Günümüz kurumsal iş dünyasında, farklı lokasyonlardaki şubelerin, veri merkezlerinin ve uzaktan çalışan personelin merkez ofis kaynaklarına güvenli bir şekilde erişmesi kritik bir gereksinimdir. Bu güvenli bağlantıyı sağlamanın en kararlı, performanslı ve yaygın yöntemi IPSec (Internet Protocol Security) VPN teknolojisidir. Kurumsal ağ güvenliği pazarının lider çözümlerinden biri olan FortiGate güvenlik duvarları (firewall), IPSec VPN tünellerini yüksek donanımsal hızlandırma (ASIC) yetenekleriyle son derece verimli bir şekilde yönetebilmektedir.
Şubeler arası (Site-to-Site) güvenli bir tünel kurmak, sadece iki lokasyonu birbirine bağlamaktan ibaret değildir; aynı zamanda veri bütünlüğünü, gizliliğini ve kimlik doğrulamayı en üst düzey şifreleme standartlarıyla garanti altına almayı gerektirir. Doğru yapılandırılmamış bir VPN tüneli, ağınızda ciddi güvenlik açıklarına veya performans kayıplarına yol açabilir. Bu rehberde, iki FortiGate cihazı arasında adım adım Site-to-Site IPSec VPN tüneli kurulumunu, Faz 1 ve Faz 2 parametrelerini ve bağlantı sorunlarını giderme yöntemlerini detaylı olarak ele alacağız.
IPSec VPN Nedir ve Nasıl Çalışır?
IPSec, IP ağları üzerinden gerçekleştirilen iletişimleri şifrelemek ve doğrulamak için kullanılan bir protokol paketidir. IPSec VPN tüneli kurulurken iki temel aşama (Faz) işletilir:
- Faz 1 (Phase 1 - IKE SA): İki FortiGate cihazının birbirini güvenli bir şekilde tanıdığı, kimlik doğrulamanın yapıldığı ve Faz 2 için kullanılacak şifreli anahtarların oluşturulduğu aşamadır. Bu aşamada Diffie-Hellman (DH) anahtar değişimi ve şifreleme algoritmaları (AES, DES vb.) belirlenir.
- Faz 2 (Phase 2 - IPSec SA): Gerçek verinin taşınacağı tünelin parametrelerinin belirlendiği aşamadır. Hangi yerel ağların (subnets) birbiriyle konuşacağı ve verinin hangi şifreleme protokolüyle (ESP veya AH) paketleneceği bu aşamada tanımlanır.
Adım Adım FortiGate Site-to-Site IPSec VPN Kurulumu
Kuruluma başlamadan önce her iki lokasyonun dış IP adreslerini (WAN IP) ve tünel üzerinden haberleşecek yerel ağ (LAN) IP bloklarını belirleyin. Bu rehberde Merkez (Lokasyon A) ve Şube (Lokasyon B) senaryosunu kullanacağız.
Adım 1: VPN Sihirbazı (VPN Wizard) ile Başlangıç
FortiGate arayüzüne giriş yapın ve sol menüden sırasıyla VPN > IPsec Tunnels adımlarını takip edin. Üst kısımdaki Create New > IPsec Tunnel butonuna tıklayın.
- Name: Tünel için açıklayıcı bir isim girin (Örn:
Merkez-Sube-VPN). - Template Type: Kolay kurulum için Site to Site seçeneğini, FortiGate cihazları arasında bağlantı yapıyorsanız FortiGate şablonunu seçin.
- Next butonuna tıklayarak ilerleyin.
Adım 2: Kimlik Doğrulama ve Bağlantı Ayarları (Authentication)
- Remote IP Address: Karşı şubenin dış IP adresini (WAN IP) girin.
- Outgoing Interface: İnternet çıkışını sağlayan WAN arayüzünüzü (genellikle
wan1veyaport1) seçin. - Authentication Method: Pre-shared Key seçeneğini işaretleyin ve her iki cihazda da birebir aynı olacak güçlü bir ortak anahtar (şifre) girin.
- Next butonuna tıklayın.
Adım 3: Politika ve Rota Ayarları (Policy & Routing)
Bu aşamada hangi yerel ağların birbiriyle konuşacağını tanımlayacağız.
