FortiGate firewall cihazlarının kurulumu veya yapılandırma değişiklikleri sonrasında en sık karşılaşılan problemlerden biri, iç ağdaki kullanıcıların veya sunucuların internete erişememesidir. Bu sorun genellikle basit bir rota (route) eksikliğinden, hatalı NAT (Network Address Translation) ayarlarından ya da DNS çözümleme hatalarından kaynaklanır. FortiGate arkasındaki bir cihazın internete çıkamaması durumunda kontrol edilmesi gereken temel bileşenler sırasıyla; fiziksel kablolama ve WAN arayüzü IP durumu, Static Route (Varsayılan Ağ Geçidi) yapılandırması, Firewall Policy kuralları ve NAT etkinleştirme durumu ile DNS sunucu erişilebilirliğidir. Bu bileşenlerin her biri doğru şekilde yapılandırılmadığında, cihazlar yerel ağda birbirleriyle konuşabilse dahi dış dünyaya açılamaz.
Bu teknik rehber şu hedef kitlelerin sorunları çözmesine yardımcı olmak amacıyla hazırlanmıştır:
- Şirket ağının güvenliğinden ve yönetiminden sorumlu ağ ve sistem yöneticileri
- Yeni bir FortiGate kurulumu gerçekleştiren veya kural seti güncelleyen teknik uzmanlar
- İnternet erişim kesintilerinde CLI üzerinden hızlı arıza tespiti yapmak isteyen ağ mühendisleri
- Güvenli ve kurallara uygun firewall politikaları tasarlamak isteyen IT yöneticileri
Hızlı Özet
- FortiGate üzerinde internete çıkış kuralında (Firewall Policy) NAT seçeneğinin açık olduğundan emin olun. NAT kapalıysa iç ağdaki IP adresleri dış dünyaya maskelenemez ve internete çıkamaz.
- Sistem yönlendirme tablosunda,
0.0.0.0/0hedefli varsayılan rotanın (Static Route) WAN bacağını ve servis sağlayıcı geçidini (Gateway IP) doğru gösterdiğini doğrulayın. - İç ağdaki istemcilerin doğru DNS sunucu adreslerini (
8.8.8.8,1.1.1.1vb.) aldığını ve FortiGate üzerinden bu DNS IP adreslerine UDP port53izni verildiğini kontrol edin. - FortiGate CLI arayüzünü kullanarak sırasıyla
ping 8.8.8.8veexecute traceroute 8.8.8.8komutlarıyla paketlerin firewall dışına çıkıp çıkamadığını test edin. - IP adresi çakışmalarını veya fiziksel hat arızalarını izole etmek için WAN portunun durumunu ve ISP (İnternet Servis Sağlayıcı) modeminin köprü (bridge) ya da yönlendirici modunu denetleyin.
İçindekiler
- FortiGate Internet Çıkış Mimarisi Nasıl Çalışır?
- Adım Adım Adım İnternet Erişim Hatası Giderme Süreci
- CLI Üzerinden Hızlı Arıza Tespit Komutları
- Sık Karşılaşılan Yapılandırma Hataları
- İç Bağlantılar ve Önerilen Okumalar
- Kontrol Listesi
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar

Görsel: Wikimedia Commons - FortiGate Server Rack Integration.
FortiGate Internet Çıkış Mimarisi Nasıl Çalışır?
Bir bilgisayarın FortiGate üzerinden internete güvenli bir şekilde erişebilmesi için paketlerin üç temel onay mekanizmasından geçmesi gerekir. İlk olarak, bilgisayarın gönderdiği paket FortiGate iç arayüzüne (LAN portu) ulaştığında yönlendirme tablosu (routing table) kontrol edilir. Eğer rota mevcutsa, paket "Firewall Policy" kurallarıyla eşleştirilir. Kural onaylandığında, iç ağdaki özel IP adresi (örneğin 192.168.1.100), WAN arayüzündeki genel (Public) IP adresine dönüştürülür (NAT). Bu süreçlerin herhangi birinde yaşanacak bir kesinti, paketin düşmesine ve internet erişiminin tamamen durmasına yol açar.
