SSL VPN kullanicida hernagi bir yazilim kurulu olmadan web tabanli olarak,kullanicilarin  istedigi yerden kurumsal aglarina erisimini gerçeklestirmesini saglayan protokoldür.Standart IPSEC baglantilarinda kullanici tarafina VPN yazilimi kurulu olmasi gerekir.Kullanicilarda çikan sorunlar Bilgi Islem Personeline ek yük getirmektedir.SSL VPN kullanarak,  kullanicida çikan sorunlar minimuma indirilmis olur.
SSL VPN in iki modu vardir.Web mode ve tunnel mode

WEB mode da fortigate portal görevi görerek içerdeki kaynaklara (web server, share, ftp vs) bi geçit görevi görerek çalisir.Tunnel modda ise clientta bir adet private ip verilir.Bu ipye içeri tüm erisim açilir.SSL VPN i konfigure etmek için sol menüden VPN---SSL e girilirBurada enable ssl-vpn seçilir.Tunnel ip kismina iç networktte kullanilmayan bir ip blogu tanimlanir.Server certificate kismina bisey yazmaya gerek yok.Advanced kisminda da dns ip si giriliryor.

SSL VPN enable edildikten sonra sol menüden User—Local e girip yeni bir kullanici olusturulur

Kullanici olusturulduktan sonra User—User Group a girip yeni bir group olusturulur.Group type ini SSL VPN seçilip avaliable users kisminda olusturdugumuz kullaniciyi üyeler kismina tasiriz.

SSL VPN User Group Options da Enable SSL VPN Tunnel Service seçilir.Enable web application da hepsi seçilir.

Firewall kismindan policye gelip yeni bir policy olusturulur.Burdan source kisminda wan2 den baglandigimiz için wan2 seçildi.Action kisminda ssl-vpn seçip var olan grouplardan olusturdugumuz ssl_vpn_access grubunu allowed kismina aldik.

Kurali yazmazsan webden baglandiginda kullanici adi ekrani geliyor fakat ssl vpn kurulmuyor.Tanimlari yaptiktan sonra clientta internet Explorer a

https://disbacakip:10443

yazip giriyoruz.Bize kullanici adi ve sifre ekrani geliyor.Baglandiktan sonra asagidaki ekran geliyor.Bu ekran ssl vpnin web modu

Burdan tools altindan telnet vnc ve rdp baglantisi yapacagimiz makinenin ipsini yazip go ya tiklayinca baglanti kuruluyor.Java tabanli çalisiyor.Java versiyonu önemli olabilir.Burada Active SSL-VPN Tunnel Mode seçilirse artik baglanti tunnel moda geçiyor.

Clientta forticlient plugin ini kurduktan sonra connect butuna bastiktan sonra baglanti kuruluryor ve al tarafta yeni bir network baglantisinin kuruldugu görülüyor

Artik tamamen iç networke erisebilioruz.Remote desktop network share her seye ulasabiliriz.Normalde bütün web trafigi vpn üzerinden geçer.Fakat split tunneling özelligini yani webe çikarken normal hattan çiksin seçenegini isteniyorsa bunun için User—User Group tan olustuurlan vpn groubunda ssl-vpn user group optionsda allow split tunneling seçilir.

TRICK NOKTA:

Ne zaman bütün ayarlari yapip policy i yaziyorsun.Yazdigin policy i ekrana gelmior.Hiç bir hata da vermiyor.Ne zamanki telnetle baglanip policy i komutla olusturmaya çalistiginda  "Set groups SSL_VPN_Access "  komutu  girildiginde asagidaki hata ekrani aliniyor.

çünkü tüneli hedef olarak 0.0.0.0 network olarak veremiyorsun.Bunu önlemek için internal networkü bir adres olarak tanimliyorsun.Adres eklemek için sol menüden Firewall—Address e girip iç networkü yeni address gibi ekliyorsun.

Bunu ekledikten sonra firewall daki policy de yeniden kurali ekledigimizde polciy geliyor.ARtik  SSL VPN le gelen kullanicilarin nerelere ve hangi porttan erismesi isteniyorsa policy ona göre yaziliyor.Asagidaki örnekte disardan gelen SSL VPN iplerine iç networkte herseye erisim yetkisi verilmistir.

Ortalama Üye Değerlendirmesi

   (0 Oylama)