Fortigate firewall üzerinde ssl vpn bağlantıları için yerel kullanıcı oluşturulması ya da Active Directory / LDAP / Radius entegrasyonlarınızdan birinin olması gerekmektedir.
Bu yazımızda yerel kullanıcı oluşturarak devam edeceğiz.
1- VPN bağlantısını kullanacak kullanıcılar için yerel kullanıcı oluşturulmalıdır. Mevcutta var olan bir kullanıcı ise o kullanıcıyı da kullanabilirsiniz.
* User & Authentication > User Definition > Create New butonuna tıkladığınızda aşağıdaki gibi pencere açılacaktır. Bu adımda Local User seçeneğini seçmeniz ve ilerlemeniz gerekmektedir.
* Ardından size kullanıcı adı ve parola bilgisi sorulacaktır. Oluşturacağınız vpn hesabı için kullanıcı adı ve güvenli parolayı girin ve devam edin.
* Devam ettiğinizde Contact info sekmesinde kullanıcı için iki aşamalı doğrulama seçeneği sorulacaktır. Bu aşamada eğer Token, SMS ya da E-mail doğrulaması kullanıyorsanız aktif edebilirsiniz, kullanmıyorsanız direk devam edebilirsiniz.
* Son olarak kullanıcı enable seçilir ve var olan bir kullanıcı grubuna atayabilirsiniz. Grup yok ise yeni grup oluşturabilir ve kullanıcıyı oluşturduğunuz gruba ekleyebilirsiniz.
2- Oluşturulan yeni kullanıcı için grup olamdığını varsayarak yeni bir grup oluşturuyoruz.
* User & Authentication > User Groups > New User Group butonuna tıklandığında aşağıdaki gibi bir pencere açılacaktır. Name kısmına grup ismini yazıp Members kısmına da yeni oluşturduğumuz kullanıcıyı ekliyoruz ve kaydediyoruz.
3- Bu aşamalar tamamlandıktan sonra SSL - VPN portal ayarlarını yapılandırmamız gerekmektedir.
* VPN > SSL-VPN Portals ayarlarına ulaştığınızda fortigate firewall üzerinde default var olan VPN portallarını göreceksiniz. Bu portal ayarlarını kendinize göre özelleştirebilir ya da yeni bir portal oluşturabilir ve oluşturduğunuz portalı kullanabilirsiniz.
* Bu aşamada create new butonuna tıklanarak yeni bir portal oluşturulur.
Name : Portal ismi yazılır. Herhangi bir bağımlılığı yoktur.
Tunnel Mode : Vpn bağlantısı gerçekleştiğinde bağlanan istemci üzerine verilecek ip blokları ve yönlendirme tipi belirlenir.
Enable Split Tunneling : Bu seçenek aktif edildiğinde vpn e bağlanan kullanıcı sadece routing adress e eklediğiniz ip adreslere/bloklara erişebilecektir. Onun haricindeki network iletişimini vpn den bağımsız client üzerinden devam ettirecektir. Aktif edilmediğinde bağlanan kullanıcının tüm trafiği firewall üzerinden geçecektir.
Routing Address : Enable Split Tunneling aktif edildiğinde aktif hale gelir ve erişime izin verilecek adresler eklenir.
Source IP Pools : Bu kısımda bağlanan istemciler için ip havuzu belirtilmektedir. Kullanıcılar belirttiğiniz bu bloklar içerisinden ip alımı gerçekleştirecektir.
Tunnel Mode Client Options ;
Allow client to save password : Aktif edildiğinde forticlient istemci üzerinde kullanıcının parolasını kaydetmesine izin verir. Aksi halde kullanıcı parolayı kaydedemez.
Allow client to connect automatically : Aktif edildiğinde forticlient istemci üzerinde kullanıcının oturum açıldığında otomatik vpn bağlantısına izin verir.
Allow client to keep connections alive : Kullanıcı oturumu boşta kaldığında kullanıcının bağlantısının düşmesini engeller bağlantıyı devam ettirir.
DNS split tunneling : Genel ayarlardaki dns haricinde oluşturulan portala özel dns yönlendirmesini sağlar.
Host Check : Aktif edildiğinde client üzerinde Antivirüs, Fİrewall uygulamalarının aktif olup olmadığını denetler başarısız olduğunda vpn bağlantısına izin vermez.
Restrict to Specific OS Versions : Aktif edildiğinde client üzerindeki işletim sistemi için sürüm denetimi yaptırabilirsiniz. Eski sürümlerin bağlantısını engelleyebilirsiniz.
