Fortigate SSL VPN Yapılandırması

Merhaba. Bu yazımda pandemi nedeniyle kullanımının önem kazandığı Fortigate SSL VPN yapılandırmasını anlatacağım. Konuyu anlatmadan önce Açık Kaynaklar Fikirler sayfasına ait yazının linkini ve yazıdan bir parçayı aşağıya bırakıyorum. Okumanızı kesinlikle tavsiye ederim.

Güvenli Uzaktan Çalışma; 

Bir çok araştırma, Covid-19  sonrası tüm dünyadaki iş yapış biçimlerinin uzaktan çalışma biçimine dönüştüğünü ve hiçbir zaman eskiye dönülmeyeceğini ortaya koyuyor.

Bu sebeple işletmeler, bilişim altyapılarını çalışanları sanki sürekli uzaktan çalışıyormuş ve sürekli online olmaları gerekiyormuş senaryosuna göre kurgulamalı.

Yazının devamı için tıklayın.

Konuyu anlatmadan önce senaryomuzu ve VPN Nedir ? başlığı altında kısa bir anlatım yapacağım.

VPN Nedir ?

 VPN, sanal özel ağlar olarak tanımlanır. Virtual Private Network kelimelerinin kısaltması olarak kullanılır. Bir bilgisayar ile karşı taraftaki diğer bilgisayarlar arasındaki iletişimin (verinin) şifreleme yapılarak güvenli bir tünel kurulması sağlanır. Kısaca; internete çıkarken gerçek IP adresiniz gizlenir ve farklı IP üzerinden bağlanmanız sağlanır. IPSEC ve SSL VPN olarak ikiye ayırılıyor fakat bu anlatımda SSL VPN’den bahsedeceğiz.

Fortigate SSL VPN Yapılandırması Nasıl Yapılır ?

İlk olarak portal ayarlarını yapılandıracağız. Default olarak full-access / tunnel-access / web-access portalları gelmektedir. Ben full-access portalını düzenleyeceğim.

• Limit Users to One SSL-VPN Connection at a Time: Eğer bu seçeneği aktif hale getirirsek, kullanıcı aynı anda sadece bir bilgisayar üzerinden bağlantı yapacaktır. Aynı anda başka bir bilgisayardan giriş yapılması halinde uyarı verecektir.
• Enable Split Tunneling (Önemli Özellik):

1. Eğer kapalı olursa; Kullanıcı bağlantı yaptıktan sonra, bütün trafiğini VPN üzerinden yapacaktır. Not: Fakat kapalı durumda SSL-Vpn’den İnternete doğru bir kural yazılması gerekecektir. Eğer kural yazılmazsa kullanıcının VPN bağlantısından sonra interneti kesilecektir.
2. Eğer özellik açık olursa; sadece Routing Address kısmında belirttiğimiz subnete giderken VPN trafiğine girecektir. Başka herhangi bir web sitesine giderken kullanıcı kendi internetini kullanmış olacaktır.

• Source IP Pools: Kullanıcılar VPN bağlantısı  yaptıktan sonra hangi IP aralığından IP alacaklarını belirliyor. İsterseniz default olarak gelen aralığı değiştirebilirsiniz. 10 kullanıcı IP alacak şekilde gelmektedir. Kullanıcı sayınıza göre değiştirebilirsiniz.

• Tunnel Mode Client Options: Bu kısımdan kullanıcının indirmiş olduğu Forticlient uygulamasında kullanıcıya giriş esnasında parolayı kaydetme seçeneği. Otomatik bağlantı seçeneği gibi özellikler yapılandırılmaktadır.
• Web mode: Web mode ile kullanıcılar Web bağlantısı üzerinden VPN yapabilmekteler. Fakat genel kullanım FortiClient üzerinden yapılmaktadır. Bundan dolayı Web Mode kullanımı çok fazla kullanılmamaktadır.