Aşağıdaki tabloda, internet çıkış sürecinde aktif rol oynayan protokoller ve standart port değerleri özetlenmiştir:
| Protokol / Servis | Port | İşlevi | Kritik Kontrol Noktası |
|---|---|---|---|
| DNS (UDP) | 53 | Alan adı çözümleme (Örn: google.com) | İç ağdaki istemcilerin DNS sunucu erişimi |
| HTTP (TCP) | 80 | Güvensiz web trafiği | Firewall kuralında "Service" kapsamı |
| HTTPS (TCP) | 443 | Güvenli web trafiği | SSL/TLS Inspection ve Sertifika uyumu |
| ICMP | N/A | Ping ve Traceroute testleri | Rota kontrolü ve ağ geçidi doğrulaması |
Adım Adım Adım İnternet Erişim Hatası Giderme Süreci
İç ağdaki kullanıcılar "İnternet erişimi yok" şikayetiyle geldiğinde, sorunu izole etmek için aşağıdaki teknik adımları sırasıyla uygulayın.
1. Fiziksel ve Arayüz Kontrolleri (Interface Status)
İlk olarak FortiGate yönetim arayüzüne giriş yapın ve Network > Interfaces menüsüne gidin:
- WAN portunun (genellikle
wan1veyaport1) durumunu kontrol edin. Portun yanında yeşil yukarı ok simgesi olmalıdır. - WAN portuna atanan IP adresinin doğruluğunu kontrol edin. Statik bir IP kullanılıyorsa ISP'nin verdiği IP, alt ağ maskesi ve geçit IP'sini teyit edin. DHCP kullanılıyorsa, dış bacağın servis sağlayıcıdan IP alıp almadığını inceleyin.
2. Static Route (Varsayılan Rota) Yapılandırması
FortiGate'in gelen paketleri nereye yönlendireceğini bilmesi gerekir. Bunun için varsayılan bir rotanın olması şarttır:
- Network > Static Routes menüsüne gidin.
- Yeni bir rota ekleyin veya mevcut rotayı kontrol edin:
- Destination:
0.0.0.0/0(tüm internet trafiği anlamına gelir) - Gateway IP: ISP modemi veya fiber sonlandırıcı arayüz IP adresi
- Interface: Trafiğin çıkacağı WAN arayüzü (Örn:
wan1)
- Destination:
- Varsayılan rota eksikse, iç ağdaki istemciler yerel ağ dışındaki hiçbir IP adresine ulaşamazlar.
3. IPv4 Policy (Güvenlik Politikası) ve NAT Ayarı
Rotanız doğru olsa bile, FortiGate kuralları varsayılan olarak tüm trafiği engeller (Implicit Deny). İnternete izin kuralını kontrol etmek için:
- Policy & Objects > Firewall Policy menüsüne gidin.
- İç ağdan dış ağa doğru yazılmış kuralı bulun:
- Incoming Interface: Yerel ağ arayüzünüz (Örn:
InternalveyaLAN) - Outgoing Interface: İnternete çıkan arayüzünüz (Örn:
wan1) - Source: İzin verilen yerel IP blokları (Örn:
LAN_SubnetveyaAll) - Destination: İnternet hedefleri (Genellikle
all) - Service: İzin verilen protokoller (Örn:
ALLveyaWeb Access) - Action:
ACCEPT
- Incoming Interface: Yerel ağ arayüzünüz (Örn:
- En Kritik Adım: Kural detaylarında yer alan NAT seçeneğinin açık (enabled) olduğundan ve Use Destination Interface IP seçeneğinin seçili olduğundan emin olun. NAT kapalıysa paketler internete özel IP bloklarıyla çıkar ve ISP yönlendiricileri tarafından anında düşürülür.
