Azure ile FortiGate Site2Site VPN

Uzman Ekip

Alanında en uzman kişiler

Dijital Dönüşüm

Çağın ilerisindeki tarz

24/7 Destek

24 Saat 7 gün sizinle

Deneyim Tabanlı

Geçmişten gelen deneyim

Azure üzerinde oluşturduğumuz makinalara, servislere, ürünlere erişmek için veya Portal’a bağlanmadan yönetim sağlamak için IPsec tünel kullanabiliriz. IPsec servisi aslında Azure ile FortiGate’imiz arasında bir tünel oluşturur. Bu sayede Azure ile ortamının birbirine güvenli şekilde erişmesini sağlar. Konfigürasyonda belirtilen networkler arasındaki tünel üzerinde gerçekleşir.  Bu makale de bu konfigürasyonun nasıl yapıldığını anlatacağım.

Yapacağımız işlemlerin konu başlıkları aşağıdaki gibidir,

Konu başlıklarımız

1)Virtual Network Gateways oluşturma

2)Local Network Gateways oluşturma

3)Virtual Network Gateway Connections Ayarları

4)FortiGate Firewall Üzerinde IPsec Ayalarları

1)Virtual Network Gateways oluşturma

https://portal.azure.com adresinde hesabımıza login oluyoruz.

Arama kısmında “Virtual Network Gateway” aratıyoruz.

Create butonuna basıyoruz.

Karşımıza çıkan sayfada yapacaklarımız,

  • Name: Virtual Network Gateway profili için bir isim belirliyoruz.
  • Region: Türkiye’ ye en yakın bölge West Europe olduğu için bölge olarak “West Europe” seçebiliriz.
  • Gateway type: VPN’i seçiyoruz.
  • VPN type: Yapılandırmamıza uygun olanı seçiyoruz. Route-based olarak seçtim.
  • SKU:

Listeyi açarak size uygun olanı SKU ‘u seçebilirsiniz. Benim test ortamım olduğu için “Basic” olanı seçiyorum. Alt kısımda bıraktığım linkte listedeki karşılığını bulabilirsiniz.

https://learn.microsoft.com/tr-tr/azure/vpn-gateway/vpn-gateway-about-vpn-gateway-settings#gwsku

Generation: SKU profillerine göre değişiklik gösterebiliyor. Kaçıncı nesil olacağına karar veriyoruz.
Virtual Network: Öncesinde oluşturduğumuz Virtual Network ‘ü seçebiliriz. Ya da Create New diyerek yenisini oluşturabilirsiniz.

Public IP Address:
• Create New seçeneğini seçerseniz Azure kendisi bir IP adresi atayacak. Mevcut’ta bir Public IP adresiniz bulunuyorsa onu da girebilirsiniz.
Name: Public Address için isim belirliyoruz.
Enable active-active mode: Active-Active olarak kullanmak istiyorsanız bu seçeneği seçmelisiniz. Aksi takdirde disable bırakın.
Configure BGP: Gerekmediği sürece BGP’i aktif etmiyoruz. Disable şekilde devam edebiliriz. Eğer kullanılmak isteniyorsa varsayılan ASN 65515’tir.

Eğer bir TAG işlemi yapılmayacaksa Review + Create diyerek Virtual Network Gateway kurulumunu tamamlayabiliriz.

Kurulumun tamamlaması 30 dakika civarı sürebiliyor.

2)Local Network Gateways oluşturma

Bu kısımda Site2Site VPN yapacak IP adresleri arasında eriştirmek istediğimiz IP bloklarını tanımlıyoruz.
Arama kısmına “Local network gateways” yazıyoruz.

Create butonuna basıyoruz.

• Resource group: Oluşturduğumuz resource grubu seçiyoruz.
• Region: Türkiye’ ye en yakın bölge West Europe olduğu için bölge olarak “West Europe” seçebiliriz.
• Name: İsim belirliyoruz.
• IP Address: Site2site VPN yapacağımız lokasyonun WAN IP adresini giriyoruz.
• Address Space(s): Bu kısımda Azure ile bağlantı sağlayacak networkleri giriyoruz.
• Review + Create butonuna basıyoruz ve son olarak tekrar Create butonuna basıyoruz.

Local Network Gateways deployment işlemi tamamlandı.

3)Virtual Network Gateway Connections Ayarları

Name: Connection’a bir isim belirliyoruz.
Connection type: Site-to-site (IPsec) olarak seçiyoruz.
Virtual network gateway: Virtual network’ümüzü seçiyoruz.
Local network gateway: Local network’ümüzü seçiyoruz.
Shared key(PSK): Burada bir şifre oluşturuyoruz. Bu şifreyi FortiGate tarafında’da kullanacağız.
IKE Protocol: IKEv2
Ok butonuna basıyoruz ve Azure tarafındaki kurulumu tamamlıyoruz. Sırada ki adımımız FortiGate üzerinde bu connection’ı tamamlamak.

