Uzaktan çalışma ihtiyaçlarına cevap veren en etkili çözümlerden biri, güvenli VPN bağlantılarıdır. FortiGate cihazı, IPsec tabanlı uzaktan erişim VPN kurulumunu hem hızlı hem de güçlü bir şekilde destekler. Bu yapı sayesinde kullanıcılar, şirket ağına güvenli şekilde erişebilirken, aynı zamanda sunucu güvenliği de korunmuş olur. Şifrelenmiş tüneller ve kimlik doğrulama mekanizmaları sayesinde kritik sistemlere yalnızca yetkili kişiler ulaşabilir; böylece veri sızıntısı ve dış tehditlere karşı etkili bir koruma sağlanır.
IPsec Remote Access VPN Nedir?
Uzaktan kullanıcıların kurumsal kaynaklara güvenle bağlanmasını sağlayan IPsec Remote Access VPN, şifreleme algoritmalarıyla veri bütünlüğünü korur. Bu güvenlik önlemi, hassas bilgilerin dış müdahalelere kapalı kalmasını sağlar. VPN erişiminin yalnızca yetkili kullanıcılarla sınırlı tutulabilmesi adına çoğu zaman firewall kuralları uygulanır. Böylelikle belirli IP’lerden gelen ve belirli portları kullanan bağlantılar dışında kalan tüm talepler reddedilir. Bu yaklaşım, kurumsal ağların dış tehditlere karşı korunmasına yardımcı olur.
VPN İçin Kullanıcı Yetkilendirme Grubu Kurulumu
VPN erişiminde kullanılacak kimlik doğrulama mekanizması için öncelikle uygun kullanıcı grubunun oluşturulması önerilir.
FortiGate arayüzüne giriş yaparak “User & Authentication” sekmesine tıklayın ve “User Groups” bölümünden yeni bir grup ekleyin. Grup adını yazdıktan sonra, “User Definition” sekmesine geçerek kullanıcı bilgilerini oluşturun ve bu kullanıcıları grubunuza dahil edin. Bu kullanıcı grubu, VPN oturumlarının kimlik kontrol aşamasında devreye alınacaktır.
FortiGate’te Yeni IPsec Tüneli Tanımlama
VPN ayarlarına başlamak için VPN > IPsec Tunnels > Create New yolunu izleyin. Gelen sihirbaz ekranında “Remote Access” seçeneğini işaretleyip, oluşturacağınız tünele açıklayıcı bir ad girin. Sonraki adımda, VPN bağlantılarının geçeceği WAN arayüzünü seçmeniz gerekecektir. Ardından “Pre-shared Key” yöntemini seçin ve güçlü bir şifre tanımlayın. Önceki aşamada oluşturduğunuz kullanıcı grubunu burada tanımlamayı unutmayın.
IP Ataması ve Erişim Ayarları
Bir sonraki adımda, VPN istemcilerine atanacak IP adres aralığı tanımlanır. Örneğin, 10.10.10.10 - 10.10.10.100 gibi bir blok girilebilir. Bunun yanı sıra, VPN kullanıcılarının erişebileceği yerel ağ adresleri de belirtilmelidir. İsteğe bağlı olarak DNS sunucu adresi tanımlanabilir veya varsayılan ayarlar kullanılabilir. Bu aşamada split tunneling veya şifre kaydetme gibi tercihler de yapılabilir.
VPN Politikası Oluşturma
VPN tünelinin başarılı şekilde kurulmasının ardından, VPN üzerinden bağlanan kullanıcıların ağa ya da internete erişimini sağlamak için bir güvenlik politikası tanımlanmalıdır. Ancak VPN kullanıcılarının internet trafiğini de FortiGate üzerinden geçirmek isteniyorsa, Policy & Objects > Firewall Policy bölümünden yeni bir politika oluşturulmalıdır.
Gelen arayüz olarak VPN tüneli, giden arayüz olarak WAN seçilir. Kaynak olarak kullanıcı grubu, hedef olarak “all” veya belirli ağ segmentleri tanımlanabilir.
