FortiGate SSL VPN kurulumu, yalnız uzaktaki kullanıcıya iç ağa tünel açmak değildir. Sağlıklı kurulum; FortiOS sürüm desteğini, web mode ve tunnel mode kararını, kullanıcı grubunu, portal profilini, split tunneling davranışını, firewall policy yönlerini, MFA zorunluluğunu ve log doğrulamasını aynı tasarımda birleştirir. Kısa cevap şudur: FortiGate SSL VPN, doğru sürüm ve doğru erişim politikasıyla kurulduğunda güvenli uzak erişim sağlar; yanlış tasarlandığında ise kullanıcıya gerekenden fazla ağ erişimi açar.
Bu rehber özellikle şu ekipler için hazırlandı:
- FortiGate üzerinde uzak kullanıcı VPN kuran ağ ve güvenlik ekipleri
- FortiClient ile tunnel mode erişimi tasarlayan BT ekipleri
- web portal, split tunnel veya full tunnel kararını netleştirmek isteyen yöneticiler
- SSL VPN'i MFA, loglama ve erişim review ile denetlenebilir hale getirmek isteyen kurumlar
Hızlı Özet
- Fortinet dokümanlarında SSL VPN menülerinin bazı sürümlerde GUI'de gizli olabildiği ve
System > Feature Visibilityüzerinden açılması gerektiği belirtilir. - SSL VPN web mode, istemcisiz tarayıcı erişimi sağlar; tunnel mode ise FortiClient ile IP seviyesinde erişim verir.
- Fortinet split tunneling dokümanı, tunnel mode istemciler için tüm trafiği VPN'e alma veya yalnız policy destination ile eşleşen trafiği tünele yönlendirme seçeneklerini açıklar.
- Fortinet güvenlik önerileri, SSL VPN için güçlü kimlik doğrulama ve FortiToken gibi MFA bileşenlerini erişim modeline eklemeyi vurgular.
- FortiOS sürüm ve model desteği mutlaka kontrol edilmelidir; bazı yeni FortiOS akışlarında SSL VPN tunnel mode yerine IPsec veya ZTNA geçişi planlanabilir.
- Denetimde güçlü kanıt için kullanıcı grubu, portal profili, firewall policy, MFA durumu, VPN logları ve 90 günlük erişim review çıktısı birlikte saklanmalıdır.
İçindekiler
- FortiGate SSL VPN Nedir?
- Kurulumdan Önce Hangi Kararlar Verilmeli?
- FortiGate SSL VPN Nasıl Kurulur?
- Split Tunnel, Full Tunnel ve Web Mode Nasıl Seçilir?
- MFA, Policy ve Loglama Nasıl Güçlendirilir?
- Test ve Troubleshooting Adımları
- İlgili İçerikler
- Kontrol Listesi
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - The Gathering 2019 - Server and firewall.
FortiGate SSL VPN Nedir?
FortiGate SSL VPN, uzak kullanıcının HTTPS tabanlı güvenli oturum üzerinden kurumsal kaynaklara erişmesini sağlayan FortiOS uzak erişim özelliğidir. Kullanım şekli iki ana modele ayrılır:
- web mode: kullanıcı tarayıcı portalı üzerinden belirli kaynaklara erişir
- tunnel mode: kullanıcı FortiClient ile IP seviyesinde tünel kurar
Web mode, istemci kurulumunun istenmediği ve erişimin belirli bookmark veya web kaynaklarıyla sınırlı tutulacağı senaryolarda kullanışlıdır. Tunnel mode ise dosya sunucusu, RDP, uygulama portları veya daha geniş kurumsal network erişimi gereken senaryolarda tercih edilir. Ancak tunnel mode, kullanıcının cihazından kurumsal ağa daha geniş bir yol açtığı için daha sıkı kimlik doğrulama, endpoint kontrolü ve firewall policy gerektirir.
Bu konu Fortinet ile Zero Trust Network Architecture Nasıl Kurgulanır? yazısıyla birlikte okunmalıdır. SSL VPN, klasik uzak erişim sağlar; ZTNA ise kullanıcı ve cihaz duruşuna göre daha dar uygulama erişimi vermeye odaklanır.
Kurulumdan Önce Hangi Kararlar Verilmeli?
