- Kurumsal
-
Ürünler
Ürünler
Yeni ÜrünCloud Server
Tam yönetimli sanal sunucu altyapısı. Dakikalar içinde kurulum, saatlik faturalandırma ve 7/24 uzman destek ile işinize odaklanın.
Hemen Dene -
Çözümler
Yedekleme & Güvenlik
Veri GüvenliğiRansomware & şifreleme korumasıBulut YedeklemeVeri merkezlerine güvenli yedeklemeİmaj YedeklemeTam disk imaj + hızlı kurtarmaİş Yeri Dışına YedeklemeOff-site disaster recoveryMobil YedeklemeiOS & Android fotoğraf/kişiRansomware KorumasıFidye yazılımına karşıİki Faktörlü Doğrulama2FA ile hesap güvenliği -
Planlar
Planlar & Karşılaştırma
Ürün PlanlarıFiyatlandırma ve paketlerKarşılaştırma TablosuRakiplerle karşılaştırmaLisanslama
Narbulut LisanslamaLisans modelleriLisanslama HakkındaNasıl çalışır?Lisans YenilemeMevcut lisansını yenile - Kaynaklar
- İş Ortakları
- Blog
Narbulut ECS SSL VPN Yapılandırma Kılavuzu
İçindekiler
1. Genel Bakış, Ön Koşullar ve Yapılandırma Akışı
2. Deployment (Dağıtım Ayarları)
3. Kullanıcı ve Grup Yönetimi (Local Users)
4. Kaynak Tanımlama ve Rol Atama
5. Login Options, Virtual IP Pool ve Authentication
6. Portal Özelleştirme ve Sertifika Yönetimi
7. NAT, İstemci Bağlantısı ve Kullanıcı İzleme
8. En İyi Uygulamalar ve Sorun Giderme
1. Genel Bakış, Ön Koşullar ve Yapılandırma Akışı
SSL VPN, uzak kullanıcıların SSL/TLS şifreleme üzerinden kurumsal ağa güvenli erişim sağlamasına olanak tanır. Sangfor NGAF üzerinde SSL VPN yapılandırmak için aşağıdaki temel kavramları anlamanız gerekir:
| Kavram | Açıklama |
|---|---|
| SSL VPN | SSL/TLS protokolü üzerinden çalışan VPN tüneli |
| EasyConnect | Sangfor SSL VPN istemci yazılımı |
| L3VPN App | Tam ağ tüneli — tüm protokoller ve portlar |
| TCP App | Belirli TCP bağlantılarını proxy'ler |
| Web App | Portal üzerinden tarayıcı tabanlı erişim |
| Resource Group | Kaynakları gruplandıran mantıksal birim |
| Role | Kullanıcı grubu ile kaynak grubu arasındaki eşleme |
| Virtual IP Pool | VPN istemcilerine atanacak IP havuzu |
| Gateway Mode | SSL VPN dağıtım modu (Gateway veya Single-Arm) |
Şekil 1 — SSL VPN genel mimarisi
Ön Koşullar
SSL VPN yapılandırmasına başlamadan önce aşağıdaki koşulların karşılandığından emin olun:
- Geçerli bir SSL VPN lisansı
- NGAF cihazının aktif ve erişilebilir olması
- WAN arayüzünde geçerli bir public IP adresi
- Port 4430 ve/veya 443’ün dışarıya açık olması
- Yeterli kullanıcı kotası
- VPN IP havuzu ile mevcut ağ aralıklarında çakışma olmaması
SSL VPN Yapılandırma Akışı
Tam bir SSL VPN yapılandırması 8 temel adımdan oluşur:
- Deployment — Gateway/Single-Arm modu ve arayüz seçimi
- Login Options — Portal portu ve TLS ayarları
- Resources — Erişim kaynakları tanımlama
- Local Users — Kullanıcı ve grup oluşturma
- Roles — Kullanıcı-kaynak eşleme
- Virtual IP Pool — IP havuzu yapılandırma
- NAT — VPN trafiği için SNAT kuralı
- Test — İstemci bağlantı testi
Bu kılavuz, yukarıdaki adımları sırasıyla ele alarak eksiksiz bir SSL VPN yapılandırması gerçekleştirmenizi sağlar.
