA-Z0-9]//g"`
givenName2=`echo ${givenName} | sed "s/ //g" | sed "y/ğüşıöçĞÜŞİÖÇ/gusiocGUSIOC/" | sed "s/[^a-zA-Z0-9]//g"`
sn2=`echo ${sn} | sed "s/ //g" | sed "y/ğüşıöçĞÜŞİÖÇ/gusiocGUSIOC/" | sed "s/[^a-zA-Z0-9]//g"`

echo
echo
echo "dn: CN=$givenName $sn,OU=Contacts,DC=firma,DC=com,DC=tr"
echo "objectClass: top"
echo "objectClass: person"
echo "objectClass: organizationalPerson"
echo "objectClass: contact"
echo "cn: $givenName $sn"
if [ "${sn}x" != "x" ]
then
    echo "sn: $sn"
fi
echo "givenName: $givenName"
echo "distinguishedName: CN=$givenName $sn,OU=Contacts,DC=firma,DC=com,DC=tr"
echo "instanceType: 4"
echo "displayName: $givenName $sn"
echo "proxyAddresses: X400:c=US;a= ;p=Firma;o=Exchange;s=${sn2};g=${givenName2};"
echo "proxyAddresses: SMTP:$email"
echo "targetAddress: SMTP:$email"
echo "mailNickname: $nickname"
echo "mAPIRecipient: FALSE"
echo "name: $givenName $sn"
echo "showInAddressBook: CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=Firma,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=firma,DC=com,DC=tr"
echo "showInAddressBook: CN=All Contacts,CN=All Address Lists,CN=Address Lists Container,CN=Firma,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=firma,DC=com,DC=tr"
echo "legacyExchangeDN: /o=Firma/ou=First Administrative Group/cn=Recipients/cn=$nickname"
echo "objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=firma,DC=com,DC=tr"
echo "textEncodedORAddress: c=US;a= ;p=Firma;o=Exchange;s=${sn2};g=${givenName2};"
if [ "${company}x" != "x" ]
then
    echo "company: $company"
fi
if [ "${email}x" != "x" ]
then
    echo "mail: $email"
fi
if [ "${pwork}x" != "x" ]
then
    echo "telephoneNumber: $pwork"
fi

if [ "${pmobile}x" != "x" ]
then
    echo "mobile: $pmobile"
fi

echo "msExchALObjectVersion: 23"
echo "msExchPoliciesIncluded: {CBEFB3AB-CFC6-4947-84B8-E2726B473828},{26491CFC-9E50-4857-861B-0CB8DF22B5D7}"
echo
echo

done

Yukarıdaki script’i aşağıdaki gibi kullanarak ldif’i üretebiliriz.

# ./ldif_uret.sh > contacts.ldif

Daha sonra bu ldif’i active directory’ye Linux üzerinden aşağıdaki komutla import edebiliriz.

# ldapadd -x -h 192.168.36.24 -D "cn=Administrator,dc=firma,dc=com,dc=tr" -W -f contacts.ldif

Bu yöntemle Contacts OU altında 1500′ün üzerinde adres defteri bilgisini bir dakikanın altında bir sürede import edebildim. Artık hem Outlook ile hem de Nokia E71 üzerindeki Mail for Exchange ile gelen Comp Directory uygulaması ile telefon ve e-posta bilgilerini sorgulayabilir oldum.

VirtualBox 2.1.0 ile gelen yenilikler beni oldukça etkiledi. Tam değişiklik listesine buradan ulaşılabilir. Ancak beni etkileyen yeni özellikler şu şekilde.

• Sanal ağ yapılandırması vmware’inki kadar kolaylaşmış, ağ erişim performansı artırılmış.
  Artık sanal bilgisayar kolayca yerel ağa doğrudan bağlanabiliyor (Host Interface), NAT bağlantı türü iyileştirilmiş ve performansı artırılmış (eskiden sanal bilgisayardan herhangi bir yere ping çekilemiyordu, artık çekilebiliyor), Internal Interface bağlantı türü ile ağ adı olarak aynı ismi verdiğiniz tüm sanal bilgisayarlar birbirleri ile kendi aralarında ayrı bir iç ağ oluşturmakta.
• Windows işletim sistemi koşturan sanal bilgisayarlara donanım destekli OpenGL 3D hızlandırması eklenmiş.
  Deneme amaçlı olarak Quake II demosunu kurup çalıştırdım. Hız yeterli düzeyde. Direct 3D desteği henüz yok, ancak yol haritasıda yakında Direct 3D desteği de ekleneceği yazıyor.
• 64 bitlik sanal bilgisayarlar 32 bitlik ev sahibi işletim sistemi üzerinde koşturulabiliyor.
• VMDK ve VHD sanal dosya sistemleri için tam destek sağlandığı belirtiliyor.
• Immutable olarak sisteme kaydedilmiş sanal disklerin snapshotları read-write olarak kullanılabiliyor.
  Böylece salt okunur durumdaki windows işletim sistemim artık her türlü ayarını koruyabiliyor, bozulduğu zaman da snapshot’ını silerek yeniden temel haline geri dönülebiliyor.

Bu yeni özelliklerinin yanında hayran olduğum CD-DVD yazıcı sürücüsüne doğrudan erişim yeteneği ile sanal bilgisayar üzerinden CD-DVD yazabilme, saatinin çok dakik ilerleyerek vmware’da olduğu gibi şaşmaması gibi eski özellikleri de olduğu gibi duruyor.

VirtualBox’ın bu güzel özelliklerinin yanında bazı yetenekleri de yoktu. Örneğin GUI’si olmadan sanal bilgisayar çalıştıramama sorunu gibi. Yani bir sunucu üzerinde sanal bilgisayar işletebilmek için GUI’sinin açık olması gerekiyor. Ancak bugün öğrendiğim bir araç ile VirtualBox sanal bilgisayarları görsel arayüzü olmadan da çalıştırılabiliyor. Örneğin aşağıdaki komutla “Windows XP” isimli sanal bilgisayar görsel arayüzü olmadan başlatılabiliyor ve 3389 numaralı TCP portuna RDP bağlantısı yapılarak console’una ulaşılabiliyor.

$ VBoxHeadless -s "Windows XP" -v on -p 3389

$ VBoxHeadless
VirtualBox Headless Interface 2.1.0
(C) 2008 Sun Microsystems, Inc.
All rights reserved

Usage:
   -s, -startvm, --startvm <name|uuid>   Start given VM (required argument)
   -v, -vrdp, --vrdp on|off|config       Enable (default) or disable the VRDP
                                         server or don't change the setting
   -p, -vrdpport, --vrdpport <port>      Port number the VRDP server will bind
                                         to
   -a, -vrdpaddress, --vrdpaddress <ip>  Interface IP the VRDP will bind to
   -c, -capture, --capture               Record the VM screen output to a file
   -w, --width                           Frame width when recording
   -h, --height                          Frame height when recording
   -r, --bitrate                         Recording bit rate when recording
   -f, --filename                        File name when recording.  The codec
                                         used will be chosen based on the
                                         file extension

İşin teknik ayrıntılarına inecek olursak ilk aşama oturum açma kısmı tamamen kurumun LDAP / Active Directory sunucusuna ait. İkinci aşamada geliştirdiğimiz yazılım devreye giriyor.

