FortiGate site-to-site VPN kurulumu, iki lokasyon arasında yalnız tünel açmak değildir. Sağlıklı kurulum; public peer bilgisi, IKE sürümü, proposal setleri, Phase 2 selector, route, firewall policy, NAT davranışı ve log doğrulamasının aynı tasarımda uyumlu olmasını gerektirir. Kısa cevap şudur: FortiGate site-to-site VPN, IPsec tünel parametreleri ile firewall trafiği arasındaki ilişki doğru kurulursa stabil çalışır.
Bu rehber özellikle şu ekipler için hazırlandı:
- merkez ve şube arasında FortiGate IPsec VPN kuran ağ ekipleri
- FortiGate-to-FortiGate veya FortiGate-to-third-party tünel yöneten güvenlik ekipleri
- migration, şube açılışı veya yedek WAN projesi planlayan BT yöneticileri
- VPN tüneli "up" görünmesine rağmen trafik akmıyor sorununu çözmek isteyen operasyon ekipleri
Hızlı Özet
- Fortinet dokümanına göre site-to-site VPN, sabit lokasyonlardaki ofislerin internet üzerinden güvenli bağlantı kurmasını sağlar.
- Fortinet’in FortiOS
8.0.0örneği, temel FortiGate-to-FortiGate site-to-site VPN’in IKEv2 ve pre-shared key ile kurulabildiğini gösterir. - Tünelin kurulması için iki uçta Phase 1 ve Phase 2 tarafındaki kritik seçeneklerin uyumlu olması gerekir.
- Route-based IPsec tasarımında yalnız tünel oluşturmak yetmez; uzak subnet için route ve ilgili firewall policy ayrıca tanımlanmalıdır.
- Fortinet overlapping subnet örneği, route-based IPsec tünellerde uzak subnet için blackhole route kullanımını best practice olarak konumlandırır.
- Doğrulama için GUI tarafında Network Monitor > VPN, CLI tarafında
diagnose vpn ike gateway listvediagnose vpn tunnel listkomutları kullanılabilir.
İçindekiler
- FortiGate Site-to-Site VPN Nedir?
- Kurulumdan Önce Hangi Bilgiler Hazırlanmalı?
- FortiGate Üzerinde Site-to-Site VPN Nasıl Kurulur?
- Routing, Policy ve NAT Nasıl Planlanır?
- Tünel Nasıl Test Edilir ve İzlenir?
- En Sık Yapılan Hatalar
- Uygulama Kontrol Listesi
- İlgili İçerikler
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - Network core.
FortiGate Site-to-Site VPN Nedir?
FortiGate site-to-site VPN, iki veya daha fazla sabit lokasyonun internet üzerinden IPsec ile şifreli bağlantı kurmasıdır. Tipik senaryo merkez ofis ile şube arasındadır; ancak aynı model veri merkezi, bulut sanal ağ geçidi veya üçüncü taraf firewall ile de kullanılabilir.
Fortinet’in site-to-site VPN dokümanı iki ana kategoriyi açıkça ayırır:
- FortiGate-to-FortiGate
- FortiGate-to-third-party
Bu ayrım önemlidir. İki uç da FortiGate olduğunda wizard ve önerilen varsayımlar daha kontrollü ilerler. Karşı uç Cisco ASA, Azure VPN Gateway, AWS VPN Gateway veya başka bir IPsec cihazıysa her parametre karşılıklı teyit edilmelidir.
Kurumsal kurulumlarda bu iş genellikle Donanım & Yazılım Hizmetleri altında yürütülen ağ güvenliği devreye alma çalışmasına girer. Cihaz, WAN, yönlendirme ve firewall policy katmanını birlikte ele almak için Router, Switch ve Firewall Kurulum Hizmeti doğrudan ilgili hizmettir.
Kurulumdan Önce Hangi Bilgiler Hazırlanmalı?