2. Deployment (Dağıtım Ayarları)
SSL VPN dağıtım modu, cihazın ağdaki konumuna göre belirlenir. İki temel mod bulunur:
- Gateway Mode: NGAF, ağ geçidi olarak konumlanır. Tüm trafik NGAF üzerinden akar. En yaygın kullanılan moddur.
- Single-Arm Mode: NGAF, mevcut ağ geçidinin yanına paralel olarak konumlanır. Sadece VPN trafiği NGAF üzerinden yönlendirilir.
Şekil 2 — Deployment ayarları: Gateway/Single-Arm modu
Yapılandırma adımları:
- SSL VPN > Deployment menüsüne gidin
- Dağıtım modunu seçin (Gateway veya Single-Arm)
- LAN ve WAN arayüzlerini belirleyin
- Ayarları kaydedin
Not: Gateway modunda NGAF tüm trafiği yönetir. Single-Arm modunda ise mevcut ağ yapısını değiştirmeden VPN hizmeti ekleyebilirsiniz.
3. Kullanıcı ve Grup Yönetimi (Local Users)
SSL VPN kullanıcıları, yerel kullanıcı veritabanında gruplar halinde yönetilir. Her kullanıcı bir gruba ait olmalıdır.
Şekil 3 — Local Users sayfası: kullanıcı ve grup yönetimi
3.1 Grup Oluşturma
- SSL VPN > Local Users menüsüne gidin
- Sol paneldeki ağaç yapısında “+” butonuna tıklayın
- Grup adını girin (örn: “Mühendislik”, “Satış”)
- Grup açıklamasını ekleyin (isteğe bağlı)
- OK ile kaydedin
3.2 Kullanıcı Oluşturma
- Oluşturduğunuz grubu seçin
- “New” butonuna tıklayın
- Kullanıcı bilgilerini doldurun: kullanıcı adı, parola, açıklama
- Hesap süre sonu ayarlayın (isteğe bağlı)
- OK ile kaydedin
İpucu: Kullanıcıları departman veya erişim seviyesine göre gruplandırarak yönetimi kolaylaştırabilirsiniz.
4. Kaynak Tanımlama ve Rol Atama
VPN üzerinden erişilecek kaynakları tanımlayın ve kullanıcı gruplarıyla eşleştirin.
4.1 Kaynak Türleri
| Tür | Açıklama | Kullanım |
|---|---|---|
| L3VPN App | Sanal ağ adaptörü kurar, tam ağ tüneli sağlar | Tam ağ erişimi (tüm protokoller) |
| TCP App | Belirli TCP bağlantılarını proxy'ler | RDP, SSH, veritabanı erişimi |
| Web App | Portal üzerinden web uygulama erişimi sağlar | Tarayıcı tabanlı uygulama erişimi |
Şekil 4 — Resources sayfası: kaynak tanımlama
4.2 Resource Group Oluşturma
- SSL VPN > Resources menüsüne gidin
- Resource Group sekmesinde “New” tıklayın
- Grup adı girin (örn: “Sunucu Erişimi”, “Web Uygulamaları”)
- OK ile kaydedin
4.3 Resource Oluşturma
- Resource sekmesinde “New” tıklayın
- Kaynak türünü seçin (L3VPN App, TCP App veya Web App)
- Kaynak detaylarını doldurun (IP, port, URL vb.)
- Kaynağı bir Resource Group’a atayın
- OK ile kaydedin
4.4 Rol Atama (Roles)
Roller, kullanıcı grupları ile kaynak grupları arasındaki eşlemeyi tanımlar. Her rol, hangi kullanıcıların hangi kaynaklara erişebileceğini belirler.
