FortiGate Kurulum Ders 4: Site-to-Site IPsec VPN

Şirketlerin farklı coğrafi konumlardaki ofislerini (örneğin Merkez ve Şube) güvenli ve şifreli bir tünel üzerinden tek bir ağmış gibi konuşturmak için IPSec Site-to-Site VPN yapısı kullanılır. Bu makalede, iki adet FortiGate firewall arasında route-based IPSec VPN tüneli yapılandırmasını CLI komutları üzerinden ele alacağız.

1. Ağ Senaryomuz

• Merkez Cihazı (FortiGate-A):
  • WAN IP: 85.90.90.90 (Port1)
  • Yerel Ağ (LAN): 192.168.10.0/24
• Şube Cihazı (FortiGate-B):
  • WAN IP: 95.100.100.100 (Port1)
  • Yerel Ağ (LAN): 192.168.20.0/24

2. Merkez FortiGate Yapılandırması (FortiGate-A)

Adım 1: Phase 1 (Evre 1) Tanımlaması

Phase 1, iki cihaz arasındaki güvenlik anahtarlaşmasını (IKE) ve el sıkışmasını yönetir.

config vpn ipsec phase1-interface
    edit "To-Sube"
        set interface "port1"
        set ike-version 2
        set peertype any
        set proposal aes256-sha256 aes128-sha1
        set local-gw 85.90.90.90
        set remote-gw 95.100.100.100
        set psksecret "OrtakGizliAnahtar123"
    next
end

Adım 2: Phase 2 (Evre 2) Tanımlaması

Phase 2, tünel içerisinden geçecek asıl veri trafiğinin şifrelenmesini (IPSec ESP) yönetir.

config vpn ipsec phase2-interface
    edit "To-Sube-P2"
        set phase1name "To-Sube"
        set proposal aes256-sha256 aes128-sha1
        set dhgrp 14 5
    next
end

Adım 3: Yönlendirme (Static Route) Ekleme

Şube ağına (192.168.20.0/24) gidecek olan trafiği oluşturduğumuz tünel arayüzüne yönlendiriyoruz:

config router static
    edit 0
        set dst 192.168.20.0 255.255.255.0
        set device "To-Sube"
    next
end

Adım 4: Firewall Politikaları (Erişim İzinleri)

Trafiğin geçebilmesi için çift yönlü (Giriş ve Çıkış) kurallarımızı yazıyoruz:

! Merkezden Şubeye Çıkış İzni
config firewall policy
    edit 0
        set name "Merkez-to-Sube"
        set srcintf "internal"
        set dstintf "To-Sube"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end

! Şubeden Merkeze Giriş İzni
config firewall policy
    edit 0
        set name "Sube-to-Merkez"
        set srcintf "To-Sube"
        set dstintf "internal"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end

Aynı ayarların ters simetrisi (IP’ler ve Arayüzler yer değiştirilerek) Şube firewall’u (FortiGate-B) üzerinde de yapılmalıdır.

3. VPN Durum Kontrolü ve Sorun Giderme

Tünelin aktifleştiğini (Up olduğunu) doğrulamak ve hata durumlarını incelemek için aşağıdaki CLI komutlarını kullanabilirsiniz:

! Phase 1 durumunu sorgulama
get vpn ike gateway

! Phase 2 (IPSec tünel) durumunu sorgulama
get vpn ipsec tunnel details

! VPN hata loglarını anlık olarak CLI üzerinden izleme (IKE Debug)
diagnose debug application ike -1
diagnose debug enable

Eğer tünel Down durumundaysa:

• Pre-Shared Key (Ortak Gizli Anahtar) bilgisinin iki tarafta da aynı olduğunu teyit edin.
• Phase 1 Proposal şifreleme ve DH (Diffie-Hellman) grup ayarlarının birebir uyuştuğundan emin olun.