- Local Interface: Yerel ağınızın bağlı olduğu iç arayüzü (genellikle
lanveyainternal) seçin. - Local Subnet: Kendi yerel ağınızın IP bloğunu girin (Örn:
192.168.10.0/24). - Remote Subnet: Karşı şubenin yerel ağ IP bloğunu girin (Örn:
192.168.20.0/24). - Create butonuna tıklayarak sihirbazı tamamlayın.
Önemli Not: VPN Sihirbazı, arka planda gerekli olan statik rotaları (Static Routes) ve güvenlik duvarı kurallarını (Firewall Policies) otomatik olarak oluşturacaktır. Ancak manuel özelleştirmeler yapmak istiyorsanız bu kuralları kontrol etmeniz önerilir.
Güvenlik Parametrelerinin Manuel Optimizasyonu (Custom Configuration)
Sihirbaz yerine tamamen özelleştirilmiş (Custom) bir tünel kurmak veya sihirbazın oluşturduğu tüneli en yüksek güvenlik standartlarına göre optimize etmek istiyorsanız, Faz 1 ve Faz 2 ayarlarında şu parametreleri tercih etmelisiniz:
- IKE Version: Mümkünse daha güvenli, hızlı ve kararlı olan IKEv2 sürümünü tercih edin.
- Encryption (Şifreleme): Eski ve güvensiz olan DES/3DES algoritmalarını kesinlikle kullanmayın. En az AES-256 şifreleme algoritmasını seçin.
- Authentication (Kimlik Doğrulama): Bütünlük kontrolü için SHA-256 veya daha üstü algoritmaları tercih edin.
- Diffie-Hellman (DH) Group: Anahtar değişimi güvenliği için en az Group 14 (2048-bit) veya daha yüksek (Group 19, 20) grupları aktif hale getirin.
FortiGate IPSec VPN Sorun Giderme (Troubleshooting)
Tünel kurulduktan sonra bağlantı sağlanamıyorsa veya tünel durumunda kırmızı (Down) görünüyorsa, sorunu çözmek için şu adımları izleyebilirsiniz:
- Phase 1 Uyuşmazlığı: Tünel hiç başlamıyorsa, her iki taraftaki Pre-shared Key (ortak şifre), IKE sürümü, şifreleme algoritmaları veya DH grupları uyuşmuyor olabilir. İki cihazdaki Faz 1 ayarlarını birebir karşılaştırın.
- Phase 2 Uyuşmazlığı: Faz 1 başarılı bir şekilde kuruluyor (Up) ancak Faz 2 kurulmuyorsa, tanımlanan yerel ve karşı ağ (Local/Remote Subnet) IP bloklarında hata olabilir. Örneğin bir tarafta
192.168.10.0/24olarak tanımlanan blok, karşı tarafta192.168.10.0/25olarak girildiyse tünel kurulamaz. - NAT Traversal (NAT-T): Eğer cihazlardan biri veya her ikisi de bir ADSL modem arkasındaysa ve iç IP alıyorsa, Faz 1 ayarlarında NAT Traversal özelliğini aktif hale getirin.
Ağ altyapınızın ve güvenlik duvarı politikalarınızın doğru yapılandırılması, sadece VPN performansını değil, aynı zamanda genel ağ güvenliğinizi de belirler. Bu konuda daha detaylı bilgi için Ağ Güvenliği, Firewall ve IPS/IDS Çözümleri sayfamızı inceleyebilirsiniz.
Profesyonel Ağ ve Firewall Yönetim Hizmetleri
FortiGate güvenlik duvarlarının kurulumu, IPSec VPN tünellerinin tasarımı, yedekli (SD-WAN) ağ mimarilerinin kurgulanması ve siber tehditlere karşı korunma süreçleri uzmanlık gerektirir. LeonX olarak, Ankara merkezli uzman mühendis kadromuzla kurumsal ağ altyapılarınızı analiz ediyor, en güvenli ve performanslı VPN çözümlerini devreye alıyoruz.
Güvenlik duvarı politikalarınızın, VPN tünellerinizin ve siber güvenlik altyapınızın 7/24 proaktif bir şekilde izlenmesi ve yönetilmesi için Firewall, EDR ve Antivirüs Yönetim Çözümleri hizmetlerimizden yararlanabilirsiniz.
Şirketinizin tüm ağ altyapısını, router, switch ve firewall cihazlarını profesyonel standartlarda kurup devreye almak için Router, Switch ve Firewall Kurulum Hizmeti çözümlerimizi inceleyebilirsiniz.