Şekil 5 — Roles yapılandırması: kullanıcı-kaynak eşleme
- SSL VPN > Roles menüsüne gidin
- “New” butonuna tıklayın
- Rol adı girin
- User Group alanında ilgili kullanıcı grubunu seçin
- Resource Group alanında ilgili kaynak grubunu seçin
- OK ile kaydedin
Önemli: Bir kullanıcı grubuna birden fazla kaynak grubu atanabilir. En az kısıtlayıcı erişim ilkesini (principle of least privilege) uygulayarak güvenliği artırın.
5. Login Options, Virtual IP Pool ve Authentication
5.1 Login Options
SSL VPN portalına erişim için portal portunun ve TLS ayarlarının yapılandırılması gerekir.
Şekil 6 — Login Options: portal port ve TLS ayarları
- SSL VPN > Login Options menüsüne gidin
- Portal Port ayarını belirleyin (varsayılan: 4430)
- TLS versiyonunu seçin (TLS 1.2 veya üzeri önerilir)
- Şifreleme algoritmasını yapılandırın
- OK ile kaydedin
5.2 Virtual IP Pool
VPN ile bağlanan istemcilere atanacak IP adresi havuzunu tanımlayın. Bu IP aralığı, mevcut LAN ağınızla çakışmamalıdır.
Şekil 7 — Virtual IP Pool yapılandırması
- SSL VPN > Virtual IP Pool menüsüne gidin
- “New” butonuna tıklayın
- IP havuzu adı girin
- Başlangıç ve bitiş IP adreslerini belirleyin
- Subnet mask’ı ayarlayın
- OK ile kaydedin
Not: Virtual IP Pool aralığı, mevcut ağınızdaki DHCP veya statik IP aralıklarıyla çakışmamalıdır. Ayrı bir /24 subnet kullanmanız önerilir (örn: 10.251.251.0/24).
5.3 Authentication (Kimlik Doğrulama)
Kullanıcı kimlik doğrulama yöntemini ve ayarlarını yapılandırın.
Şekil 8 — Authentication ayarları
- Local Authentication: NGAF yerel kullanıcı veritabanını kullanır
- LDAP/AD Authentication: Active Directory veya LDAP sunucusu ile entegrasyon
- RADIUS Authentication: RADIUS sunucusu üzerinden kimlik doğrulama
- Certificate Authentication: Dijital sertifika tabanlı doğrulama
İpucu: Güvenliği artırmak için çok faktörlü kimlik doğrulama (MFA) etkinleştirmeniz önerilir.
6. Portal Özelleştirme ve Sertifika Yönetimi
6.1 Portal Özelleştirme
SSL VPN giriş portalının görünümünü özelleştirerek kurumsal kimliğinize uygun hale getirebilirsiniz:
- Logo: Şirket logonuzu yükleyin
- Başlık: Portal başlığını değiştirin
- Arka Plan: Giriş sayfası arka plan görselini ayarlayın
- Duyuru: Kullanıcılara gösterilecek bilgilendirme metni ekleyin
6.2 Sertifika Yönetimi
SSL VPN bağlantısının güvenliği için sertifika yapılandırmasını tamamlayın:
- Varsayılan Sertifika: NGAF, otomatik olarak self-signed sertifika oluşturur. Test ortamı için uygundur.
- Özel Sertifika: Üretim ortamı için güvenilir bir CA’dan alınmış sertifika yükleyin.
- Let’s Encrypt: Ücretsiz sertifika otomasyonu için desteklenir.
Önemli: Üretim ortamında self-signed sertifika kullanmak tarayıcılarda güvenlik uyarılarına neden olur. Güvenilir bir CA sertifikası kullanmanız şiddetle önerilir.