VPN ekranına girmeden önce iki uç için tek sayfalık bir tasarım formu hazırlanmalıdır. En az şu alanlar net olmalıdır:
| Alan | Merkez örneği | Şube örneği |
|---|---|---|
| Public peer IP | 203.0.113.10 | 198.51.100.20 |
| WAN interface | wan1 | wan1 |
| Local subnet | 10.10.0.0/16 | 10.20.0.0/16 |
| Remote subnet | 10.20.0.0/16 | 10.10.0.0/16 |
| IKE version | IKEv2 | IKEv2 |
| Authentication | pre-shared key veya certificate | aynı yöntem |
| Phase 1 proposal | AES/SHA/DH grubu | birebir uyumlu |
| Phase 2 selector | local/remote subnet | ters yönde uyumlu |
| NAT | çoğu LAN-to-LAN senaryoda kapalı | çoğu LAN-to-LAN senaryoda kapalı |
Bu bilgiler netleşmeden yapılan kurulumlarda en sık hata Phase 2 selector, route veya NAT tarafında çıkar. Özellikle karşı uç üçüncü taraf cihazsa isimler farklı olabilir ama mantık aynıdır: IKE, IPsec proposal, subnet selector ve routing kararları iki uçta birbirini tamamlamalıdır.
FortiGate Üzerinde Site-to-Site VPN Nasıl Kurulur?
Fortinet’in FortiOS 8.0.0 temel site-to-site VPN örneği, iki FortiGate arasında IKEv2 ve pre-shared key kullanan bir kurulum akışı gösterir. GUI tarafındaki pratik akış şöyledir:
VPN > VPN Wizardekranına girin- Site-to-site VPN şablonunu seçin
- Tünel adını standartlaştırın, örneğin
VPN-HQ-BR01 - Remote site device type olarak uygun cihaz tipini seçin
- Remote peer public IP adresini ve outgoing interface'i tanımlayın
- Authentication yöntemi olarak PSK veya certificate belirleyin
- IKE sürümü ve proposal setlerini karşı uçla uyumlu seçin
- Local subnet ve remote subnet selector alanlarını doğru doldurun
- Wizard’ın route ve policy üretip üretmediğini ayrıca kontrol edin
PSK mi certificate mı?
Pre-shared key hızlı ve yaygın bir başlangıç yöntemidir. Ancak Fortinet’in temel örneği, optimal güvenlik için digital certificate kullanımına da yönlendirir. Pratik karar şu şekilde verilebilir:
- küçük ve kontrollü iki uçlu yapı: güçlü PSK, sınırlı erişim ve düzenli rotasyon
- çok lokasyonlu yapı: sertifika tabanlı kimlik doğrulama ve merkezi yaşam döngüsü
- üçüncü taraf entegrasyon: karşı uç kabiliyetlerine göre ortak minimum güvenli set
PSK kullanılacaksa parola rotasyonu, erişim kaydı ve değişiklik prosedürü yazılı olmalıdır. Aksi halde VPN çalışsa bile operasyon güvenliği zayıf kalır.
Phase 1 ve Phase 2 uyumu nasıl kontrol edilir?
Phase 1 tarafı iki cihazın birbirini nasıl doğruladığını ve IKE SA’nın nasıl kurulacağını belirler. Phase 2 tarafı ise hangi trafiğin IPsec tüneline gireceğini belirler. En kritik eşleşmeler şunlardır:
- IKE version
- authentication yöntemi
- encryption ve authentication proposal
- DH grubu
- lifetime değerleri
- local ve remote subnet selector
- NAT-T ihtiyacı
- DPD davranışı
Tünel hiç kalkmıyorsa çoğu zaman Phase 1 tarafında peer, PSK, IKE veya proposal uyuşmazlığı vardır. Tünel kalkıyor ama trafik akmıyorsa Phase 2 selector, route, policy veya NAT tarafına bakılmalıdır.
Routing, Policy ve NAT Nasıl Planlanır?
Route-based IPsec tasarımı
Modern FortiGate kurulumlarında route-based IPsec yaklaşımı çoğu kurumsal senaryo için daha yönetilebilirdir. Bu modelde IPsec tüneli interface gibi ele alınır ve uzak subnet için route yazılır.
Temel mantık:
- merkezde şube subnet'i VPN tunnel interface'e yönlenir
- şubede merkez subnet'i VPN tunnel interface'e yönlenir
- iki yönde de LAN-to-VPN ve VPN-to-LAN firewall policy oluşturulur
- LAN-to-LAN trafiğinde çoğu zaman NAT kapalı tutulur
Fortinet overlapping subnet örneği, route-based IPsec tünellerde uzak subnet için blackhole route eklenmesini best practice olarak açıklar. Bunun amacı, IPsec tünel düştüğünde uzak subnet trafiğinin default route üzerinden yanlışlıkla internete gönderilmesini engellemektir. Pratikte daha yüksek administrative distance ile blackhole route eklemek bu riski azaltır.