4. DNS Yapılandırması ve İstemci Kontrolleri
İstemci bilgisayarlar IP adreslerine ping atabiliyor (örneğin 8.8.8.8) ancak web tarayıcısını açtıklarında sitelere erişemiyorsa sorun tamamen DNS tabanlıdır:
- Bilgisayarda komut satırını (CMD) açın ve
nslookup google.comyazın. Eğer zaman aşımı (timeout) hatası alıyorsanız istemci DNS sunucusuna ulaşamıyordur. - FortiGate üzerinde Network > DNS ayarlarına gidin. Sistem DNS sunucularının sağlıklı çalıştığından emin olun.
- DHCP sunucusu üzerinden kullanıcılara dağıtılan DNS IP adreslerinin erişilebilir olduğunu (örneğin yerel bir Active Directory Domain Controller veya genel DNS sunucuları) doğrulayın.
CLI Üzerinden Hızlı Arıza Tespit Komutları
Web arayüzünden sorunu tespit edemediğiniz durumlarda, FortiGate CLI (Command Line Interface) bağlantısı kurarak paketlerin nerede engellendiğini milisaniyeler içinde görebilirsiniz.
Aşağıdaki CLI komutlarını sırasıyla çalıştırarak sorunun kaynağını belirleyin:
# 1. FortiGate'in kendisinin internete erişip erişmediğini test edin
execute ping 8.8.8.8
# 2. DNS çözümleme yeteneğini test edin
execute ping google.com
# 3. Paketlerin servis sağlayıcı yönündeki rotasını izleyin
execute traceroute 8.8.8.8
# 4. Canlı trafik analizi yapın (Hangi kuralın paketi düşürdüğünü görmek için)
diagnose debug flow filter saddr 192.168.1.100
diagnose debug flow filter daddr 8.8.8.8
diagnose debug flow show function-name enable
diagnose debug flow trace start 100
diagnose debug enable
Yukarıdaki diagnose debug flow analizi başlatıldıktan sonra istemci makineden test amaçlı ping atıldığında, FortiGate ekranında paketin hangi politika numarası (Policy ID) tarafından engellendiği veya "no route to host" hatasıyla rotasızlıktan düşüp düşmediği açıkça listelenir. Test tamamlandıktan sonra debug modunu kapatmak için diagnose debug disable komutunu çalıştırmayı unutmayın.
Sık Karşılaşılan Yapılandırma Hataları
- Policy Sıralamasının Yanlış Olması: FortiGate kuralları yukarıdan aşağıya doğru sırayla işler. İnternet erişim kuralınızın üzerinde her şeyi engelleyen ya da kısıtlayan daha genel bir kural varsa, internet kuralına sıra gelmeden paket engellenir.
- WAN Portunda Yanlış Speed/Duplex Ayarı: WAN portu otomatik anlaşma (auto-negotiation) modundayken ISP cihazıyla uyumsuzluk yaşayabilir. Bu durum paket kayıplarına ve internetin tamamen gitmesine yol açabilir.
- Güvenlik Profillerinin (Web Filter / IPS) Aşırı Sıkı Olması: Kuralda aktif olan Web Filter veya SSL Inspection profili lisans süresi bittiği için ya da hatalı kategorizasyon nedeniyle tüm trafiği engelliyor olabilir. Test etmek için geçici olarak güvenlik profillerini kapatıp deneyin.
- IP Havuzu (IP Pool) Doluluğu: Eğer NAT için dinamik bir IP havuzu tanımlandıysa ve bu havuzdaki IP adresleri tükendiyse yeni kullanıcılar internete çıkamaz.
İç Bağlantılar ve Önerilen Okumalar
- Fortinet Firewall Nasıl Çalışır? Detaylı Güvenlik Mimarisi
- FortiGate Site-to-Site VPN Kurulumu ve Adımları
- Fortinet, Palo Alto ve Cisco Firewall Karşılaştırması
- Dell Server UEFI Boot Sorunları ve Çözümü
Kontrol Listesi
- WAN arayüzünün fiziksel bağlantısı kontrol edildi ve arayüze ISP IP'si başarıyla atandı.
