FortiGate Policy Routing (Kural Bazlı Yönlendirme) Yapılandırması

Merhaba arkadaşlar, ben Cem Zengin.

Ağ yönetiminde standart yönlendirme (Static Routing), paketin sadece hedef IP adresine bakarak nereye gideceğine karar verir. Ancak bazı durumlarda bu mantık yetersiz kalabilir. Örneğin; şirketinizde bulunan kritik bir sunucunun (örn: Muhasebe Sunucusu) veya belirli bir departmanın internete her zaman yedek hat olan yavaş hattan değil de, hızlı olan fiber hattan çıkmasını isteyebilirsiniz. Ya da belirli bir servisin (örn: SMTP / Mail trafiği) sadece belirli bir WAN arayüzünden geçmesini isteyebilirsiniz.

Bu tür senaryolarda kaynak IP, hedef IP, servis veya port bazında yönlendirme yapmamızı sağlayan Policy Routing (Kural Bazlı Yönlendirme) özelliğini kullanırız. Bu yazıda, FortiGate üzerinde Policy Route adımlarını uygulamalı olarak inceleyeceğiz.

1. Policy Routing Nasıl Çalışır? Yönlendirme Sıralaması

FortiGate üzerinde yönlendirme kararları alınırken belirli bir hiyerarşi uygulanır. Sıralama şu şekildedir:

1. Policy Route (Kural Bazlı Rotalar) - En Öncelikli
2. SD-WAN Rules
3. Static Route (Statik Rotalar)

Yani, tanımladığınız bir Policy Route varsa, cihaz statik rotalara bakmadan önce bu kuralı uygular. Bu nedenle Policy Route yazarken çok dikkatli olunmalı, yerel ağların (LAN-to-LAN veya VPN trafiği) bu kurala takılıp internete yönlenmesi engellenmelidir.

2. Senaryo ve Gereksinimler

Şirketimizde iki internet hattımız olduğunu varsayalım:

• Fiber WAN (wan1): Hızlı hat.
• VDSL WAN (wan2): Yedek/Yavaş hat.

Hedefimiz: Muhasebe Departmanı bilgisayarlarının (IP Bloğu: 192.168.10.50 - 192.168.10.70) tüm internet trafiğini sadece wan2 (VDSL) hattı üzerinden yönlendirmek.

3. Web Arayüzü (GUI) ile Policy Route Yapılandırması

1. Network > Policy Routes sayfasına gidin.
2. Create New butonuna tıklayın.
3. Parametreleri şu şekilde yapılandırın:
   • Protocol: Any (veya sadece TCP/UDP trafiğini ayıracaksanız ilgili protokol numarasını yazın, örn: TCP için 6)
   • Incoming Interface: port3 (Muhasebe departmanının bağlı olduğu LAN bacağı)
   • Source Address: Buraya tıklayıp Create diyerek muhasebe IP aralığını bir IP Range objesi olarak tanımlayın ve seçin (Örn: 192.168.10.50-192.168.10.70).
   • Destination Address: all (veya 0.0.0.0/0)
   • Kritik Adım: Eğer yerel ağlara (örn: 192.168.20.0/24 şube ağına) erişirken bu kuralın devreye girmesini istemiyorsanız, yerel ağları hedef olarak belirtip aksiyonunu Stop Policy Routing olarak seçtiğiniz en üste konumlandırılmış ayrı bir Policy Route yazmalısınız.
   • Action: Forward Traffic
   • Outgoing Interface: wan2 (Trafiğin çıkacağı yedek/yavaş VDSL hattımız)
   • Gateway Address: 90.100.110.1 (wan2 hattının ISP ağ geçidi IP adresi)
4. OK butonuna tıklayarak kuralı kaydedin.

4. CLI (Command Line) ile Policy Route Yapılandırması

Aynı yönlendirme kuralını CLI üzerinden hızlıca yazmak için:

config router policy
    edit 1
        set input-device "port3"
        set src "192.168.10.50-192.168.10.70"
        set dst "0.0.0.0/0.0.0.0"
        set gateway 90.100.110.1
        set output-device "wan2"
    next
end

5. Yerel Ağlar (LAN) ve VPN Trafiği için Muafiyet Kuralı

Policy Route yazıldığında, cihaz tüm trafiği belirtilen WAN ağ geçidine üfler. Bu durum iç ağdaki diğer VLAN’lara veya kurulu olan IPsec VPN tünellerine doğru giden trafiğin de kesilmesine yol açar. Bunu engellemek için yerel ağlara giden trafiğe “Policy Routing’i durdur (statik tabloya bak)” talimatı vermeliyiz.

CLI ile Muafiyet Kuralı (En Üste Eklenmeli):

config router policy
    edit 2
        set input-device "port3"
        set src "192.168.10.0/255.255.255.0"
        set dst "192.168.0.0/255.255.0.0"  # Tüm iç bloklar ve VPN blokları için
        set action stop-policy-routing  # Bu kural eşleşirse yönlendirme yapma, normal rotayı takip et
    next
end

Not: CLI üzerinden kural sıralamasını düzenlemek için move komutunu kullanabilirsiniz (Örn: move 2 to 1).

6. Doğrulama ve Sorun Giderme (Troubleshooting)

Kuralın çalışıp çalışmadığını doğrulamak için:

• Kısıtladığınız muhasebe IP aralığındaki bir bilgisayardan tarayıcıyı açıp ipimnedir.com veya whatismyip.com gibi sitelere girerek Public IP adresinizin wan2 (VDSL) IP’si olup olmadığını kontrol edin.
• CLI üzerinden rotaları ve aktif yönlendirmeleri izlemek için sniffer komutunu kullanabilirsiniz:

  diagnose sniffer packet any "host 192.168.10.55" 4
  

Policy Routing süreçlerinde yaşadığınız problemleri ve yönlendirme döngülerini yorumlar kısmında paylaşabilirsiniz. Bir sonraki teknik yazıda görüşmek üzere!