FortiGate ekranında SSL VPN portalı oluşturmadan önce tasarım kararları netleşmelidir.
| Karar | Önerilen yaklaşım | Neden önemli? |
|---|---|---|
| FortiOS sürümü | hedef sürüm ve model desteğini kontrol et | bazı sürümlerde SSL VPN davranışı ve destek değişebilir |
| Erişim tipi | web mode, split tunnel veya full tunnel | kullanıcının erişim yüzeyini belirler |
| Kullanıcı kaynağı | local, LDAP, RADIUS veya SAML | kimlik yönetimi ve offboarding etkilenir |
| MFA | FortiToken, RADIUS MFA veya SAML MFA | parola sızıntısı riskini düşürür |
| IP havuzu | ayrı SSL VPN client subnet | loglama ve policy yazımı netleşir |
| Firewall policy | kullanıcı grubu ve hedef kaynak bazlı | gereksiz iç ağ erişimini engeller |
| Loglama | VPN event ve policy logları | olay inceleme ve denetim kanıtı sağlar |
Özellikle FortiOS sürüm desteği ayrı bir kontrol olmalıdır. Fortinet'in SSL VPN tunnel mode to IPsec VPN migration dokümanı, bazı yeni FortiOS geçişlerinde SSL VPN tunnel mode davranışının değiştiğini ve IPsec VPN'e geçiş senaryolarını ele alır. Bu yüzden yeni kurulumlarda yalnız "SSL VPN açalım" demek yerine hedef firmware, cihaz modeli, FortiClient sürümü ve alternatif olarak IPsec/ZTNA kararı birlikte değerlendirilmelidir.
FortiGate SSL VPN Nasıl Kurulur?
1. SSL VPN görünürlüğünü açın
Fortinet dokümantasyonuna göre SSL VPN menüleri bazı sürümlerde varsayılan olarak gizli olabilir. GUI tarafında System > Feature Visibility altında SSL-VPN özelliği açılır. CLI tarafında şu yaklaşım kullanılır:
config system settings
set gui-sslvpn enable
end
Web mode ayrıca kapalı olabilir. Web portal kullanılacaksa Fortinet dokümantasyonundaki global web mode ayarı ayrıca kontrol edilmelidir.
2. Kullanıcı ve grup modelini oluşturun
Uzak erişim için herkesin tek grupta toplanması zayıf tasarımdır. En az şu ayrımlar yapılmalıdır:
SSLVPN-IT-AdminsSSLVPN-FinanceSSLVPN-HRSSLVPN-External-SupportSSLVPN-ReadOnly-Portal
Bu gruplar firewall policy içinde ayrı kaynak grubu olarak kullanılmalıdır. Böylece her kullanıcı yalnız ilgili uygulama, sunucu veya portlara erişebilir.
3. Portal profilini tanımlayın
Portal profilinde erişim tipi belirlenir:
- web mode açık mı?
- tunnel mode açık mı?
- split tunneling açık mı?
- routing address override kullanılacak mı?
- DNS ve split DNS gereksinimi var mı?
- idle timeout ve session timeout değerleri ne olacak?
Fortinet split tunneling dokümanı, tunnel mode istemciler için Disabled, Enabled Based on Policy Destination ve Enabled for Trusted Destinations gibi seçenekleri açıklar. Kurumsal yapılarda çoğu zaman "policy destination ile eşleşen trafik VPN'e girsin" yaklaşımı daha kontrollü başlangıç noktasıdır.
4. SSL VPN settings ve IP havuzunu belirleyin
Temel ayarlar:
- listening interface: genellikle WAN interface
- listening port: kurum standardına göre, örneğin
443veya10443 - server certificate: güvenilir sertifika
- source address restriction: mümkünse ülke/IP kısıtları veya upstream koruma
- client address range: ayrı SSL VPN subnet
- authentication rule: kullanıcı grubu ve portal eşlemesi
SSL VPN client IP havuzu, iç LAN subnetleriyle çakışmamalıdır. Ayrıca bu subnet, firewall policy ve log korelasyonu için ayrı tutulmalıdır.
5. Firewall policy yazın
SSL VPN kurulumunda en kritik adım firewall policy'dir. SSL VPN tüneli açılmış olsa bile trafik, policy olmadan geçmemelidir. Doğru policy mantığı:
- incoming interface:
ssl.rootveya ilgili SSL VPN interface - source: SSL VPN client address object ve kullanıcı grubu
- destination: yalnız gerekli sunucu veya subnet
- service: yalnız gerekli portlar
- NAT: çoğu iç kaynak erişiminde kapalı
- log allowed traffic: açık
- security profiles: gereksinime göre uygulanmış
Bu taraf İş ve Yönetim Hizmetleri altında Ağ Güvenlik Politika Yönetimi ile doğrudan ilişkilidir. Teknik devreye alma için Donanım & Yazılım Hizmetleri ve Router, Switch ve Firewall Kurulum Hizmeti temel hizmet eşleşmesidir.
