Bu yazımda, FortiGate Firewall cihazlarında IPsec VPN nasıl yapılandırılır, adım adım anlatıyor olacağım.FortiGate FOS (FortiOS) 7.4.x sürümlerinden sonra, GUI ekranında SSL VPN desteği kaldırılmıştır. Ancak CLI üzerinden yapılandırma desteği devam etmektedir. 7.6.3 sürümüyle birlikte artık CLI üzerinden de SSL VPN yapılandırması mümkün olmayacaktır.
Yeni sürümle beraber, “Host Check” doğrulaması IPsec VPN üzerinden de yapılamayacağı için FortiEMS teknolojisinin kullanılması önerilmektedir.
1. VPN Kullanıcısı ve Grubu Oluşturulması
Öncelikle, eğer VPN kullanıcınız yoksa:
- Bir VPN kullanıcısı oluşturun.
- Bu kullanıcıyı bir grup içerisine ekleyerek VPN kullanıcı yönetimini kolaylaştırın.
2. VPN Wizard ile IPsec VPN Kurulumu
- VPN Wizard > Create New > Remote Access rotasından ilerleyin.
- Bir isim belirleyip Begin butonuna tıklayın.
3. Pre-Shared Key (PSK) Belirlenmesi
- Pre-Shared Key (PSK): Ortak paylaşılan parola yöntemidir. Kurulumu ve yönetimi basittir.
- Karşı tarafın desteklediği IKE versiyonu (IKEv1 veya IKEv2) kontrol edilmelidir.
- NAT Traversal (NAT-T) desteği aktif olmalıdır. NAT arkasındaki cihazların IPsec VPN bağlantı kurabilmesi için UDP 4500 portu kullanılır.
- Enable IPv4 Split Tunnel seçeneği aktifse:
VPN’e bağlanan kullanıcılar sadece belirlenen ağlara VPN üzerinden erişir.
4. IP Havuzu (IP Pool) Tanımlaması
- VPN kullanıcısının hangi IP aralığından IP alacağını burada belirleyebilirsiniz.
5. Erişim Sağlanacak VLAN/IP Belirlenmesi
- VPN bağlantısı kuran kişinin hangi VLAN veya IP ağına erişeceğini burada tanımlıyoruz.
6. Zone, Address ve Policy Otomatik Tanımlamaları
Bu aşamada:
- Gerekli Zone, Address ve Policy nesneleri otomatik olarak oluşturulacaktır.
7. Oluşan VPN Kuralının Görüntülenmesi
- Yapılandırma tamamlandığında, oluşturulan VPN kuralı burada görüntülenir.
8. FortiClient Üzerinde IPsec VPN Ayarları
- Submit ile FortiGate üzerindeki VPN kurulumu tamamlandıktan sonra,
- FortiClient yazılımı üzerinde IPsec VPN ayarlarını yapmalısınız.
9. FortiClient Ayarları
- Önceden belirlenen Pre-Shared Key burada da aynı şekilde girilir.
- Firewall’un Gateway Address bilgisi tanımlanır.
- IKE versiyonu ve diğer VPN parametreleri (Encryption, Authentication) karşı uçla uyumlu olacak şekilde ayarlanır.
- Şifreleme ve kimlik doğrulama ayarları (DES, AES, SHA gibi) birebir karşılıklı uyumlu olmalıdır.
- Bu adımlar, tünel uyumluluğunu ve güvenliğini sağlamak için titizlikle uygulanmalıdır.
10. Phase 1 Ayarları ve Perfect Forward Secrecy (PFS)
- Phase 1 aşamasında, Encryption ve Authentication ayarları karşı tarafla uyumlu olacak şekilde yapılandırılır.
- Perfect Forward Secrecy (PFS) özelliği aktif edilmelidir.
PFS Nedir?
- Her oturum için yeni bir anahtar oluşturur.
- Anahtar çalınsa bile geçmiş oturumların şifresi çözülemez.
PFS için kullanılan yaygın Diffie-Hellman grup numaraları:
- Group 2: 1024-bit (Artık önerilmez)
- Group 5: 1536-bit (Orta seviye güvenlik)
- Group 14: 2048-bit (Günümüzde yaygın olarak önerilir)
11. VPN Bağlantı Testi
- Tüm ayarlamaları tamamladıktan sonra, oluşturduğunuz VPN kullanıcısıyla bağlantı testini gerçekleştirebilirsiniz.
Bu makalede, FortiGate cihazlarında IPsec VPN’in nasıl yapılandırılacağı adım adım anlatılmış, güvenlik için doğru şifreleme ve PFS kullanımının önemi vurgulanmış ve yeni sürümlerde SSL VPN desteğinin kalkması nedeniyle IPsec VPN veya FortiEMS kullanımının zorunlu olacağı belirtilmiştir.