- Rota tablosunda
0.0.0.0/0hedefli varsayılan ağ geçidi (Static Route) tanımlandı. - İlgili internet erişim kuralında (Firewall Policy) NAT seçeneğinin açık olduğu teyit edildi.
- Kuralın, daha yukarıda yer alan engelleyici kurallarla çakışmadığı (sıralama kontrolü) doğrulandı.
- İstemci makinelerin geçerli bir DNS IP adresine sahip olduğu ve çözümleme yapabildiği onaylandı.
- CLI ekranından
pingvediagnose debug flowkomutlarıyla paket takibi gerçekleştirildi.
LeonX ile Sonraki Adım
Kurumsal ağların merkezinde yer alan FortiGate firewall sistemlerinde yaşanan internet erişim sorunları, iş operasyonlarınızı ve operasyonel sürekliliğinizi doğrudan durma noktasına getirebilir. Rastgele yapılan kural değişiklikleri veya denetimsiz yönlendirmeler ağınızda derin güvenlik açıkları oluşturabilir. Ağ altyapınızı endüstri standardı siber güvenlik politikalarıyla uyumlu kılmak isteyen işletmelere destek veren LeonX, profesyonel Donanım & Yazılım Çözümleri sunmaktadır. Özellikle Router, Switch ve Firewall Kurulum Hizmeti çalışmalarımızla ağ mimarinizi sıfırdan tasarlıyor, kural setlerinizi optimize ediyor ve kesintisiz internet erişimi sağlıyoruz. FortiGate cihazlarınızdaki sorunları hızlıca çözmek, kural analizi yaptırmak veya uzman ağ mühendislerimizden destek almak için İletişime Geç sayfamız üzerinden bize dilediğiniz an ulaşabilirsiniz.
Sık Sorulan Sorular
Sadece bazı web sitelerine girilmiyor, diğerlerine giriliyor. Nedeni nedir?
Bu durum genellikle Web Filter veya SSL Inspection ayarlarından kaynaklanır. FortiGate üzerindeki Web Filter profili belirli web kategorilerini (Sosyal medya, oyun vb.) engelliyor olabilir. Diğer bir neden ise MTU (Maximum Transmission Unit) boyutu uyumsuzluğudur. WAN arayüzündeki MTU değerini 1420 veya 1460 olarak ayarlamak bu tür kısmi erişim sorunlarını çözer.
ping atabiliyorum ama web sayfaları yüklenmiyor. Ne yapmalıyım?
IP adreslerine ping atılabiliyor ancak tarayıcıda siteler açılmıyorsa iki temel ihtimal vardır: Birincisi, DNS sunucunuz alan adlarını çözemiyordur (DNS Hatası). İkincisi ise TCP port 80 (HTTP) ve 443 (HTTPS) trafiğiniz firewall kurallarında engelleniyordur. Bilgisayarınızın DNS ayarlarını kontrol edin ve kural servislerinde HTTP/HTTPS protokollerine izin verildiğinden emin olun.
FortiGate kuralını devre dışı bırakmadan güvenlik profillerini nasıl test ederim?
İnternet kuralının detaylarına giderek sırasıyla Web Filter, Application Control ve SSL Inspection seçeneklerini geçici olarak pasif (disabled) duruma getirin ve ayarları kaydedin. Eğer internet erişimi hemen düzelirse, sorun bu profillerden birindeki filtreleme kurallarından kaynaklanmaktadır. Profili inceleyerek kural dışı (exception) tanımlamaları yapabilirsiniz.
NAT ayarını açtım ama hala internet yok, IP Pool kullanmalı mıyım?
Çoğu standart internet bağlantısı için ek bir IP havuzuna (IP Pool) gerek yoktur. Varsayılan olan Use Destination Interface IP seçeneği, iç ağdaki tüm trafiğinizi WAN portunun sahip olduğu tek Public IP üzerinden internete çıkarmak için fazlasıyla yeterlidir. Ekstra Public IP bloklarınız yoksa IP Pool tanımlaması yapmanıza gerek yoktur.