Split Tunnel, Full Tunnel ve Web Mode Nasıl Seçilir?
Split tunnel
Split tunnel, yalnız kurumsal hedeflere giden trafiğin VPN'e girmesini sağlar. Avantajları:
- kullanıcı internet trafiği FortiGate üzerinden taşınmaz
- bandwidth tüketimi azalır
- SaaS ve video trafiği daha az gecikir
Riskleri:
- kullanıcının yerel internet trafiği kurumsal güvenlik kontrollerinden geçmeyebilir
- endpoint güvenliği daha önemli hale gelir
- DNS ve route hataları erişim sorunlarına neden olabilir
Full tunnel
Full tunnel, tüm istemci trafiğini FortiGate üzerinden geçirir. Avantajları:
- internet trafiği de kurumsal güvenlik profillerinden geçebilir
- merkezi loglama ve kontrol artar
- yüksek riskli kullanıcı grupları için daha sıkı modeldir
Riskleri:
- daha fazla bandwidth ve firewall kapasitesi gerekir
- uzak kullanıcı deneyimi etkilenebilir
- yanlış sizing, FortiGate üzerinde darboğaz oluşturabilir
Web mode
Web mode, istemcisiz portal erişimi sağlar. Fortinet dokümanına göre kullanıcı geçerli kimlik bilgileri ve varsa MFA bileşenleriyle portala girer. Bu model sınırlı kaynak erişimi için uygundur; ancak karmaşık uygulamalarda tunnel mode veya ZTNA daha uygun olabilir.
MFA, Policy ve Loglama Nasıl Güçlendirilir?
MFA zorunlu olmalı
SSL VPN internet üzerinden erişilen bir kimlik doğrulama yüzeyidir. Bu nedenle parola tek başına yeterli kabul edilmemelidir. Fortinet SSL VPN güvenlik önerileri FortiToken ve diğer iki faktörlü doğrulama seçeneklerini gündeme getirir. Pratikte:
- tüm SSL VPN kullanıcıları MFA kapsamına alınmalı
- harici destek kullanıcıları süreli aktif edilmeli
- başarısız giriş denemeleri alarm üretmeli
- eski veya pasif hesaplar 30 gün gibi kısa periyotlarla temizlenmeli
Policy dar tutulmalı
SSL VPN kullanıcılarına tüm LAN açılmamalıdır. Örnek policy ayrımı:
- IT admin: jump host, yönetim subneti, belirli yönetim portları
- finans: ERP ve dosya paylaşımı
- insan kaynakları: HR uygulaması ve belirli veri paylaşımı
- dış destek: yalnız ilgili sunucu ve süreli erişim
Bu yaklaşım, Fortinet Firewall Nasıl Çalışır? yazısındaki packet flow ve policy eşleşme mantığıyla birlikte ele alınmalıdır.
Loglar merkezi izlenmeli
SSL VPN logları yalnız FortiGate üzerinde kalmamalıdır. İzlenmesi gereken kayıtlar:
- başarılı ve başarısız login
- MFA başarısızlıkları
- kullanıcı grubu ve portal eşleşmesi
- VPN client IP ataması
- policy accept/deny kayıtları
- yüksek hacimli veya alışılmadık erişim
- ülke/IP bazlı anomali
Bu akış için SIEM ve Güvenlik Olay Yönetimi Entegrasyonu, VPN olaylarını merkezi alarm ve korelasyon sürecine bağlar.
Test ve Troubleshooting Adımları
Kurulumdan sonra test sadece "bağlandı" ekranıyla bitmemelidir. Aşağıdaki sıra daha güvenilirdir:
- kullanıcı MFA ile giriş yapabiliyor mu?
- doğru portal profili atanıyor mu?
- client doğru SSL VPN IP havuzundan adres alıyor mu?
- split tunnel route listesi beklenen ağları içeriyor mu?
- DNS çözümleme doğru mu?
- hedef uygulama portları açılıyor mu?
- FortiGate policy loglarında doğru rule ID görünüyor mu?
- deny logları beklenen blokları gösteriyor mu?
- SIEM veya log platformuna olaylar ulaşıyor mu?