İlk aşama başarılı oturum açma bilgisi alınır alınmaz bir OTP üretiliyor ve SMS ile ilk aşama oturumu açmış olan kullanıcının cep telefonuna gönderiliyor. Kullanıcı ikinci aşamada şifre olarak SMS ile gelen OTP’yi kullanıyor. Yazılımın içinde gömülü olarak çalışan radius sunucusu Juniper SSL-VPN kutusuna ikinci aşama oturum hizmeti veriyor.

Geliştirdiğimiz bu yazılımda radius server işleri için TinyRadius projesini kullandık. SMS gönderimi için ise kurumun sağladığı Web Servislerini AXIS2 projesinin kütüphaneleri yardımıyla kullandık. LDAP sorgulama hizmetleri için JNDI (Java Naming and Directory Interface) kullandık.

Nokia E71 Üzerinde Ad-Hoc Erişim Noktası Tanımlama

Telefonunuzda bekleme konumundayken Menu -> Tools -> Settings -> Connection menüsünü açınız. Burada Access points’e giriniz.

Sol alttaki “Options”a tıklayarak çıkan menüden “New access point”e tıklayınız.

Connection name: Oluşturmakta olduğunuz ad-hoc bağlantı profiline bir isim veriniz.

Data bearer: Wireless LAN olarak seçiniz.

WLAN network name: Bu örneği “test” ismiyle yaptığımız için test deyiniz. Bu ad-hoc bağlantınızın ESSID’si olacak, Linux’ünüzde de aynı ismi kullanmanız gerekecek.

Network status: Hidden olarak seçiniz.

WLAN network mode: Ad-hoc olarak seçiniz.

WLAN security mode: WEP olarak seçiniz.

WLAN security settings’e tıklayarak güvenlik ayarlarına giriniz.

WEP key in use: #1 olarak kalsın.

Authentication type: Open olarak seçiniz.

WEP key settings’e tıklayarak WEP anahtarınızı tanımlama ayarlarına giriniz.

WEP encryption: 64 bits olarak seçiniz. Arzu ederseniz daha yüksek güvenlik için 128 bit olarak da seçebilirsiniz. Ancak örneğimiz 64 bitlik bir anahtar ile yapılmış durumda.

WEP key format: Hexadecimal olarak seçiniz.

WEP key: 10 haneli hexadecimal rakamlardan oluşan bir sayı giriniz.

Sağ alt köşedeki Back’e tıklayarak kaydetmek isteyip istemediğinizi soran sorulara Yes olarak yanıt veriniz. Bu çalışma ile ad-hoc WiFi bağlantı profiliniz hazır. Sırada bu profil ile uyuşan Linux üzerindeki ayarlarda.

Dizüstü Bilgisayarınızdaki Hazırlıklar

Dizüstü bilgisayar üzerinde bir DHCP sunucu çalıştırma zorunluluğu bulunmakta. Aksi taktirde kablosuz ağ arayüzünden DHCP isteminde bulunacak olan Nokia E71′e DHCP ile IP yapılandırması veren bir cihaz olmayacak. Bu amaca yönelik olarak çok basit bir şekilde dnsmasq paketi kurularak çalıştırılabilir (apt-get install dnsmasq).

Dizüstü bilgisayarımda eth0 kablolu, eth1 kablosuz ağ bağlatı arayüzleridir, örneklerim buna bağlı olarak devam edecek. Dnsmasq’in yapılandırma dosyası /etc/dnsmasq.conf içerisine aşağıdaki iki satırı ekleyiniz.

interface=eth1
dhcp-range=192.168.0.50,192.168.37.150,12h

Linux dağıtımlarından birisini koşturan dizüstü bilgisayarınızda aşağıdaki komutları çalıştırınız.

# iwconfig eth1 mode ad-hoc essid test key 1234567890
# ifconfig eth1 192.168.0.1 up
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# sysctl -w net.ipv4.ip_forward=1
# /etc/init.d/dnsmasq restart

Yukarıdaki komutları bir shell script içerisine yazarak daha pratik bir şekilde topluca çalıştırabilirsiniz. Bu aşamadan sonra Nokia E71 üzerinde internet erişimi yapacak olan herhangi bir uygulama başlattığınızda internet erişimi için bağlantı profili seçimi sorulduğunda yeni tanımlamış olduğunuz kablosuz ağ bağlantısını seçip kullanabilirsiniz.

Nokia E71′de bekleme durumunda giriş ekranında iken *#2820# tuşlayarak Nokia E71′in bluetooth donanım adresini öğrenin ve bir yere not edin.

Ubuntu üzerinde /etc/bluetooth/rfcomm.conf dosyasına aşağıdaki gibi bir satırlar bloğu ekleyin:

rfcomm0 {
        bind yes;
        device 00:21:FE:5F:A1:63;
        channel 4;
        comment "E71";
}

Burada dikkat edilmesi gereken nokta, device ile belirtilen bluetooth donanım adresinin telefondan alınan adres bilgisi ile aynı olması, channel’ın mutlaka 4 olması ve bind’ın yes olmasıdır. Özellikle channel değeri 4 olmak zorunda. E71′i geliştirenler channel’ları farklı amaçlara göre bölmüşler. Bluetooth kulaklık etkin iken, internet bağlantısı için gerekli olan seri arayüz (ing. serial interface) hizmetini de aynı bluetooth üstünden aynı anda sunmanın yolu farklı channel kullanımından geçiyor. 4 numaralı channel’ın seri arayüz amacına yönelik olduğunu deneme yanılma ile keşfettim. Eğer bu dosyada rfcomm0 zaten başka bir cihaz için kullanılmış ise rfcomm1′i veya sıra numarasına göre uygun olan bir tanesini kullanabilirsiniz.

Bu işlemden sonra Ubuntu’nun bluetooth hizmetlerini yeniden başlatılması gerekmekte:

# /etc/init.d/bluetooth restart

Nokia E71 üzerindeki bluetooth açık hale getirilir getirilmez Ubuntu üzerinde /dev/rfcomm0 adındaki aygıt kullanılabilir duruma gelecektir. Bu aygıt AT Hayes komut kümesi uyumlu GPRS/EDGE modemdir.