4)FortiGate Firewall Üzerinde IPsec Ayalarları

FortiGate ‘e bağlandıktan sonra sol menüden VPN > IPsec Wizard > Custom > IPsec tünelimize bir isim belirliyoruz.

IP Address: Bu kısımda Azure üzerinde bize verilmiş olan Public IP adresini giriyoruz. Bunu öğrenmek için Azure üzerinde “Virtual Network Gateways” içerisine gidiyoruz. Overview ‘de Mavi kutucuk içerisine aldığım kısımda size verilmiş olan veya sizin tanımladığınız Public IP adresini görebilirsiniz.

  • Interface: Bu kısımda Azure ile iletişim sağlayacak Public IP adresinizin bulunduğu interface’i seçiyoruz. (Örnek olarak WAN1)
  • Authentication
    • Pre-shared Key: Bu kısımda Azure tarafında Connections sekmesinde oluşturduğumuz Pre-shared Key’in aynısını buraya giriyoruz. Bu şifre karşılıklı olarak aynı olmalı.
  • IK Version: Burada Versiyon 2 olanı seçiyoruz. Azure üzerinde 2 olarak oluşturmuştuk.
  • Phase1: Encryption ve Authentication metotları Azure tarafından belirlenen şekilde oluşturuyoruz.
  • Diffie-Hellman Group: Sadece 2 seçili olacak şekilde seçiyoruz.
  • Key Lifetime (seconds): Bu kısmı 28800 olarak düzenliyoruz.

• Phase2: Bu kısımda networklerimizi tanıtıyoruz. Local Address ve Remote Address kısımlarını doldurduktan sonra Azure ‘un bize verdiği Encryption ve Authentication metotlarını giriyoruz.
• Name: İsim belirleyin.
• Local Address: Ortamımızdaki local network ’ü tanımlıyoruz.
• Remote Address: Azure üzerindeki local network ‘ü tanımlıyoruz.
• PFS: Disable
• Seconds: Bu kısmı 3600 olarak düzenliyoruz.
OK butonuna basıyoruz ve IPsec Tünel oluşturma işlemini tamamlıyoruz. Sonrasında IPsec’in Policy ve Static Route ayarlarını yapalım.
IPsec için IPv4 Policy:
Policy & Objects > IPv4 Policy > Create New sekmesine gidiyoruz.

• Name: Policy ismi belirliyoruz.
• Incoming Interface: Local interface’imizi seçiyoruz.
• Outgoing Interface: Azure tarafına gideceğimiz için, IPsec tünelimizi seçiyoruz.
• Source: Incoming interface içerisine dahil olan local networkümüzü seçiyoruz.
• Destination Address: Azure’un local ‘deki adresini seçiyoruz.
• Service: Hangi portları kullanacağını seçebilirsiniz.
• Nat: Disable

OK butonuna basıyoruz.

Şimdi oluşturduğumuz Policy’nin tam tersini oluşturacağız. Bu sebeple IPv4 Policy içerisine gidip oluşturduğumuz Policy’e sağ tıklıyoruz ve “Clone Reverse” e tıklıyoruz. Bu sayede oluşturduğumuz Policy‘nin tam tersini bize disable halde oluşturacaktır.

-Clone Reverse

Policy ’i bize “Disable” olarak getirecektir. Policy’nin içerisine giriyoruz.
• Name: Policy ismi belirliyoruz.
• Comments: Bu kısmı silebilirsiniz.
• Enable this policy butonunu enable ediyoruz.

OK butonuna basıyoruz.

Menü’den Network > Static Routes > Create New diyerek yeni bir route oluşturuyoruz.
Destination: Azure tarafında erişecek olduğumuz local network’ü buraya giriyoruz.
Device: Burada IPsec tünelimizi seçiyoruz.
Adminstrative Distance: Default ‘da 10 olarak geliyor. Bunu 2 olarak değiştirmeniz önerilir.

Bu sayede Azure networkümüze giden yolu bu şekilde bilecektir.
Şöyle düşünebilirsiniz, 10.1.0.x adresine giderken Azure-IPsec üzerinden git. Static route önceliği vs. bulunuyorsa buna göre düzenleyebilirsiniz.

Monitor > IPsec Monitor > Oluşturduğumuz IPsec ‘i seçip Bring UP diyoruz. Status durumu Up durumuna geçtiğinde IPsec işlemlerimiz tamamlanıyor.

Microsoft Azure ile FortiGate arasında IPsec işlemlerimizi tamamladık. Umarım yardımcı olmuştur.

Yazar: Hasan Hüseyin Özer

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.

Go to Top