FortiGate Firewall İçin Dialup User IPsec VPN Kurulumu

FortiGate Firewall İçin Dialup User IPsec VPN Kurulumu

FortiGate Firewall’un 7.6.0 ve üzeri sürümlerinde artık SSL VPN desteği bulunmamaktadır. Bu nedenle, uzak kullanıcıların FortiClient VPN uygulaması üzerinden ağa erişebilmeleri için Dialup User IPsec VPN yapılandırmasının yapılması gerekmektedir.

IPsec VPN Yapılandırmasına Giriş

  1. FortiGate arayüzüne yönetici hesabı ile giriş yapınız.

  2. Sol menüden VPN > IPsec Wizard bölümüne geçiniz.

  3. Name kısmına IPsec VPN isminizi giriniz.

  4. Açılan sihirbaz ekranında, Template Type olarak Custom seçiniz.

  5. Ardından Next butonuna tıklayarak yapılandırma adımlarına geçiniz.

IPv4 Network Yapılandırması

  1. Remote Gateway: Bağlantıyı başlatacak taraf kullanıcı olacağı için Dialup User seçiyoruz.

  2. Interface: VPN’in dinleyeceği fiziksel ya da sanal FortiGate WAN arayüzü.

  3. Mode config seçeneğini açıyoruz (Enable edildiğinde, istemciye otomatik IP konfigürasyonu yapılır).

  4. Assign IP From kısmından client’lara nasıl IP adresi verileceğini seçiyoruz (Projenize göre farklılık gösterebilir).

IPv4 Mode Config Yapılandırması

  1. Client Address Range: VPN istemcilerine atanacak IP adres aralığını giriniz.

  2. Subnet Mask: IP aralığına uygun alt ağ maskesini belirtiniz.

  3. DNS Server: VPN istemcilerinin kullanacağı DNS sunucu adresini giriniz.

  4. Enable IPv4 Split Tunnel: Bu seçeneği Enable ederek, VPN istemcilerinin sadece belirli ağlara yönlendirilmesini sağlarsınız.

  5. Accessible Network: VPN kullanıcılarının erişmesine izin verilecek dahili ağları veya adres gruplarını seçiniz.

Authentication Yapılandırması

  1. Method olarak Pre-shared Key seçiniz.

  2. Pre-shared Key alanına belirlediğiniz gizli anahtarı giriniz.

  3. IKE Version, Mode ve Accept Types seçeneklerini yapılandırınız.

Notlar:

  • IKE Version: Genellikle IKEv2 önerilir.

  • Mode: Main ya da Aggressive (güvenlik/hız dengesi).

  • Peer ID: VPN bağlanan istemcinin kimliğini doğrulamak için tanımlı isim (isteğe bağlı).

Phase 1 Ayarlarının Yapılandırılması

  1. Encryption / Authentication:
    VPN tünelinin şifrelenmesi ve doğrulanması için uygun algoritmalar seçilmelidir.

    • Encryption: AES256

    • Authentication: SHA256

  2. DH Group (Diffie-Hellman Group):
    Anahtar değişimi sırasında kullanılacak Diffie-Hellman grup numarası belirlenir.

  3. Key Lifetime (seconds):
    Oluşturulan anahtarın geçerlilik süresi. Bu süre sonunda anahtar otomatik olarak yenilenir.

Bu ayarlar, hem güvenlik seviyesi hem de istemcilerle olan uyumluluk açısından projenizin ihtiyaçlarına göre seçilmelidir.

XAuth (Extended Authentication) Yapılandırması

VPN bağlantısı sırasında ek kullanıcı adı/şifre doğrulaması yapılmasını sağlar. Genellikle kullanıcı tabanlı kimlik doğrulamanın gerektiğinde kullanılır.

  1. Enable XAuth:
    Eğer kullanıcı doğrulaması gerekiyorsa bu seçeneği aktif hale getiriniz.

  2. User Group:
    VPN bağlantısına izin verilecek kullanıcıları içeren kullanıcı grubunu seçiniz.

Phase 2 Ayarlarının Yapılandırılması

Phase 2, veri trafiğinin tünel içerisinde nasıl şifreleneceğini belirleyen aşamadır. Bu adımda şifreleme algoritmaları, PFS ve ömür bilgileri gibi ayarlar yapılandırılır.