Ubuntu’da sistem tepsisinde (ing. system tray) yer alan ağ bağlantıları (Network Manager Applet / nm-applet) üzerine farenin sol düğmesi ile tıklayınız. Açılan menüden “Manual Configuration”a tıklayınız. Açılan “Network Settings” penceresindeki unlock düğmesine tıklayarak oturum açma şifrenizi giriniz. Bu aşamadan sonra Network Settings penceresindeki bileşenler etkin duruma geleceklerdir.

Connections sekmesinde yer alan “Point to Point connection”a tıklayarak seçiniz ve Properties düğmesine tıklayınız. “ppp0 Properties” adında yeni bir pencere açılacak. Bu pencereden “Connection type:” kısmında “GPRS/UMTS” seçiniz, “Access point name:” kısmına “internet” yazınız, username ve password alanlarını da olduğu gibi bırakınız. Modem sekmesine geçiniz ve “Modem port:” kısmına “/dev/rfcomm0″ yazınız ve OK düğmesine tıklayarak “ppp0 Properties” penceresini kapatınız.

“Network Settings” penceresindeki “Close” düğmesine tıklayarak “Network Settings” penceresini kapatınız.

Bu ayarlamadan sonraki normal kullanımda GRPS/EDGE ile ağ bağlantısı kurmak için sistem tepsisindeki ağ simgesine sol fare düğmesi ile bir kez tıklayınız, çıkan menüden “Dial-Up Connections” alt menüsünü açınız ve “Connect to ppp0 via Modem…” tıklayınız (Nokia E71 üzerinde bluetooth açık vaziyette olmalı). Bağlantıyı kesmek için de hemen altında yer alan “Disconnect from ppp0 via Modem…” tıklayınız.

Komut satırında bağlantının kurulup kurulamadığını “ifconfig ppp0″ komutu ile takip edebilirsiniz. Bağlantı kurulduğunda ppp0 ağ arayüzü bulunabilecek ve IP yapılandırması aşağıdaki gibi görüntülenebilecektir. Bağlantı kurulmadıysa ppp0 ağ arayüzü bulunamayacaktır.

sezay@zmey:~$ ifconfig ppp0
ppp0: error fetching interface information: Device not found
sezay@zmey:~$ ifconfig ppp0
ppp0: error fetching interface information: Device not found
sezay@zmey:~$ ifconfig ppp0
ppp0      Link encap:Point-to-Point Protocol
inet addr:213.43.76.137  P-t-P:10.6.6.6  Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
RX packets:6 errors:1 dropped:0 overruns:0 frame:0
TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:60 (60.0 B)  TX bytes:81 (81.0 B)

Bir de “netstat -nr” ile ön tanımlı ağ geçidinin ppp0 aygıtına ilişkilendirilmiş olan ağ geçidi olup olmadığını kontrol ediniz. Destination 0.0.0.0 varsayılan ağ geçidini temsil etmektedir.

sezay@zmey:~$ netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.6.6.6        0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0 ppp0

Ayrıca /var/log/messages altındaki loglarda ayrıntılı olarak bağlantı kurulma girişimi ve durumu hakkındaki kayıtları takip edebilirsiniz.

sezay@zmey:~$ tail -20 /var/log/messages
Oct 27 13:02:07 zmey chat[8825]: expect (OK)
Oct 27 13:02:07 zmey chat[8825]: ^M
Oct 27 13:02:08 zmey chat[8825]: AT+CGATT=1^M^M
Oct 27 13:02:08 zmey chat[8825]: OK
Oct 27 13:02:08 zmey chat[8825]:  -- got it
Oct 27 13:02:08 zmey chat[8825]: send (AT+CGDCONT=1,"IP","internet"^M)
Oct 27 13:02:08 zmey chat[8825]: expect (OK)
Oct 27 13:02:08 zmey chat[8825]: ^M
Oct 27 13:02:08 zmey chat[8825]: AT+CGDCONT=1,"IP","internet"^M^M
Oct 27 13:02:08 zmey chat[8825]: OK
Oct 27 13:02:08 zmey chat[8825]:  -- got it
Oct 27 13:02:08 zmey chat[8825]: send (ATDT*99***1#^M)
Oct 27 13:02:09 zmey pppd[8780]: Serial connection established.
Oct 27 13:02:09 zmey pppd[8780]: Using interface ppp0
Oct 27 13:02:09 zmey pppd[8780]: Connect: ppp0 <--> /dev/rfcomm0
Oct 27 13:02:09 zmey pppd[8780]: PAP authentication succeeded
Oct 27 13:02:09 zmey kernel: [  178.778319] PPP BSD Compression module registered
Oct 27 13:02:09 zmey kernel: [  178.840660] PPP Deflate Compression module registered
Oct 27 13:02:10 zmey pppd[8780]: local  IP address 213.43.76.137
Oct 27 13:02:10 zmey pppd[8780]: remote IP address 10.6.6.6

Bu yöntemle kurulan bağlantıda DNS sunucu bilgileri otomatik olarak kurulmuyor. /etc/resolv.conf dosyası içine “nameserver 193.140.216.203″ gibi herkesçe erişilebilir bir DNS sunucu IP’si yazmayı unutmayınız. En doğrusu GSM operatörünün sağladığı DNS IP’lerini kullanmaktır. Ancak loglarda DNS sunucu tanımlamasını görmek mümkün değil. Belki bir windows bilgisayar ile aynı GSM operatörü üzerinden GPRS bağlantısı kurmuş olan bir arkadaşınızdan DNS yapılandırmasına göz atarak ilgili GSM operatörünün DNS IP adreslerini alıyor olabilirsiniz.

Yukarıdaki tariflerde önemli olan bluetooth üstünden Nokia E71′in /dev/rfcomm0 olarak Linux’e gösterilmesiydi. Bu aşamayı başardıktan sonra bağlantıyı kurmak amacıyla ppp0 ağ arayüzünü ayağa kaldırmak için kppp, wvdial gibi araçlar da kullanılabilir. Turkcell GSM operatörü ve Nokia E71 ile yapmış olduğum bu tür bağlantılarda azami olarak 236 kbps bağlantı hızı elde edebildim. Bu da EDGE’in GPRS’ten 5-6 kat daha hızlı veri bağlantısı sağladığı anlamına geliyor. Ülkemizde 3G hizmete girebilirse 3.5 mbps’a kadar bağlantı hızlarını GSM operatörleri üzerinden gerçekleştirebiliyor olacağız. Ancak şimdilik 236 kbps gibi hızlara şükretmekten başka seçeneğimiz yok.