Firewall policy yönleri
FortiGate üzerinde tünel kurulduktan sonra trafiğin geçmesi için açık policy gerekir. Çoğu yapı için iki ana policy bulunur:
LAN -> VPN: lokal kullanıcı veya sunucudan uzak lokasyona erişimVPN -> LAN: uzak lokasyondan lokal kaynaklara dönüş veya başlatılan erişim
Policy içinde source, destination ve service alanları geniş bırakılmamalıdır. Örneğin tüm subnet'e ALL servis açmak yerine yalnız iş ihtiyacına göre DNS, RDP, HTTPS, SQL veya uygulama portları tanımlanmalıdır. Bu taraf İş ve Yönetim Hizmetleri altında Ağ Güvenlik Politika Yönetimi ile doğrudan ilişkilidir.
NAT istisnası
LAN-to-LAN VPN senaryolarında NAT çoğu zaman istenmez. İç kaynakların gerçek IP adresleriyle karşı tarafa gitmesi routing ve log korelasyonu açısından daha temizdir. Ancak overlapping subnet varsa durum değişir. Fortinet’in overlapping subnet örneği, iki tarafta aynı subnet kullanıldığında source ve destination NAT ile yeni sanal subnet aralıkları üzerinden iletişim kurulabileceğini gösterir.
Bu nedenle NAT kararı şu şekilde verilmelidir:
- subnetler çakışmıyor: NAT kapalı, route ve policy açık
- subnetler çakışıyor: NAT tasarımı, sanal subnet ve karşılıklı dokümantasyon
- third-party cihaz var: karşı tarafın selector ve NAT beklentisiyle uyumlu plan
Tünel Nasıl Test Edilir ve İzlenir?
Fortinet’in temel site-to-site VPN dokümanı, tünel doğrulaması için GUI’de Dashboard > Network Monitor > VPN yolunu ve CLI’da diagnose vpn ike gateway list name <tunnel> komutunu gösterir. IPsec diagnose dokümanları ayrıca Phase 1 ve Phase 2 durumunu ayrı ayrı görmeyi sağlar.
Pratik doğrulama sırası:
- VPN monitor ekranında tunnel status kontrol edilir
diagnose vpn ike gateway list name <tunnel>ile IKE SA durumu incelenirdiagnose vpn tunnel list name <phase2-name>ile IPsec SA ve selector durumu kontrol edilir- karşılıklı ping veya uygulama port testi yapılır
- firewall policy loglarında doğru policy ID görülür
- route lookup ile uzak subnet'in tunnel interface'e gittiği doğrulanır
- NAT veya security profile tarafında beklenmeyen işlem olup olmadığı incelenir
Troubleshooting sırasında Fortinet’in IKE ve IPsec monitoring dokümanındaki komutlar önemlidir:
diagnose vpn ike statusdiagnose vpn ike gateway listdiagnose vpn tunnel listdiagnose vpn ipsec statusdiagnose sniffer packet any 'udp port 500' 4diagnose sniffer packet any 'esp' 4diagnose debug application ike -1
Bu komutlar dikkatli kullanılmalıdır. Özellikle üretim ortamında yoğun debug çıktısı performans ve log okunabilirliği açısından kontrollü çalıştırılmalıdır.
En Sık Yapılan Hatalar
Phase 2 selector ters veya eksik yazılır
Merkezde local olan subnet şubede remote olmalıdır. Bu ters ilişki yanlış yazılırsa tünel kalksa bile trafik eşleşmez.
Route oluşturulduğu varsayılır
Wizard bazı senaryolarda route veya policy oluşturabilir; ancak üretim standardı bunların elle doğrulanmasını gerektirir.
NAT açık bırakılır
LAN-to-LAN VPN’de gereksiz NAT, karşı tarafta beklenmeyen kaynak IP oluşturur ve log analizini zorlaştırır.
Firewall policy çok geniş yazılır
Tüm iç ağları tüm servislerle açmak hızlı görünür ama güvenlik standardını zayıflatır. Site-to-site VPN, segmentasyonun etrafından dolaşan bir kestirme olmamalıdır.