7. NAT, İstemci Bağlantısı ve Kullanıcı İzleme
7.1 NAT Yapılandırması
VPN istemcilerinin iç ağ kaynaklarına erişebilmesi için SNAT kuralı oluşturulması gerekir:
Şekil 9 — NAT yapılandırması: VPN trafiği için SNAT kuralı
- Network > NAT menüsüne gidin
- “New” butonuna tıklayın
- Source Zone: SSL VPN zone’u seçin
- Destination Zone: LAN zone’u seçin
- Source IP: Virtual IP Pool aralığını girin
- Translation: Outgoing Interface Address seçin
- OK ile kaydedin
Not: NAT kuralı oluşturulmadan VPN istemcileri iç ağ kaynaklarına erişemez. Bu adım sıklıkla atlanan kritik bir yapılandırmadır.
7.2 İstemci Bağlantısı (EasyConnect)
Yapılandırma tamamlandıktan sonra istemci bağlantısını test edin:
Şekil 10 — EasyConnect istemci bağlantısı ve çevrimiçi kullanıcılar
- İstemci bilgisayarda EasyConnect uygulamasını indirin ve kurun
- Sunucu adresini girin:
https://<WAN-IP>:4430 - Kullanıcı adı ve parolayı girin
- Connect butonuna tıklayın
- Bağlantı durumunun “Connected” olduğunu doğrulayın
- İç ağ kaynaklarına erişimi test edin (ping, RDP, web vb.)
7.3 Çevrimiçi Kullanıcı İzleme
Aktif VPN oturumlarını izlemek ve yönetmek için:
- SSL VPN > Online Users menüsüne gidin
- Bağlı kullanıcıları, atanan IP’leri, oturum süresini ve bant genişliği kullanımını görüntüleyin
- Gerektiğinde kullanıcı oturumunu sonlandırabilirsiniz (Kick)
8. En İyi Uygulamalar ve Sorun Giderme
En İyi Uygulamalar
- En az yetki ilkesi: Kullanıcılara yalnızca ihtiyaç duydukları kaynaklara erişim verin
- Güçlü parola politikası: Minimum 8 karakter, büyük/küçük harf, rakam ve özel karakter zorunluluğu
- MFA etkinleştirme: Çok faktörlü kimlik doğrulama ile güvenliği artırın
- Düzenli denetim: Çevrimiçi kullanıcıları ve erişim loglarını periyodik olarak inceleyin
- Sertifika yönetimi: Güvenilir CA sertifikası kullanın ve süre dolumunu takip edin
- IP havuzu planlama: Mevcut ağla çakışmayan ayrı bir subnet tahsis edin
- Firmware güncellemeleri: NGAF firmware’ini güncel tutarak güvenlik yamalarını uygulayın
Sorun Giderme
| Sorun | Olası Neden | Çözüm |
|---|---|---|
| Portal sayfası açılmıyor | Port engelli veya servis kapalı | Firewall kurallarını ve SSL VPN servisini kontrol edin |
| Bağlantı zaman aşımı | WAN IP veya port yanlış | Sunucu adresi ve port numarasını doğrulayın |
| Kimlik doğrulama başarısız | Hatalı kullanıcı adı/parola | Kullanıcı bilgilerini ve hesap durumunu kontrol edin |
| İç ağa erişilemiyor | NAT kuralı eksik | SNAT kuralını oluşturun ve zone ayarlarını kontrol edin |
| DNS çözümleme başarısız | DNS ayarları eksik | VPN istemcisine iç DNS sunucu adresini atayın |
| Yavaş bağlantı | Bant genişliği sınırlaması | QoS ayarlarını ve eşzamanlı kullanıcı sayısını kontrol edin |
İlgili Kılavuzlar
Ağ yapılandırması için ECS Ağ Yönetimi Kılavuzu'nu, kullanıcı yönetimi için ECS Kullanıcı Yönetimi Kılavuzu'nu inceleyebilirsiniz.
Teknik destek için: destek@narbulut.com | www.narbulut.com