Düzenli olarak verilerimizi yedekliyoruz. Ancak bu felaket durumunda bu yedeklerden nasıl ve hangi hızda geri dönebildiğimizi genelde kimse bilmez. Hatta bugüne kadar alınmış olan yedeklerden geri dönülüp dönülemeyeceği bile bilinmez. Günümüzde tüm işler bilgisayar altyapısı ile yürüdüğü için artık toplum olarak bu altyapı ile sağlanan hızlı hizmeti almaya mahkumuz ve bu hizmetin sürekliliğini sağlamak zorundayız. Felaket durumunda verilerimizi bir şekilde yedekten geri dönebiliriz. Ancak bu dönüşün süresi ne kadar? 2 saat, 3 saat, yarım gün, bir gün, 1 hafta??? Hele bir de bu verileri sunan yazılım ve o yazılımın çalışmasını sağlayan işletim sistemini komple kaybettiysek? İşte o zaman işletim sistemini kur, güncel yamaları indir ve uygula, yazılımı kur, yazılımı ayarla, yedek verilerden geri dönmeye çalış derken zaman alır başını gider.

Tüm bu sorunlara çare getiren bir ürün var. Symantec Backup Exec System Recovery. Symantec BESR sadece Windows ortamında çalışmakta ve .NET 2.0 ile geliştirilmiş bir ürün. Sadece Windows işletim sistemleri için sistem yedekleme çözümü sunmaktadır ve bunu çok mükemmel bir şekilde yapmaktadır. Ürünün özelliklerine kabaca değinirsek:

• Full ya da Incremental sistem imajı alarak yedekleme.
• System Recovery Disk’i ile CD’den boot ederek daha önce almış olduğunuz imajı istediğiniz herhangi bir donanımda geri açabilme.
• İmajların kriptografik olarak güçlü algoritmalarla şifrelenerek saklanması.
• İmajların sıkıştırılarak az yer kaplamasının sağlanması.
• Diskin sadece kullanılan alanlarının imajda tutulması, kullanılmayan boş alanların boş yere yedeklenmemesi.
• İmajların VMWare veya VirtualPC sanal diskine dönüştürülebilmesi.
• İmajların disk olarak windows’a bağlanıp kullanılabilmesi, içerisinden belirli dosyaların alınabilmesi.
• Option adı verilen ve lisansınıza bazı genişletmeler sağlayan özellikleri ile çok daha esnek ve gelişmiş veri kurtama özellikleri sağlaması (Microsoft Exchange Retrieve Option, Microsoft SharePoint Retrieve Option).

Symantec BESR’nin beni en çok etkileyen özellikleri ise imajı alınmış olan bir sistemin bambaşka bir donanıma geri açılarak aynı şekilde çalışıyor olmasıdır. SCSI disk üzerine kurulu bir Active Directory’nin SATA diskli bambaşka bir anakartlı daha güçlü bir donanıma taşınmasını gözlerimin önünde gerçekleştirdi ve geri dönme süresi sadece yarım saat sürdü. Koskoca Active Directory’nin çok hızlı ve sorunsuz bir şekilde başka bir donanıma taşınmış olmasından dolayı oldukça etkilendim.

Etkilendiğim diğer bir özelliği de aynı işlemi fiziksel bir makina üzerindeki işletim sistemini sanal makine ortamına taşıması. Çok benzer şekilde VMWare imajı oluştur dedik ve aynı şekilde sistem virtual machine içine girmiş oldu. Özellikle kritik sunucunuzda yeni bir yazılım deneyecekseniz önce sanal ortamda denemek istiyorsanız Symantec BESR iyi bir çözüm sunuyor.

Symantec BESR düzenli, olaylarla tetiklenebilen (yeni bir donanım sürücüsü kurulumu, yeni bir program kurulumu, herhangi bir programın başlatılması gibi olaylarla tetiklenebiliyor) veya kullanıcı tarafından istendiği zaman başlatılabilen yedekleme imkanı sağlamaktadır. Hatta 5 dakika gibi çok kısa aralıklarla incremental backup alabilmektedir.

Tüm bu güzel özelliklerinin yanında güvenlik de ön planda tutulmuş. Alınan yedekler arzu edilirse şifrelenebiliyor. Şifre olmadan yedekler kullanılamıyor.

Windows sunucuları olan işletme ve kurumlar düzenli yedekleme sorunlarına çözüm arıyorlarsa, mevcut sunucu sistemlerini kobay olarak kullanmadan yeni yazılım denemek istiyorlarsa, yedeklerini işletim sistemi ile beraber çok hızlı bir şekilde geri dönebilmek istiyorlarsa Symantec Backup Exec System Recovery’yi kullanmalarını öneririm. Ürünün trial lisansı mevcuttur ve trial kullanım için sitesinden indirilebilmektedir.

Yıllardır BIOS ayarlarında Ağ Üzerinden Uyan (ing. Wake on Lan) ayarını görmekteydim ama hiç kullanmak nasip olmamıştı. İlk çıktığı zamanlar da bu teknolojiden yararlanmamızı sağlayacak araçlar da pek yoktu. Bu teknolojiden yararlanmanın artık vakti gelmiştir diye düşündüm ve konuyu araştırıp uygulamaya koydum.

WoL özelliğinin çalışma mantığı şu şekilde. Öncelikle BIOS’tan WoL etkinleştirme ayarı yapılıyor. Bu ayar bilgisayar kapalıyken ethernet kartının elektrikle beslenip kablo üzerindeki sinyalleri işleyebilir olmasını sağlıyor. Ancak maalesef bu yeterli değil. Öncelikle bir işletim sistemi tarafından kapatılmış olması gerekiyor. Çünkü kablo üzerindeki sinyaller ethernet driverının ethernet belleğinde bırakmış olduğu bir miktar kod ile sistemi uyarabiliyor. Elektrik kesintisi sonrasında ethernet kartında bu kod yer almadığı için WoL özelliği BIOS’ta açık ve etkin olsa bile açılmayacaktır. Bilgisayarı bir MS-Windows işletim sistemi kapattıysa WoL %99 ihtimalle çalışacaktır. Bir Linux kapattıysa WoL %1 ihtimalle çalışacaktır. Bu duruma üzülmenize gerek yok. Linux’te ethernet üzerinde bu kodu bırakması için bir ayar yapmak gerekiyor. Tek sıkıntı bu. Bu ayardan sonra %99 ihtimalle Linux üzerinde de WoL çalışacaktır. Hatta Linux’te bu ayarla birlikte o kadar güzel seçenekler var ki Windows’un otomatik sağladığı WoL özelliği halt etmiş diyebilirim (donanımın da bu özellikleri destekliyor olması gerekiyor).

