Merhaba arkadaşlar, ben Cem Zengin.

Kurumsal şube bağlantılarında genellikle Site-to-Site IPsec VPN tünelleri kurarız. Ancak her iki lokasyonda da statik (sabit) IP adresi bulunması her zaman mümkün olmuyor. Özellikle küçük şubelerde veya saha ofislerinde dinamik IP’ye sahip ADSL/VDSL veya 4G/LTE hatları kullanılabiliyor. Statik IP’miz olmadığında, IP adresi her değiştiğinde VPN tünelimiz kopacak ve yeniden kurulamayacaktır.

Bu sorunu çözmek için FortiGuard’ın bize ücretsiz sunduğu DDNS (Dynamic DNS) servisini kullanarak dinamik bir alan adı (FQDN) tanımlayacak ve IPSec VPN tünelimizi bu alan adı üzerinden inşa edeceğiz.

1. FortiGate Üzerinde DDNS Tanımlanması

İlk adımda, dinamik IP’ye sahip olan cihazımızın (örn: Şube cihazı) dış dünyaya sürekli güncel IP adresini bildireceği bir DDNS alan adı alalım.

Web GUI Adımları:

  1. Network > DNS sayfasına gidin.
  2. Alt kısımda yer alan FortiGuard DDNS seçeneğini aktif edin.
  3. Parametreleri şu şekilde ayarlayın:
    • Interface: wan1 (Dinamik IP alan dış hat arayüzünüz)
    • Server: FortiGuardDDNS
    • Unique Location/Subdomain: sube-cemzengin (Benzersiz bir isim verin)
    • Domain: fortiddns.com (veya sunulan diğer domain seçeneklerinden biri)
  4. Apply butonuna tıklayın. Sistem IP adresinizi doğrulayacak ve sube-cemzengin.fortiddns.com şeklinde bir alan adı oluşturacaktır.

CLI Komutları:

config system ddns
    edit 1
        set ddns-server FortiGuardDDNS
        set use-public-ip enable
        set monitor-interface "wan1"
        set hostname "sube-cemzengin"
        set domain "fortiddns.com"
    next
end

2. Merkez Cihazında IPsec VPN Yapılandırması (Statik IP’li Taraf)

Şubemiz dinamik IP kullanırken, merkez cihazımızın statik (sabit) IP’ye sahip olduğunu varsayıyoruz (Örn Merkez IP: 85.90.95.10).

Merkez cihazı şubenin IP adresini bilmediği için, şubeyi DDNS alan adı (sube-cemzengin.fortiddns.com) üzerinden arayacaktır.

Merkez CLI Konfigürasyonu:

config firewall address
    edit "Sube-DDNS-Adresi"
        set type fqdn
        set fqdn "sube-cemzengin.fortiddns.com"
    next
end

config vpn ipsec phase1-interface
    edit "Merkez-to-Sube"
        set interface "wan1"
        set peertype any
        set net-device disable
        set proposal aes128-sha256 aes256-sha256
        set type dynamic  # Şube dinamik olduğu için dynamic seçiyoruz
        set dpd on-idle
        set psksecret SubeMerkezGizliAnahtar123
    next
end

config vpn ipsec phase2-interface
    edit "Merkez-to-Sube_p2"
        set phase1name "Merkez-to-Sube"
        set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256
        set keepalive enable
    next
end

3. Şube Cihazında IPsec VPN Yapılandırması (Dinamik IP’li Taraf)

Şube tarafındaki cihaz, Merkez IP adresini bildiği için doğrudan merkezin sabit IP adresini (85.90.95.10) hedef olarak gösterecektir.

Şube CLI Konfigürasyonu:

config vpn ipsec phase1-interface
    edit "Sube-to-Merkez"
        set interface "wan1"
        set peertype any
        set net-device disable
        set proposal aes128-sha256 aes256-sha256
        set remote-gw 85.90.95.10  # Merkezin sabit IP adresi
        set dpd on-idle
        set psksecret SubeMerkezGizliAnahtar123
    next
end

config vpn ipsec phase2-interface
    edit "Sube-to-Merkez_p2"
        set phase1name "Sube-to-Merkez"
        set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256
        set keepalive enable
    next
end

4. Yönlendirme (Routing) ve Politika (Firewall Policy) Tanımları

Her iki cihaz üzerinde de tünel arayüzlerinden paketlerin geçebilmesi için statik rotalar ve firewall erişim kuralları yazılmalıdır.

Merkez Tarafı Statik Rota ve Policy:

config router static
    edit 5
        set dst 192.168.20.0 255.255.255.0  # Şube local network bloğu
        set device "Merkez-to-Sube"
    next
end

config firewall policy
    edit 30
        set name "VPN-Merkez-to-Sube-Giris"
        set srcintf "port2" (Merkez LAN)
        set dstintf "Merkez-to-Sube"
        set action accept
        set srcaddr "all"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
    next
    edit 31
        set name "VPN-Merkez-to-Sube-Cikis"
        set srcintf "Merkez-to-Sube"
        set dstintf "port2"
        set action accept
        set srcaddr "all"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
    next
end

5. Tünel Durumunu Doğrulama ve Test Etme

Kurulum tamamlandıktan sonra tünelin kurulup kurulmadığını doğrulamak için:

  1. Şube veya Merkez cihazında VPN > IPsec Tunnels sayfasına gidin.
  2. Oluşturduğunuz tünelin durumunun Up (Yeşil) olduğunu teyit edin.
  3. Şubedeki bir bilgisayardan merkezdeki bir sunucuya ping atarak gecikmeleri ve erişimi test edin.

DDNS IP Güncelleme Süresi Hakkında Önemli Not:

Dinamik IP kullanan hattınız koptuğunda ve yeni bir IP aldığında, FortiGate bu durumu FortiGuard DDNS sunucularına iletir. IP güncelleme işlemi genellikle 1-2 dakika sürer. Bu süreçte tünel geçici olarak kapanacak, DNS kaydı güncellendikten hemen sonra otomatik olarak tekrar kurulacaktır.

Kurulum aşamasında yaşadığınız sorunları veya DNS çözümleme hatalarını yorumlar bölümünde belirtebilirsiniz. Bir sonraki yazıda görüşmek üzere!