FortiClient ile Bağlantı Kurulumu
İstemci tarafında, Fortinet’in ücretsiz VPN aracı olan FortiClient kurulmalıdır. Uygulama açıldığında yeni bir IPsec VPN bağlantısı oluşturulması gerekir. FortiGate cihazının dış IP adresi girilir, kimlik doğrulama yöntemi olarak “pre-shared key” seçilir ve belirlediğiniz anahtar girilir. Kullanıcı adı ve şifre bilgileri, daha önce tanımladığınız kullanıcı bilgileriyle eşleşmelidir.
Bağlantı ayarlarını tamamladıktan sonra kullanıcı FortiClient üzerinden VPN’e bağlanabilir. Başarılı bir bağlantının ardından, iç ağ kaynaklarına erişim sağlanacaktır.
FortiGate üzerinde IPsec Remote Access VPN kurulumu, önceden tanımlı kullanıcı grupları ve güçlü şifreleme yöntemleri sayesinde güvenli ve kolay yönetilebilir bir çözümdür. İster iç ağ kaynaklarına ister internet erişimine izin verin, FortiClient entegrasyonu ile son kullanıcı tarafında da sorunsuz bir deneyim sunar.
Hata Çözüm Rehberi
FortiGate IPsec VPN genelde sorunsuz çalışır. Ama bazen kullanıcılar bağlantı kurarken bazı hatalarla karşılaşabilir.
VPN Bağlantısında “Negotiation Timeout” Hatası
Bu hata, VPN istemcisinin FortiGate cihazına ulaşamadığını ya da cihazdan yanıt alamadığını gösterir. Öncelikle FortiGate’in WAN ayarlarının doğru yapıldığını kontrol edin. Cihazın internete açık bir IP adresi kullandığından emin olun. FortiClient tarafında IP adresi yanlış girilmiş olabilir, kontrol edin. Ayrıca modem ya da güvenlik duvarında UDP 500 ve 4500 portlarının açık olduğuna dikkat edin.
“Authentication Failed” Hatası Neden Alınır?
Bu hata, kullanıcı adı ya da şifre doğru girilmediğinde ortaya çıkar. Bilgilerin doğru olduğundan emin olun. Ayrıca kullanıcının VPN erişimi olan grupta olup olmadığını kontrol edin. Son olarak, FortiGate üzerindeki hesabın aktif durumda olması gerekir.
IP Çakışması (IP Conflict) Hatas
Bu hata, VPN istemcisine atanan IP adresi yerel ağda başka bir cihazda da varsa oluşur. Genellikle VPN IP havuzu ile yerel ağ aynı IP aralığındadır. Sorunu çözmek için VPN kullanıcılarına farklı bir IP bloğu tanımlayın. Örneğin: 10.10.10.0/24.
VPN Bağlantısında DNS Çözümleme Sorunları
VPN bağlantısı kurulu olsa bile alan adlarına erişilemiyorsa, DNS tanımlanmamış olabilir. IPsec tünel yapılandırmasına DNS adresi ekleyin (örnek: 8.8.8.8). Eğer split tunneling açıksa DNS sorguları yerel ağdan çıkıyor olabilir. Bu özelliği kapatın ya da DNS yönlendirmesi yapın.
🖇️Sık Kullanılan Tanılamalar
VPN bağlantı sorunlarını teşhis etmek için bazı komutlar oldukça işe yarar. FortiGate üzerinden aşağıdaki komutları kullanarak sorunun kaynağını kolayca tespit edebilirsiniz:
diag debug application ike -1
VPN kurulum sürecinde neler olduğunu ve hangi aşamada hata alındığını gösterir.
diag debug enable
Hata ayıklamayı başlatır. Yukarıdaki komutla birlikte çalışır.
get vpn ipsec tunnel summary
Aktif tünellerin durumunu ve bağlantı bilgilerini özet halinde gösterir.
diag sniffer packet any "port 500 or port 4500" 4
IPsec trafiğini izlemek için kullanılır. UDP 500 ve 4500 portlarındaki paketleri görmenizi sağlar.