Linux’te WoL Ayarı:

root@sistem# ethtool -s eth0 wol g

Yukarıdaki komutun işletiminden sonra Linux kapanırken ethernet kartı üzerinde WoL kodunu bırakacaktır. Bu Windows’un bıraktığı kod ile uyumlu olandır. Diğer güvenlik ve güvensizlik seçenekleri için ethtool aracının kılavuz sayfalarını (ing. manual page) okumanızı öneririm. Yukarıdaki komut bu ayarı kalıcı yapmamaktadır. Kalıcı olması isin sistem açılış veya kapanış sürecinde işletilen betiklere dahil edilmesi gerekmektedir. Hem Linux hem Windows için geçerli olan birşey var ki bilgisayarınız bu şekilde kapalıyken elektrikler kesilir ve gelirse ethernet kartındaki WoL kodu yok olmuş olacak ve ne kadar uğraşırsanız uğraşın açılmayacaktır. Dolayısı ile bilgisayarınız kapalı da olsa KGK (ing. UPS) ile beslenmeye devam etmesi önerilir. Son bir hatırlatma olarak da ethernet kartınız PCI genişleme yuvasına takılı ise ayrıca bir WoL kablosunun bulunması ve anakarttaki ilgili pinlere bağlatısının yapılmış olması gerekmektedir. Ethernet kartı anakarta bütünleşik ise WoL kablolaması için özel birşey yapmanız gerekmeyecek.

Bu teknoloji nasıl çalışyor? Öncelikle sihirli paket (ing. magic packet) hazırlamalı ve bu sihirli paketi ağ üzerindeki kapalı olan ancak WoL şartlarını sağlayan bilgisayarınıza ulaştırmalısınız. Sihirli paket aslında 6 byte’lik 0xFFFFFFFFFFFF değerinden sonra ilgili ethernet kartının MAC adresini 16 kez peş peşe içeren özel bir UDP paketidir. Ancak uyandırılacak olan sistem kapalı olduğu için UDP paketinin hedefine ulaşması amacıyla hedef MAC adresi değerinde (ing. destination mac address) tüm ağa yayılması için FF:FF:FF:FF:FF:FF yayın adresini (ing. broadcast address) kullanılabilir. Tüm bunların normal ağ veya tcp/ip programları ile yapılması mümkün değil (switch’in arp çağrılarına kapalı olduğu için cevap vermeyecektir, dolayısı ile nerede olduğunu asla bilemezsiniz, bu nedenle normal socket programlama ile WoL uygulaması yapılamaz). Dolayısı ile sadece bu amaca yönelik packet injection kütüphaneleri kullanılarak geliştirilmiş uygulamalar kullanılır. WoL şartlarını sağlayan kapalı bilgisayarların ethernet kartına bu sihirli paket ulaştığında, kendi MAC adresini peş peşe 16 kez görünce anakarta sanki düğmeye basılmış gibi açılma sinyali gönderilmekte ve bilgisayar açılmaktadır.

Linux ortamında etherwake veya wakeonlan araçları kullanılabilir. Packet injection işlemi yapılacağı için root kullanıcısı hakları ile kullanılmasını öneririm.

root@sistem# etherwake 00:13:23:DB:BD:FA

Yukarıdaki komutu çalıştırdığımızda ağımızda yer alan ve WoL şartlarını sağlayan 00:13:23:DB:BD:FA MAC adresli bilgisayar açılacaktır.

Buraya kadar herşey güzel. Peki ya ofisten evdeki bilgisayarı internet üzerinden nasıl açarız? Eğer evinizde ulaşabileceğiniz 7/24 açık bir sunucunuz varsa onun üzerinden yapabilirsiniz. Ya o da yoksa? Bu durumda şansınızın yaver gitmesi için duğa etmelisiniz. Çünkü geri kalan tamamen ADSL (veya diğer türlerdeki) router/firewall’unuzun yeteneğidir. Bazı ADSL router’larının PAT (ing. Port Address Translation) ayarlarında dış UDP port 9, hedef iç UDP port 9, hedef iç IP 192.168.0.255 gibi yayın adresi (ing. broadcast) olan iç adres belirtilebiliyor. Bu durumda dış IP’nizin 9 numaralı UDP portune gelecek olan her paket içteki tüm ağınıza yayılmış olacak. Sade ve sadece sihirli paketin içeriği kendi mac adresi ile eşleşen bilgisayar açılacaktır.

Peki ya ADSL router’ınız yayın adresini yazmanıza izin vermiyorsa? Benim durumum da aynı bu şekilde. Yerli Airties firmamızın arayüzünde Türkçe çeviri yaparak fason olarak piyasamıza soktuğu, Çinli Arcadyan’ın üretiği ve dünya piyasasında Philips, SNA, Ozenda gibi değişik markalarda da görebildiğimiz Airties rt210′un ilk sürümünü kullanmaktayım. Çok güzel, sağlam, ısıya dayanıklı, mükemmel bir ürün, öyle olmasa Philips ve SNA tercih etmezlerdi. Bu alet NAT ayarlarındaki Virtual Server bölümünde iç hedef IP adresi olarak yayın adresi girilmesine kesinlikle izin vermiyor. Sizin durumunuz da bu şekildeyse WoL’ı internet üzerinden çalıştırmak için küçük bir şansınız daha olabilir. Ben o küçük şansa sahip olanlardan birisiyim ve Airties rt210′da bu iş oluyor. Hemen ayrıntılara girelim.

Bir komut isteminden Airties’a telnet ile bağlantı kuruyorsunuz. Windows kullanıcıları Komut İstemini kullanabilirler, ben Linux üzerinden örnekleyeceğim.

=================================

kullanici@sistem$ telnet 192.168.2.1
User Name : root
User Password : **********

Telnet Manager Version 0.44

Type ? for Command-Sensitive Help, TAB match command

ROOT :> dhcp fixed add 00:13:23:DB:BD:FA 192.168.2.100
ROOT :> show dhcp

(1) DHCP Server Parameters
    Service(TAB)       : Enable
    Interface(TAB)     : LAN 1
    Default Gateway    : 192.168.2.1
    Subnet Mask        : 255.255.255.0
    DHCP Start IP      : 192.168.2.10
    DHCP IP Count      : 155
    Leased Time (sec.) : 1209600
    Name Server IP     : 192.168.2.1

(2) List Fixed Host Entries
  No   Ethernet  Address     IP  Address
 ---- ------------------- -----------------
   1  00:13:23:DB:BD:FA    192.168.2.100

(3) DHCP Client Parameters
    Client Functionality      : Disable
    Activate interface number : ATM 1

ROOT :> write

Do you want to write the configuration(y/n) ? : y
Write configuration successful !!!

Do you want to restart the system to activate new configuration(y/n) ? : n

Cancel by user !!!
ROOT :> exit

CONF :> exit

USER :> exit

Do you want to disconnect(y/n) ?  : y

 Disconnect by user.....Connection closed by foreign host.
kullanici@sistem$

=================================

Yukarıdaki telnet oturumunda açıkça görülmektedir ki DHCP ayarlarında bir MAC adresi için static IP rezervasyonu yaptım. Web arayüzünde olmayan bunun gibi ilave özelliklere de telnet komut isteminden ulaşabilirsiniz. Hatta Philips ya da SNA’in firmware’larını yazarsanız QoS / VLAN gibi ayarlarınız da olacak. Airties ile uğraşmayı bırakıp konumuza geri dönelim.