Ağ güvenliği, kurumsal uyumluluk ve bilgi güvenliği standartlarını ele aldığımız diğer rehberlerimizi de inceleyebilirsiniz:
- KVKK uyumlu ağ güvenliği ve firewall yapılandırmaları için: KVKK Uyumluluğu İçin IT Altyapısı
- Veri saklama süreleri ve güvenli imha yöntemleri için: KVKK'da Veri Silme ve İmha
- Kamera ve fiziksel güvenlik sistemlerinin uyumluluğu için: KVKK Kapsamında Kamera Sistemleri
- Bilgi güvenliği yönetim sistemi standartları için: ISO 27001 Nedir?
- Sunucu ve storage altyapılarında erişim yetkilendirmesi için: ISO 27001 Erişim Kontrolü
- Yedekleme sistemlerinin güvenliği ve tasarımı için: ISO 27001 ve Yedekleme Politikaları
- Siber olay izleme ve loglama süreçleri için: ISO 27001 ve Siber Güvenlik Olayları
- Sunucu disk teknolojileri ve performans karşılaştırmaları için: Dell PowerEdge Disk Türleri
- Bulut altyapılarında veri güvenliği standartları için: ISO 27001 ve Bulut Bilişim
- Sistem odası ve fiziksel altyapı güvenliği için: ISO 27001 Kapsam Belirleme
Güvenli, yedekli ve yüksek performanslı şubeler arası ağ bağlantıları kurmak, FortiGate kurallarınızı optimize etmek ve siber güvenlik altyapınızı güçlendirmek için uzman kadromuzla dilediğiniz zaman iletişime geçebilirsiniz.
Sıkça Sorulan Sorular
IPSec VPN tünelinde iki taraftaki FortiGate cihazının aynı model olması zorunlu mudur?
Hayır. IPSec standart bir protokol paketi olduğu için farklı model FortiGate cihazları (örneğin Merkezde FortiGate 100F, Şubede FortiGate 40F) arasında sorunsuz bir şekilde tünel kurulabilir. Hatta FortiGate ile farklı marka bir güvenlik duvarı (Cisco, Sophos, pfSense vb.) arasında da IPSec VPN tüneli kurulması mümkündür; ancak iki tarafta da aynı marka cihazların kullanılması yönetim kolaylığı ve ek entegrasyon özellikleri sağlar.
IPSec VPN ile SSL VPN arasındaki fark nedir?
Site-to-Site IPSec VPN, iki sabit lokasyonu (örneğin iki ofis binasını) ağ seviyesinde birbirine bağlamak için kullanılır ve kullanıcıların bilgisayarlarına herhangi bir yazılım kurması gerekmez. SSL VPN ise genellikle uzaktan çalışan personelin (Home-office, mobil çalışanlar) bilgisayarlarına kurdukları bir istemci yazılımı (FortiClient) aracılığıyla ofis ağına güvenli bir şekilde bağlanmalarını sağlamak için tasarlanmıştır.
IPSec VPN tüneli üzerinden geçen trafik internet hızımı yavaşlatır mı?
Tünel üzerinden geçen tüm veriler şifrelenip paketlendiği için cihazların işlemcilerine ek bir yük biner. FortiGate cihazları, bu şifreleme işlemlerini donanımsal olarak üstlenen özel ASIC (SPU) çiplerine sahip olduğu için performans kaybı minimum düzeydedir. Ancak internet hattınızın bant genişliği (özellikle upload hızları) ve karşı tarafın download hızları, VPN üzerinden dosya transferi yaparken hissedeceğiniz hızı doğrudan belirleyen en önemli faktördür.
Sonuç
FortiGate IPSec VPN çözümleri, coğrafi olarak dağıtık organizasyonların güvenli, kesintisiz ve yüksek performanslı bir ağ altyapısı üzerinde çalışmasını sağlar. Doğru şifreleme algoritmaları, güçlü DH grupları ve hatasız rota/politika tanımlamalarıyla kurgulanmış bir Site-to-Site VPN tüneli, kurumsal verilerinizin internet üzerinden taşınırken tamamen güvende kalmasını garanti eder. Altyapınızı siber tehditlere karşı korurken operasyonel sürekliliği de en üst düzeyde tutmak, doğru tasarlanmış bir ağ mimarisinin en temel çıktısıdır.