Enable Web Mode : VPN https web portalı üzerinden oturum açmasına ve web üzerinden vpn bağlantısına izin verir. Ayrıca wep portal özelleştirmesini yapabilirsiniz.
Enable FortiClient Download : Forticlient uygulamasının indirme ayarlarını yapılandırabilir proxy kullanailirsiniz. Ayrıca direk indirme yerine farklı bir lokasyon bildirebilirsiniz.
4- Portal ayarları yapılandırıldıktan sonra genel vpn ayarlarını yapılandırmamız ve oluşturduğumuz portalı kullanıcı grubu ile eşleştirmemiz gerekmektedir. Bu ayarları yapılandırmak için;
VPN > SSL-VPN Portals ayarları açılır.
Listen on Interface(s) : Internet e çıkış yaptığınız portu seçmeniz gerekmektedir. Birden fazla servis sağlayıcınız var ise birden fazla interface ekleyebilirsiniz.
Listen on Port : FortiClient üzerinden bağlantı yapan kullanıcıların kullanacağı port numarası seçilir. Varsayılanda bırakmamanız önerilir. Seçilen port wep portal için de geçerlidir.
Redirect HTTP to SSL-VPN : HTTP isteklerini vpn bağlantısına yeniden yönlendirir.
Restrict Access : Belirli IP kısıtlaması yapmak için kullanılır.
Idle Logout : Boşta kalan vpn bağlantılarının belirlenen süre içerisinde otomatik sonlandırılmasını sağlar.
Server Certificate : Vpn bağlantısında kullanılacak sertifika seçilir varsayılan olarak fortinet sertifikası seçilidir. Kurumunuzun geçerli sertifikasını System > Certificates sekmesinden yükleyip kullanabilirsiniz.
Require Client Certificate : Sertifikanın istemci tarafında da yüklü olmasını zorunlu kılar.
Tunnel Mode Client Settings;
Address Range : Kullanıcıların bağlanırken alacağı varsayılan ip aralığı belirlenir. Portal yönlendirmesinde ip pool belirlenmemişse bağlanan kullanıcı bu ip havuzundan ip alır.
Fortinet varsayılan otomatik adres aralığı seçildiğinde örnek 10.212.134.10 - 10.212.134.210 ip aralığını kullanır. Spesifik farklı adres aralığı kullanabilirsiniz.
DNS Server : Kullanıcıların vpn bağlantısında kullanacağı dns sunucu ip leri belirtilir. Belirtilmediğinde kullanıcının varsayılan dns sunucu adresi geçerli olur.
Authentication/Portal Mapping : Kullanıcı ya da kullanıcı gruplarının vpn bağlantısı kurarken hangi portalın kullanılacağı seçilir. Oluşturduğumuz VPN_LOCAL_GROUP grubu için yeni oluşturduğumuz SSL_NEW_PORTAL seçilir.
* Bu işlemler tamamlandığında kullanıcı vpn bağlantısını yapabilir hale gelir fakat erişim sağlanamaz. Erişim yetkilendirmesi için erişim kuralı oluşturulmalıdır.
5- SSL VPN IPv4 Policy
Policy & Objects > Firewall Policy > Create New butonuna tıklandığında aşağıdaki gibi bir pencere açılacaktır.
Incoming Interface : SSL-VPN kullanıcılarının bağalntıktan sonra trafiğin geldiği interface seçilir. Varsayılan SSL-VPN tunnel interface (ssl.root) ismini kullanmaktadır.
Outgoing Interface : Erişilmek istenilen sunucuların ya da istemcilerin bulunduğu interface seçilir.
Source : VPN kullanıcılarının kullandığı portalda belirtilen IP adres aralığı ve kullanıcı grupları seçilir.
Destination : VPN kullanıcılarının bağlantı sonrası erişim sağlayacağı IP ya da IP aralığı seçilir.
NAT : kullanım durumuna göre disable edilir. Dış erişimlerde nat aktif edilebilir.
Log Allowed Traffic : All sessions seçilerek tüm logların alınması sağlanır.
Securtiy Profiles : Güvenlik profillerini yetki durumuna göre yapılandırabilir ve özelleştirebilirsiniz.
Bu erişim örneği server01 sunucu erişimi için yapılandırılmıştır. Farklı interface erişimleri için farklı kurallar yazılmalıdır. Örneğin internet çıkışı için kullanılması gereken interface WAN interface olmalıdır.
Comentários