Bu ayardan sonra Airties’ın web tabanlı arayüzünün NAT -> Virtual Server ayarlarında dışa geken UDP 9 portu paketlerini içteki 192.168.2.100′ün UDP 9′una yönlendir ayarı yapıp kaydetmek gerekiyor. Bu aşamadan sonra ofisinizden evinizin dış IP’sini aşağıdaki gibi hedef göstererek evinizdeki WoL şartlarını sağlayan kapalı bilgisayarınızı uyandırabilirsiniz.

kullanici@sistem$ wakeonlan -i 81.214.22.200 -p 9 00:13:23:DB:BD:FA
Sending magic packet to 81.214.22.200:9 with 00:13:23:DB:BD:FA
kullanici@sistem$

Bu yöntemle aylarca yaşadım. Ta ki evimde bir Linux sunucum oluncaya kadar. İhtiyacı olanların denemesini öneririm. Son bir hatırlatma, şansınız yaver gitmezse ve ADSL router’ınız Airties gibi davranmıyorsa tüm bu çabalarınız boşa olabilir.

Aslında UNIX ortamında yedek alma sürecini oldukça kısaltacak bir yöntem var: rsync.

kullanici@sistem$ rsync -a /home/kullanici /media/usbdisk/YEDEK/

Yukarıdaki komutla tüm ev dizininizi USB harici diskinize alabilirsiniz. Tabii ki ilk yedeğiniz oldukça uzun sürecektir, bu konuda mucize bekleyemezsiniz. Fakat, takip eden yedeklerinizde rsync oldukça karmaşık olan ancak mükemmel çalışan algoritması ile size harikalar sunacaktır. Dosyalarınınızın farklarını hesaplar ve kaynağı hedefe çok hızlı bir şekilde eşitler (ing. synchronize). Yukarıdaki örnekte de görüldüğü gibi ilk klasör parametresi yedeklenecek olan klasördür, ikinci parametre de yedeğin alınacağı hedef klasördür.

rsync‘i harika bir araç yapan ağ üzerinden de aynı mükemmel performansta çalışabilmesidir.

kullanici@sistem$ rsync -a -e"ssh -l kullanici" /home/kullanici 192.168.62.8:/media/BACKUP/

Yukarıdaki örnekte rsync ssh’ı remote shell aracı olarak kullanmakta ve SSH’ın sağladığı şifreli ve güvenli bağlantı üzerinden tünellenerek 192.168.62.8 IP adresli bilgisayara yedek almaktadır (eşitlemektedir).

rsync kullanırken dikkat edilecek husus ilk parametre olan kaynak klasörün sonuna bir “/” karakteri eklenirse ilgili klasörün kendisi hedefe gitmez, sadece içeriği gider. Sonuna “/” karakteri eklenmezse hedef klasör içerisinde kaynak klasörün adı ile bir klasörü de almış olur. Yukarıdaki örnekte ilk parametre /home/kullanici/ biçiminde olsaydı /media/BACKUP altında birçok dosya saçılmış olacaktı. Ancak sonunda “/” karakteri olmadığı için hedefte /media/BACKUP/kullanici biçimde oluşturulacaktır.

Rsync profesyonel bir yedekleme aracı değildir, zaten amacı da yedeklemek değildir. Adı üstünde, sadece bir kaynağı bir hedefe eşitlemektedir. Yani elinizde her zaman en son yedek aldığınız hali ile yedek sağlamaktadır. Geçmişi saklayamamaktadır. Ancak sık sık kullanıldığında değişim göreceli olarak az olduğu için işini çok hızlı yapmaktadır, sizi uzun uzun bekletmemektedir.

DOS / Windows ile Disk Bölümleme Hakkında Öğrendiklerim

Bir adet birincil birim (ing. primary paritition) olan C: sürücüsü, peşinden bir adet genişletilmiş bölüm (ing. extended partition), onun da içinde istediğimiz kadar mantıksal birim (ing. logical parititon). DOS ve Windows’ların açılış yapabilmesi için açılış kodunun birincil bölümde yer alması gerekmektedir (DOS’ta msdos.sys ve io.sys, Windows’ta ntldr). Ayrıca bootable flag denen bir bayrağın da açılış kodunun yer aldığı birincil bölümde kurulu olması gerekmektedir. İşletim sisteminin açılabilmesi için bu iki şartın aynı anda sağlanması bir zorunluluktur. DOS/Windows zamanlarında disk bölümleme sonucu ortaya çıkan disk haritası şu şekildeydi.

Linux ile Disk Bölümleme Hakkında Öğrendiklerim

Linux ile haşır neşir olduktan sonra PC ortamında DOS’ta ve Windows’ta öğrenmiş olduğum bir adet birincil bölümün, bir adet genişletilmiş bölümün, birçok da mantıksal bölümün aynen geçerli olduğunu gözlemledim. Ancak Linux’te öğrendiğim bir başka kavram daha vardı. PC ortamında aslında bir diskte azami 4 birincil bölümün adreslenebileceğini, daha fazla disk bölümüne ihtiyacımız olursa da bu 4 birincil bölümden sadece 1 tanesinin genişletilmiş bölüm olarak oluşturulabileceğini, tüm mantıksal disklerin de bu genişletilmiş bölüm içinde yer aldığını öğrendim. Her 4 birincil bölümün bir sıra numarası olduğu ve bu numaraların (SCSI altsistemi disklerinde sda1, sda2, sda3, sda4) sabit ve önceden ayrılmış olduğunu öğrendim. Tüm mantıksal bölümlerin de kaç birincil bölümün kullanıldığından bağımsız olarak 5′ten başladığını ve sıra numarası ile arttığını öğrendim (sda5, sda6, sda7, …). Birincil bölümlere ayrılmış olan bu 4 isimden (sıra numarasından) bir tanesi de genişletilmiş bölüm için kullanılmaktadır. Linux’teki olası disk bölümleme haritaları aşağıdaki gibi olabilmektedir.

Yukarıdaki biçimlerden benim özel tercihim herşeyi sırayla hiç boşluk bırakmadan doldurmaktır. O da sonuncu seçenektekidir.