  • Encryption / Authentication:
    Tünel içerisindeki veri trafiğinin şifrelenmesinde kullanılacak algoritmaları belirtir.

    • Encryption: AES256

    • Authentication: SHA256

  • PFS (Perfect Forward Secrecy):
    Her oturumda yeni anahtarların üretilmesini sağlar. Ek güvenlik katmanı oluşturur. DH Group değeri seçilerek etkinleştirilir.

  • Key Lifetime (seconds):
    Phase 2 anahtarlarının geçerlilik süresini tanımlar. Bu süre sonunda yeni anahtarlar oluşturularak tünel güvenliği korunur.

Bu yapılandırma sayesinde, tünel içerisindeki veri trafiği güçlü şifreleme ile korunur ve her bağlantı için dinamik anahtar üretimi sağlanır.

VPN Kullanıcıları İçin IP Address Object Oluşturulması

VPN istemcilerine atanacak IP aralığını temsil eden bir Address Range oluşturunuz.

  1. FortiGate arayüzünde sol menüden Policy & Objects > Addresses bölümüne gidiniz.

  2. Sağ üstteki Create New > Address seçeneğini tıklayınız.

  3. Name: Adrese isim veriniz.

  4. Type: IP Range seçiniz.

  5. IP Range: Daha önce Mode Config kısmında tanımladığınız VPN istemci IP aralığını giriniz.

  6. Interface: Any olarak bırakılabilir veya VPN arayüzü belirtilebilir.

  7. OK butonuna tıklayarak adres nesnesini kaydediniz.

VPN Kullanıcıları İçin Firewall Policy Oluşturulması

VPN kullanıcılarının iç ağa erişim sağlayabilmesi için uygun bir Firewall Policy oluşturunuz.

  1. FortiGate arayüzünde sol menüden Policy & Objects > Firewall Policy bölümüne geçiniz.

  2. Create New butonuna tıklayarak yeni bir kural oluşturunuz.

  3. Aşağıdaki ayarları yapılandırınız:

    • Name: Policy ismini giriniz.

    • Incoming Interface: VPN tünelinin bağlı olduğu sanal arayüzü seçiniz.

    • Outgoing Interface: Kullanıcıların erişeceği iç ağ arayüzünü belirtiniz.

    • Source: VPN istemcilerine atanan IP aralığı (önceden oluşturduğunuz address object).

    • Destination: Kullanıcıların erişeceği ağ veya adres grubu.

    • Schedule: always

    • Service: ALL veya sadece belirli servisler (örneğin sadece RDP, HTTP gibi) seçilebilir.

    • Action: Accept

    • NAT: Disable olarak ayarlanmalıdır. (VPN istemcileri iç ağa kendi IP’leriyle erişmelidir.)

  4. Ayarları gözden geçirdikten sonra OK butonuna tıklayarak politikayı kaydediniz.

FortiClient VPN Uygulaması Üzerinden Bağlantı Yapılandırması

Firewall tarafındaki tüm yapılandırmalar tamamlandıktan sonra, kullanıcıların ağa erişimi için FortiClient VPN uygulaması üzerinden gerekli ayarların yapılması gerekmektedir.

Adımlar:

  1. Kullanıcı, cihazına FortiClient VPN uygulamasını indirip kurar.

  2. Uygulama açıldığında, sol menüden IPsec VPN sekmesini seçer.

  3. New Connection (Yeni Bağlantı) butonuna tıklayarak yeni bir VPN profili oluşturur.

Aşağıdaki bilgileri, Firewall üzerindeki yapılandırmaya göre doldurunuz:

    1. Connection Name: Bağlantıya isim veriniz.

    2. Remote Gateway: FortiGate’in WAN IP adresini giriniz.

    3. Authentication Method: Pre-Shared Key.

    4. Pre-Shared Key: FortiGate üzerinde tanımladığımız anahtarı giriniz.

    5. Advanced Settings seçeneğini genişletiniz.

      1. Firewall üzerinde yapılandırdığınız tüm ayarları burada da yapınız.

Tüm ayarlar tamamlandıktan sonra, FortiClient VPN uygulamasında bağlantı testi yapmak için, FortiGate üzerinde tanımlı olan kullanıcı grubuna ait bir kullanıcı adı ve şifre ile oturum açınız.

 

 

 

 

 

Tagged: