FortiGate Kurulum Ders 3: FortiGate SSL-VPN ve FortiClient

Uzaktan (Remote) çalışan personellerin şirket içi sunuculara ve kaynaklara güvenli bir şekilde erişebilmesi için en yaygın çözümlerden biri SSL VPN teknolojisidir. FortiGate üzerinde yapılandıracağımız SSL VPN ve kullanıcının bilgisayarına kuracağı FortiClient yazılımı ile şifreli, güvenli bir tünel oluşturacağız.

Bu makalemizde SSL VPN kullanıcı grubu oluşturma, portal tanımlama ve firewall kurallarını CLI üzerinden yapılandıracağız.

1. Kullanıcı ve Grup Yapılandırması

SSL VPN bağlantısı sağlayacak personeller için yerel bir kullanıcı tanımlayıp bunu bir gruba üye yapalım.

! Kullanıcı Oluşturma
config user local
    edit "ahmet"
        set type password
        set passwd "PersonelSifre123"
    next
end

! Grup Oluşturma ve Kullanıcıyı Ekleme
config user group
    edit "SSL_VPN_Kullanicilari"
        set member "ahmet"
    next
end

2. SSL VPN IP Havuzu ve Portal Tanımlama

Bağlanan kullanıcılara verilecek IP aralığını belirleyelim ve kullanacakları portalı (full-tunnel veya split-tunnel) yapılandıralım.

IP Havuzu Belirleme

config system address
    edit "SSL_VPN_Havuz"
        set type iprange
        set start-ip 10.212.134.200
        set end-ip 10.212.134.250
    next
end

Portal Yapılandırması (Split-Tunneling Aktif)

Split-tunneling, kullanıcının internet trafiğinin kendi ev internetinden çıkmasını, yalnızca şirket içi sunuculara (192.168.10.0/24) gidecek trafiğin VPN tüneline girmesini sağlar. Bu sayede firewall’un internet bacağı gereksiz yere meşgul edilmez.

config vpn ssl web portal
    edit "Kurumsal_Portal"
        set tunnel-mode enable
        set split-tunneling enable
        set split-tunneling-routing-address "192.168.10.0/24"
        set ip-pools "SSL_VPN_Havuz"
    next
end

3. SSL VPN Ayarları ve Kural Yazma

SSL VPN Ayarlarının Yapılandırılması

Dış dünyaya hangi port üzerinden servis vereceğimizi ve hangi kullanıcı gruplarının hangi portalları kullanacağını eşleştiriyoruz:

config vpn ssl settings
    set servername "vpn.cemzengin.com.tr"
    set server-cert "Fortinet_Factory"
    set tunnel-ip-pools "SSL_VPN_Havuz"
    set port 10443
    set source-interface "port1"
    set source-address "all"
    set default-portal "web-mode-access"
    config authentication-rule
        edit 1
            set groups "SSL_VPN_Kullanicilari"
            set portal "Kurumsal_Portal"
        next
    end
end

Burada port 10443 belirledik. Kullanıcılar bağlanırken dış IP ve bu portu (Örn: https://85.90.90.90:10443) kullanacaklardır.

Erişim İzni Kuralının Yazılması

SSL VPN arayüzünden (ssl.root) iç ağımıza (internal) izin verecek olan kuralı tanımlıyoruz:

config firewall policy
    edit 0
        set name "SSL-VPN-Erisim-Kurali"
        set srcintf "ssl.root"
        set dstintf "internal"
        set srcaddr "all"
        set dstaddr "192.168.10.0/24"
        set action accept
        set schedule "always"
        set service "ALL"
        set groups "SSL_VPN_Kullanicilari"
    next
end

4. FortiClient İle Bağlantı Kurma

Kullanıcı bilgisayarına FortiClient VPN (ücretsiz sürüm) yazılımını indirir.

1. Configure VPN butonuna tıklanır.
2. VPN Type: SSL-VPN seçilir.
3. Connection Name: Sirket_VPN yazılır.
4. Remote Gateway: Dış IP ve belirlediğimiz port yazılır (Örn: 85.90.90.90 ve Customize Port kutucuğu işaretlenip 10443 yazılır).
5. Kaydedildikten sonra kullanıcı adı (ahmet) ve şifre girilerek bağlantı başlatılır.

CLI Üzerinden Aktif VPN Bağlantılarını İzleme

! Aktif SSL VPN kullanıcılarını listeleme
get vpn ssl monitor