OpenBSD ile Disk Bölümleme Hakkında Öğrendiklerim

OpenBSD ile tanıştıktan sonra DOS ve Linux zamanlarında öğrenmiş olduğum disk bölümleme kavramlarının hepsinin de aslında doğru olmadığını, bu gösterim biçimlerinin, numaralandırmaların hepsinin de sadece arka tarafta olup biteni soyutlamak için uydurma hikayeler olduğunu öğrendim. Bir yere kadar doğruluk payları var. Ancak tüm tablo ele alındığında aslında ayrıntıların daha farklı olduğunu öğrendim. OpenBSD bölüm değil de disk label kullanıyor olmasına rağmen PC ortamında aynı disk üstünde farklı işletim sistemleri ile bir arada yaşabilmesi için PC disk bölümlerinden de anlamaktadır. PC ortamında DOS ve Windows işletim sistemleri ile oluşturulan birincil bölüm, genişletilmiş bölüm ve mantıksal bölüm aslında aşağıdaki gibi özyinelemeli (ing. recursive) bir yapıda tutulmaktadır.

part0 (primary, sda1, C: )
part1 (primary, sda2, D: )
part2 (primary, sda3, E: )
part3 (extended, sda4)
  \--> part0 (logical, sda5, F:)
       part1 (extended)
         \--> part0 (logical, sda6, G:)
              part1 (extended)
                \--> part0 (logical, sda7, H:)

Extended içinde aynı diskin başındaki gibi bir MBR ve partition table yapısı var. Ancak içinde sadece iki bölüm var. Birincisi aynı disk başındaki birincil bölüm gibi, diğeri de başka bir genişletilmiş bölüm. O genişletilmiş bölümün içi de aynı yapıda iç içe devam etmektedir.

Genişletilmiş bölüm içindeki birincil ve diğer genişletilmiş bölüm haricinde aslında 2 (iki) bölümlük daha yer olmasına rağmen ne DOS/Windows ne de Linux bunları adresleyip kullanamamaktadır. Ancak OpenBSD ile aşağıdaki gibi bir yapı oluşturulabilmektedir, adreslenebilmektedir, kullanılabilmektedir.

part0 (primary, sda1, C: )
part1 (primary, sda2, D: )
part2 (primary, sda3, E: )
part3 (extended, sda4)
  \--> part0 (logical, sda5, F:)
       part1 (logical)
       part2 (logical)
       part3 (extended)
         \--> part0 (logical)

Özet olarak disk yapısı aslında özyineli tutulan bir yapıya sahiptir. Diskin üstünde 4 tane birincil bölüm desteklenmektedir. Bu birincil bölümlerden en fazla 1 tanesi genişletilmiş bölüm olabilmektedir. Genişletilmiş bölüm içerisi de aynı disk yapısına sahiptir. Yani içinde 4 tane birincil bölüm oluşturulabilir. Ancak DOS/Windows ve Linux sadece iki tanesini adresleyip kullanabilmektedir. Bunlardan birincisine mantıksal denilmektedir. Bu yapı böyle iç içe devam etmektedir.

DOS/Windows işletim sistemleri açılış yapabilmek için birincil bölüme ihtiyaç duyarlar. Linux sistem ön yükleyicileri (ing. boot loader) sayesinde mantıksal disk birimlerinden de açılışını yapabilmektedir. OpenBSD ise PC donanımında diskin üstünde bir birincil bölüm üstünde yer almalıdır ve tüm disklabel’ları aynı bölüm içerisinde olmalıdır.

Tüm bu olumsuzluklara rağmen SSH ile VPN bağlantısı kurmak mümkündür ve sağlam bir bağlantı üstünde yeterince sağlıklı çalışmaktadır (SSH ile VPN bağlantısı üstünden SIP ile VOIP görüşmesi yapmışlığım var, herhangi bir sorununu görmedim). Diğer olumlu yanları da sunucu’nun sabit IP’si olacak diye bir şart yoktur. DynDNS.org’dan alacağınız bir isimle VPN kurmak istediğiniz SSH sunucunuza DynDNS.org adıyla rahatlıkla ulaşabilirsiniz. Kurulumu diğer VPN çözümlerine göre nispeten daha kolaydır.

SSH VPN bağlantısını pppd yardımı ile gerçekleştirmektedir. VPN’nin kurulabilmesi için SSH istemci ve sunucu taraflarının her ikisinde de pppd’nin kurulu olması bir zorunluluktur. SSH istemcisi ile sunucu arasındaki şifreli bağlantının her iki ucunda yer alan pppd’ler noktadan noktaya iletişik protokolü ile şifreli tünel üzerinden yeni bir ağ kurmaktadırlar. Bu da SSH ile VPN’i meydana getirmektedir.

Tüm bu ön bilgilerden sonra gelelim SSH ile VPN kurulumuna. Hazırlık aşaması biraz uzun ve zahmetli (hangi vpn kolay ki ), ancak hazırlığı bir kere yaptıktan sonra bağlantının kurulması oldukça kolay.

SSH ile VPN bağlantısı kuracak olan istemci ve sunucu Linux’lerin her iki tarafta da firewall/gateway olarak kullanılıyor olması avantajınıza olacaktır. Her iki taraftaki tüm istemciler ön tanımlı ağ geçidi (ing. default gateway) olarak bu Linux’leri kullandıklarından dolayı ilave yönlendirme ayarına gerek kalmayacak ve VPN kurulduğunda birbirlerinin ağlarını görebilir duruma gelecekler. Ancak VPN erişimi yapmak istediğiniz ağdaki Linux sunucusu ilgili ağın yönlendiricisi değilse bir miktar daha çalışma yapmak gerekecek. Bunlara yazının sonlarında değineceğim.

OpenSSH Sunucusu Üzerindeki Hazırlıklar

1. VPN kullanıcısının oluşturulması
Sunucu Linux’te vpn bağlantısının kurulması için ssh ile erişmek üzere kullanacağımız bir kullanıcı hesabı tanımlamalıyız.

root@sunucu# useradd -m -d /home/vpnuser vpnuser
root@sunucu#

2. VPN kullanıcısı için “sudo /usr/sbin/pppd” ayarının yapılması
Tanımlamış olduğumuz vpnuser kullanıcısının pppd’yi çalıştırabilmesi için geçici yetki yükseltmesine ihtiyacımız var. Bunun için sudo altyapısı kullanılacağız. “visudo” komutu ile /etc/sudoers dosyasını düzenlemeliyiz ve aşağıdaki satırı eklemeliyiz.

root@sunucu# visudo

vpnuser ALL=NOPASSWD: /usr/sbin/pppd

Bu düzenlemeyi test edelim:

root@sunucu# su - vpnuser
vpnuser@sunucu$ sudo /usr/sbin/pppd noauth
~�}#�!}!}!} }4}"}&} } } } }%}&�U�}2}'}"}

Yukarıdakine benzer şekilde pppd’nin garip karakterlerini görüyorsak pppd’nin vpnuser tarafından root yetkileri ile çalıştırılması altyapısı hazırdır.