Blackhole route unutulur
Tünel düştüğünde uzak subnet trafiğinin default route’a düşmesi, hem güvenlik hem troubleshooting açısından istenmeyen sonuç üretir.
Monitoring kurulmaz
VPN bir kez çalıştı diye takip dışı bırakılmamalıdır. Tünel durumu, rekey hataları, packet loss ve policy deny logları düzenli izlenmelidir.
Uygulama Kontrol Listesi
- iki uç için public peer IP, WAN interface ve lokal/uzak subnet bilgileri doğrulandı
- IKE version, proposal, DH grubu ve lifetime değerleri karşılıklı eşlendi
- PSK güçlü seçildi veya certificate tabanlı doğrulama planlandı
- Phase 2 selector değerleri iki uçta ters ve uyumlu yazıldı
- uzak subnet route'u tunnel interface'e yönlendirildi
- gerekiyorsa yüksek distance ile blackhole route eklendi
- LAN-to-VPN ve VPN-to-LAN firewall policy kuralları dar kapsamlı yazıldı
- gereksiz NAT kapatıldı, overlapping subnet varsa NAT tasarımı belgelendi
-
diagnose vpn ike gateway listvediagnose vpn tunnel listile durum doğrulandı - VPN logları ve policy logları merkezi izleme sürecine bağlandı
İlgili İçerikler
- Fortinet Firewall Nasıl Çalışır? FortiGate Packet Flow Rehberi
- FortiGate VLAN Configuration Nasıl Yapılır? Rehber
- FortiGate SSL Inspection Nedir ve Nasıl Planlanır?
- Fortinet ile Zero Trust Network Architecture Nasıl Kurulur?
LeonX ile Sonraki Adım
FortiGate site-to-site VPN kurulumu; cihaz ekranında tünel açmaktan çok daha fazlasıdır. WAN tasarımı, IPsec parametreleri, route, firewall policy, NAT istisnası ve monitoring aynı projede birlikte ele alınmalıdır. LeonX, Donanım & Yazılım Hizmetleri altında Router, Switch ve Firewall Kurulum Hizmeti ile VPN devreye alma sürecini, İş ve Yönetim Hizmetleri altındaki Ağ Güvenlik Politika Yönetimi ile de kural standardı ve denetlenebilirlik tarafını birlikte kurgular. Mevcut FortiGate yapınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- Donanım & Yazılım Hizmetleri
- Router, Switch ve Firewall Kurulum Hizmeti
- İş ve Yönetim Hizmetleri
- Ağ Güvenlik Politika Yönetimi
- İletişim
Sık Sorulan Sorular
FortiGate site-to-site VPN için IKEv1 mi IKEv2 mi seçilmeli?
Yeni kurulumlarda karşı uç destekliyorsa IKEv2 tercih edilir. Karar yine de iki uçtaki cihaz, firmware, güvenlik standardı ve üçüncü taraf uyumluluğuna göre verilmelidir.
Tünel up görünürken trafik neden geçmez?
En sık nedenler yanlış Phase 2 selector, eksik route, yanlış firewall policy yönü, gereksiz NAT veya karşı taraftaki route eksikliğidir.
Site-to-site VPN’de NAT kapatılmalı mı?
Subnetler çakışmıyorsa LAN-to-LAN trafiğinde NAT genellikle kapalı tutulur. Subnetler çakışıyorsa NAT ve sanal subnet tasarımı ayrıca yapılmalıdır.
Blackhole route neden kullanılır?
Tünel düştüğünde uzak subnet trafiğinin default route üzerinden internete yönlenmesini engellemek için kullanılır. Fortinet overlapping subnet örneği bunu route-based IPsec tüneller için best practice olarak açıklar.
FortiGate VPN troubleshooting için ilk hangi komutlara bakılır?
Önce diagnose vpn ike gateway list, sonra diagnose vpn tunnel list ile Phase 1 ve Phase 2 durumu incelenir. Gerekirse IKE debug ve packet sniffer kontrollü çalıştırılır.
Kaynaklar
- Fortinet Document Library - Site-to-site VPN
- Fortinet Document Library - Basic site-to-site VPN with pre-shared key
- Fortinet Document Library - Site-to-site VPN with overlapping subnets
- Fortinet Document Library - Dynamic IPsec route control
- Fortinet Document Library - IPsec related diagnose commands
- Fortinet Document Library - IKE and IPsec monitoring
- Wikimedia Commons - Network core