SSL VPN bağlantısı yapacak kullanıcıları oluşturacağız. LDAP üzerinden de kullanıcıların VPN yapılandırmasını sağlayabiliriz. Fakat biz bu anlatımda Fortigate üzerinde SSL VPN yapacak kullanıcıları kendimiz oluşturacağız.

2. işlem olarak ise SSL-VPN Settings menüsündeki ayarları  yapılandıracağız.

• Listen on Interface(s): Bu kısımdan dinleyeceği interfaceleri seçiyoruz. Benim burada internet bacağım wan portu olduğundan dolayı onu seçtim.
• Listen on Port: Burada default olarak 443 gelmektedir. Bu kısmı 10443 veya istediğiniz bir port ile değiştirebilirsiniz.
• Idle Logout: Bu kısım ise “kullanıcılar şu kadar süre boyunca işlem yapmazsa bağlantısını kopar” anlamına gelmektedir. Burayı saniye cinsinden istediğiniz şekilde belirleyebilirsiniz veya kapatabilirsiniz.

• Address Range: Portal kısmında belirttiğimiz IP aralığı burada otomatik olarak gelmektedir. Veya yan sekmeden istediğiniz aralıkları dahil edebilirsiniz.
• DNS Server: Eğer localda bir DNS serverınız var ise Specify kısmından belirtebilirsiniz.
• Authentication/Portal Mapping: Bu kısımdan Create New butonuna tıklayarak localde oluşturduğum siberdinc isimli kullanıcıyı ekledim. Ve portal olarak full-access portalını seçtim. *Not: Burada oluştuğumuz kullanıcı adımızı ayrıca User & Device kısmından da oluşturup ekleyebiliriz.

Olmazsa olmazımız KURAL ! Son olarak kuralımızı yapılandırıyoruz.

• Incoming olarak SSL-VPN interfacemizi, Outgoing olarak ise bağlantı sonucunda erişim istediğimiz interfacemizi belirtiyoruz.
• Source kısmında Tunel aralığını ve kullanıcımızı belirttik, Destination olarak ise all belirtip (isterseniz kısıtlama yapabilirsiniz) NAT’ımızı kapatıp kuralımızı tamamladık.

Kuralımızı da yazdığımıza göre test işlemimizi gerçekleştirebiliriz. Bunun için ilk olarak https://www.fortinet.com/support/product-downloads linki üzerinden FortiClient VPN başlığı altındaki kısımdan FortiClient uygulamamızı indiriyoruz.

Uygulamamızı indirip kurduktan sonra aşağıdaki şekilde yapılandırmamız yapıyoruz.

• Remote Gateway: Dış IP adresimizi buraya yazıyoruz.
• Customize port: SSL-VPN Setting kısmında belirttiğimiz portumuzu buraya yazıyoruz.
• Username: Oluşturduğumuz kullanıcı adımızı buraya yazıyoruz.

Kullanıcı adımı ve şifremi girip Connect diyorum.

Bağlantımızı gerçekleştirdik ve belirlediğimiz IP Range kısmından IP adresimizi aldık.

Şimdi yukarıdaki senaryoya göre belirlediğimiz 192.168.1.200 IP’li sunucuya erişeceğim.

Test işlemimizi gerçekleştirdik. Yukarıda kısaca Fortigate üzerinde SSL VPN yapılandırmamızı yaptık ve 192.168.1.200 IP adresli sunucumuza eriştik.

Daha önce SSL VPN bağlantılarımızı daha güvenli hale getiren Fortitoken Mobile’in nasıl kullanılacağını, Fortigate üzerinde SSL VPN yaparken kullanabileceğimiz FortiToken Mobile nasıl kurulur ? başlıklı yazımda anlatmıştım. Yazıya buradan ulaşabilirsiniz.

Makalelerimden ilk siz haberdar olmak istiyorsanız. Mail aboneliği kısmından abone olabilirsiniz.

Veya TELEGRAM Duyuru Kanalıma Katılabilirsiniz.

Sağlıklı ve Güvenli Günler Dilerim.