3. SSH açık anahtarının vpn kullanıcısı hesabına yerleştirilmesi
OpenSSH istemci sistemde ilerleyen bölümde hazırlanmış olan ssh açık anahtarını sunucu sistemdeki vpnuser hesabının .ssh/authorized_users dosyasına yazmalıyız. Böylece istemci sistem SSH bağlantısını anahtar altyapısı ile kurabilecektir.

vpnuser@sunucu$ mkdir .ssh
vpnuser@sunucu$ cat id_rsa_vpn.pub >> /home/vpnuser/.ssh/authorized_keys

Genel olarak sunucu sistemdeki hazırlıklar bu kadar. Sıra istemci sistemdeki hazırlıklarda.

OpenSSH İstemcisindeki Hazırlıklar

1. root kullanıcısında VPN için gizli ve açık anahtar oluşturulması

OpenSSH gizli ve açık anahtar oluşturulması için ilave bilgi ihtiyacınız olursa SSH Anahtar Kullanımı başlıklı yazıma başvurabilirsiniz. VPN bağlantısının sistem açılışında otomatik olarak başlatılabilmesi için gizli anahtar şifresinin sadece Enter’a basılarak boş geçilmesi gerekmektedir.

root@istemci# ssh-keygen -t rsa -f /root/.ssh/id_rsa_vpn
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa_vpn.
Your public key has been saved in /root/.ssh/id_rsa_vpn.pub.
The key fingerprint is:
74:9a:43:3a:9a:14:03:20:ce:8d:aa:ba:43:18:09:b8 root@istemci
root@istemci#

Burada oluşturmuş olduğumuz gizli ve açık anahtar ikilisinden açık olanı SSH sunucusundaki vpnuser kullanıcısının .ssh/authorized_users dosyasına eklenmesi gerekmektedir. OpenSSH Sunucusu Üzerindeki hazırlıklar başlığına geri dönerek nasıl yapılacağına tekrar göz atabilirsiniz. Açık anahtarın adı üstünde açık anahtar olduğu için şifreli veya şifresiz bir bağlantı ile istemci sistemden sunucu sisteme aktarabilirsiniz. Ya da offline bir şekilde bir medya aracılığı ile de taşıyabilirsiniz. Ancak hedefe yerleştirmeden önce gözle son bir kontrol faydalı olur, başkasının yerimize VPN yapmasını istemeyiz.

2. VPN bağlantı betiğinin hazırlanması.

VPN bağlantısının kurulması için uzun bir komut yazılması gerekmektedir. Daha pratik olması ve sistem açılışında da kullanılabilmesi için aşağıdaki gibi bir betik hazırlamak daha uygun olacaktır.

===================================

#!/bin/bash

SUNUCU_ADI=sunucu.dyndns.org
SUNUCU_VPNKULLANICI=vpnuser
SUNUCU_VPNIP=172.16.1.2
ISTEMCI_VPNIP=172.16.1.1
GIZLI_ANAHTAR=/root/.ssh/id_rsa_vpn

PATH=/sbin:/bin:/usr/sbin:/usr/bin

case "$1" in
  start)
    pppd updetach noauth passive pty "ssh -P -o StrictHostKeyChecking=no \
         ${SUNUCU_ADI} -i${GIZLI_ANAHTAR} -l${SUNUCU_VPNKULLANICI} \
         -o Batchmode=yes sudo /usr/sbin/pppd nodetach notty noauth" \
         ipparam vpn ${ISTEMCI_VPNIP}:${SUNUCU_VPNIP}
    echo "VPN BASLATILDI!"
    ;;

  stop)
    pkill -f "pppd +updetach +noauth +passive +pty.+ssh.+pppd.+vpn.+\
${ISTEMCI_VPNIP}:${SUNUCU_VPNIP}"
    echo "VPN DURDURULDU!"
    ;;

  *)
    echo "Kullanim: sshvpn {start|stop}"
    exit 1
    ;;
esac

exit 0

===================================

Sıra geldi VPN bağlantımızın test edilmesine.

root@istemci# ./sshvpn.sh
Using interface ppp0
Connect: ppp0 <--> /dev/pts/4
Deflate (15) compression enabled
Cannot determine ethernet address for proxy ARP
local  IP address 172.16.1.1
remote IP address 172.16.1.2
VPN BASLATILDI
root@istemci# ifconfig ppp
ppp0      Link encap:Point-to-Point Protocol 
          inet addr:172.16.1.1  P-t-P:172.16.1.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:246 (246.0 B)  TX bytes:240 (240.0 B)

root@istemci# ping 172.16.1.1
PING 172.16.1.1 (172.16.1.1) 56(84) bytes of data.
64 bytes from 172.16.1.1: icmp_seq=1 ttl=64 time=0.075 ms
64 bytes from 172.16.1.1: icmp_seq=2 ttl=64 time=0.072 ms

--- 172.16.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.072/0.073/0.075/0.008 ms
root@istemci# ping 172.16.1.2
PING 172.16.1.2 (172.16.1.2) 56(84) bytes of data.
64 bytes from 172.16.1.2: icmp_seq=1 ttl=64 time=28.9 ms
64 bytes from 172.16.1.2: icmp_seq=2 ttl=64 time=17.8 ms

--- 172.16.1.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 17.888/23.433/28.979/5.547 ms
root@istemci#

Görüldüğü üzere istemci Linux’ten sunucu Linux’ü kurmuş olduğumuz VPN’den pingleyebildik. İstemci Linux ve sunucu Linux her birisi kendi ağında ağ geçidi (ing. router) / güvenlik duvarı (ing. firewall) görevi görüyorsa bir taraftaki istemci diğer taraftaki istemciyi ssh vpn tuneli üzerinden geçerek görebilecektir. Aynı şekilde tersi de mümkün olacaktır. Diğer bir deyişle iki ağ geçidi linux arasında kurulan SSH VPN site-to-site VPN’dir.

İstemci Linux ağ geçidi değilse, sunucu Linux ağ geçidiyse; olsa olsa client-to-site VPN kurmuş oluruz. Yani istemci Linux’ün üzerinden karşıdaki istemcilere / sistemlere ulaşabiliriz. Ancak bizim ağımızdaki diğer istemcilerin ulaşabilmesi için yönlendirme tablolarına istemci linux’ümüzün IP adresini karşı ağa gidiş noktası olarak tanımlamalıdırlar.

Ayarlama aşaması biraz zahmetli. Ancak bugüne kadar zahmetsiz bir VPN kurulumu görmedim ben. Tüm VPN teknolojilerinin kurulma aşaması zor ve uğraştırıcı oluyor. Bir kere kurulduktan sonra da rahat bir şekilde kullanılabilir.

İleri Düzey SSH serisi yazılarımı bu son yazı ile burada noktalıyorum ve OpenSSH’ın diğer özelliklerini keşfetmeyi de sizlere bırakıyorum.