Fortigate IPSEC VPN Kurulumu – Site to Site

Merhaba, bu yazımda “2 Fortigate cihazı arasında” Site to Site VPN – IPSEC VPN kurulumundan bahsedeceğim.

Not: Eğer karşı taraftaki cihazımız örneğin, Palo Alto, Sophos gibi farklı bir Firewall veya IPSEC tüneli destekleyen bir router olsaydı bu işlemler aşağıdaki şekilde değil, Fortigate IPSEC -> Custom seçeneği ile yapılacaktı. Biz aşağıdaki işlemimizi 2 Fortigate cihazı arasında tünel kurarak Site to Site yapılandıracağız. Bu işlem için Fortigate’in bize sunduğu özel seçenek ile yapılandıracağız. (Aşağıdaki resim)

Bir sonraki makalede Fortigate – Custom IPSEC seçeneği ile ilgili makalemi okuyabilirsiniz.

Kuruluma geçmeden önce IPSEC VPN Neden kurulur ? Genel olarak kurulum amacı nedir ? bundan bahsedelim.

• IPSEC VPN kısaca 2 lokasyonun Public IP’leri vasıtasıyla tünelin kurulması, ve bu kurulan tüneller sonrasında belirtilen Private (Local) IP’lerinin birbiri ile haberleşmesinin sağlanması gibi düşünebiliriz. Daha açıklayıcı olması açısından aşağıdaki resme bakabilirsiniz.

Şimdi yukarıdaki topolojimize göre IPSEC VPN kurulum işlemimizi gerçekleştirelim.

• İlk olarak VPN-> IPSec Tunnels-> Create New tıklayarak IPSEC kurulum menüsüne geliyoruz. (1)
• Aşağıda görüldüğü gibi Merkez Firewall’ımız üzerinde, Merkez-to-Sube isimli IPSEC VPN ismimizi veriyoruz ve Remote Device Type kısmını Fortigate seçiyoruz.

• Aynı işlemi Sube Firewall’ımız üzerinde de gerçekleştiriyoruz.

• 2. adımımız olarak Remote IP Address kısmına Tunel kuracağımız Firewall’ın Public (Dış) IP adresini giriyoruz.
• Outgoing Interface kısmında Merkez Firewall’ın WAN Interface’ini seçiyoruz.
• Pre-shared Key kısmında karşılıklı gireceğimiz bir key belirliyoruz. Bu key’in aynısını Şube Firewall’da giriyoruz.

Aynı işlemleri Şube Firewall’ımız üzerinde de gerçekleştiriyoruz.

• Bu kısımda Tünel sonrasında haberleşecek subnet’lerimizi belirliyoruz.
• Merkez ve Şube arasında haberleşecek local IP adreslerimizi subnet mask’leri ile beraber giriyoruz. (Not: Burada isterseniz /24 değil sıkılaştırma yaparak,  sadece haberleşecek IP adreslerinizi yazabilirsiniz)

• Aynı işlemleri Şube Firewall’ımız üzerinde de gerçekleştiriyoruz.

• Son olarak, yaptığımız işlemler ile ilgili özet bilgi ekranı geliyor ve Create diyerek kurulumu bitiriyoruz.

Biraz bekledikten sonra IPSEC’imizin UP – DOWN durumunu kontrol ediyoruz.

Aşağıda görüldüğü üzere, bilgilerimiz doğru girildiğinde IPSEC’imizin UP olduğunu görüyoruz.

• Not: Eğer IPSEC durumumuz DOWN olsaydı; TroubleShooting yapmak için Bring Up yöntemini kullanabilirdik. Bu işlem için Dashboard menüsü altında bulunan Network-IPSEC kısmına gidiyoruz. IPSEC tünelimiz üzerinde sağ tıklıyoruz ve Phase 1 veya Phase 2 hangisi DOWN ise onun için Bring Up işlemini gerçekleştiriyoruz.
• Diğer TroubleShooting yöntemlerini bir sonraki makalemde detaylı anlatacağım.

• Tünelimiz ayağa kaldırdık şimdi test işlemini gerçekleştiriyoruz. Yukarıdaki topolojimizde de görüldüğü üzere, Tünel sonrasında 192.168.1.0/24 ve 10.16.202.0/24 arasında erişim sağlayabilmemiz gerekiyordu.
• 192.168.1.1 ‘den -> 10.16.202.254 ‘e erişebildiğimizi görebilmekteyiz.

Makalelerimden ilk siz haberdar olmak istiyorsanız. Mail aboneliği kısmından abone olabilirsiniz.

Veya TELEGRAM Duyuru Kanalıma Katılabilirsiniz.

Sağlıklı ve Güvenli Günler Dilerim.