CLI tarafında sık kullanılan kontroller:
get vpn ssl monitor
diagnose vpn ssl list
diagnose debug application sslvpn -1
diagnose debug enable
Debug komutları üretim ortamında kontrollü ve kısa süreli çalıştırılmalıdır. Çıktı çok yoğun olabilir; işlem bittiğinde debug kapatılmalıdır.
İlgili İçerikler
- FortiGate Site-to-Site VPN Kurulumu
- Fortinet ile Zero Trust Network Architecture Nasıl Kurgulanır?
- Fortinet Firewall Nasıl Çalışır?
- FortiGate VLAN Configuration Nasıl Yapılır?
- FortiAnalyzer Kurulum Rehberi
Kontrol Listesi
- FortiOS sürümü, cihaz modeli ve SSL VPN destek durumu kontrol edildi
- web mode, tunnel mode, split tunnel veya full tunnel kararı belgelendi
- SSL VPN kullanıcı grupları rol bazlı ayrıldı
- MFA tüm uzak erişim kullanıcıları için zorunlu hale getirildi
- SSL VPN IP havuzu iç subnetlerle çakışmayacak şekilde oluşturuldu
- portal profili ve authentication rule eşleşmesi test edildi
- firewall policy kaynak, hedef ve servis bazında dar yazıldı
- allowed ve denied traffic logları aktif edildi
- SIEM veya merkezi log platformunda VPN olayları doğrulandı
- 90 günlük erişim review ve pasif hesap temizliği planlandı
LeonX ile Sonraki Adım
FortiGate SSL VPN kurulumu, uzak kullanıcıyı ağa bağlamaktan ibaret değildir; sürüm desteği, MFA, portal profili, policy standardı, loglama ve kullanıcı yaşam döngüsü aynı çalışmada ele alınmalıdır. LeonX, Donanım & Yazılım Hizmetleri altında Router, Switch ve Firewall Kurulum Hizmeti ile FortiGate SSL VPN devreye alma sürecini yönetir. İş ve Yönetim Hizmetleri altındaki Ağ Güvenlik Politika Yönetimi ve Siber Güvenlik Değerlendirme Hizmeti ile erişim kurallarını daha denetlenebilir hale getirir. Mevcut FortiGate yapınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- Donanım & Yazılım Hizmetleri
- Router, Switch ve Firewall Kurulum Hizmeti
- SIEM ve Güvenlik Olay Yönetimi Entegrasyonu
- İş ve Yönetim Hizmetleri
- Ağ Güvenlik Politika Yönetimi
- Siber Güvenlik Değerlendirme Hizmeti
- İletişim
Sık Sorulan Sorular
FortiGate SSL VPN için web mode mu tunnel mode mu seçilmeli?
Sınırlı ve istemcisiz erişim gerekiyorsa web mode; IP seviyesinde kurumsal kaynak erişimi gerekiyorsa tunnel mode daha uygundur. Karar uygulama ihtiyacı, güvenlik politikası ve FortiOS desteğine göre verilmelidir.
Split tunnel güvenli midir?
Doğru endpoint güvenliği, MFA, dar firewall policy ve loglama ile kullanılabilir. Ancak tüm internet trafiğini kurum üzerinden geçirmek isteniyorsa full tunnel tercih edilir.
SSL VPN için MFA zorunlu olmalı mı?
Evet. SSL VPN internetten erişilen bir kimlik doğrulama yüzeyi olduğu için parola tek başına yeterli değildir.
FortiOS sürümü SSL VPN kararını etkiler mi?
Evet. Fortinet dokümanları sürümlere göre SSL VPN, IPsec ve ZTNA geçiş senaryolarının değişebildiğini gösterir. Kurulumdan önce hedef FortiOS sürümü ve cihaz modeli kontrol edilmelidir.
SSL VPN bağlanıyor ama kaynaklara erişilemiyorsa ilk nereye bakılmalı?
Portal profili, split tunnel route listesi, DNS, firewall policy yönü, kullanıcı grubu eşleşmesi ve policy logları ilk kontrol edilmesi gereken noktalardır.
Kaynaklar
- Fortinet Document Library - SSL VPN web mode
- Fortinet Document Library - SSL VPN tunnel mode
- Fortinet Document Library - Split tunneling settings
- Fortinet Document Library - SSL VPN security best practices
- Fortinet Document Library - SSL VPN tunnel mode to IPsec VPN migration
- Fortinet Video Library - Setup SSL VPN: Tunnel & Web Modes
- Wikimedia Commons - The Gathering 2019 - Server and firewall
