Home FortigateFortiClient SSL VPN Bağlantı Sorunları: Yüzdelere Göre Arıza Rehberi ve Çözüm Yolları
FortigateGenel

FortiClient SSL VPN Bağlantı Sorunları: Yüzdelere Göre Arıza Rehberi ve Çözüm Yolları

by İlhan ÇİÇEK
written by İlhan ÇİÇEK 0 comments
FortiClient SSL VPN Bağlantı Sorunları

Günümüzün esnek çalışma modellerinde, kurumsal kaynaklara güvenli bir şekilde erişmek hayati önem taşımaktadır. Fortinet’in FortiClient SSL VPN çözümü, bu erişimi sağlayan en popüler araçlardan biridir. Ancak, kullanıcıların sıkça karşılaştığı bir sorun, VPN bağlantısının belirli bir yüzdede takılıp kalmasıdır. %10, %40, %80 gibi farklı aşamalarda yaşanan bu takılmalar, aslında bize sorunun kaynağı hakkında önemli ipuçları verir.

Bu makalede, FortiClient SSL VPN bağlantı hatalarını yüzde dilimlerine göre inceleyecek ve her bir aşama için olası nedenleri ve pratik çözüm yöntemlerini ele alacağız.

%10’da Kalan Bağlantı: Temel Ağ ve Erişim Sorunları

Bağlantı süreci %10’da duruyorsa, sorun genellikle istemcinin (FortiClient) sunucuya (FortiGate) ilk erişimi sağlayamamasından kaynaklanır.

Olası Nedenler:

  1. Ağ Erişimi Yok: En temel sorun. Kullanıcının bilgisayarı internete bağlı olmayabilir veya yerel ağda bir sorun olabilir.
  2. Sunucu Erişilemez Durumda: FortiGate cihazının genel IP adresi veya alan adı (FQDN) erişilebilir olmayabilir.
  3. Hatalı Port veya Sunucu Bilgisi: FortiClient ayarlarındaki sunucu adresi veya SSL VPN portu (genellikle 443, 10443 vb.) yanlış yapılandırılmış olabilir.
  4. Güvenlik Duvarı Engellemesi: Kullanıcının bulunduğu yerel ağdaki bir modem veya güvenlik duvarı, SSL VPN için gereken portu engelliyor olabilir.
  5. FortiGate Yapılandırması:
    • FortiGate üzerinde SSL VPN ayarlarında “Erişimi Kısıtla” (Restrict Access) özelliği aktif olabilir ve kullanıcının genel IP adresi bu listeye dahil olmayabilir.
    • FortiGate’de SSL VPN portu için yanlış bir Sanal IP (VIP) yapılandırması olabilir.
    • SSL VPN arayüzü (ssl.root) ‘down’ (kapalı) durumda olabilir.

Çözüm Önerileri:

  • Kullanıcının internet bağlantısını kontrol edin.
  • Bir tarayıcı üzerinden VPN adresine (örn: https://vpn.sirket.com:10443) erişmeyi deneyerek sunucunun yanıt verip vermediğini test edin.
  • FortiClient ayarlarındaki sunucu ve port bilgilerini doğrulayın.
  • FortiGate üzerinde diagnose sniffer packet komutuyla istemciden gelen trafiğin güvenlik duvarına ulaşıp ulaşmadığını kontrol edin.

%31 ve %40: TLS/SSL Anlaşmazlıkları ve Sertifika Hataları

Bağlantı bu aşamalara gelip duruyorsa, sorun genellikle şifreleme protokolü veya sunucu sertifikası ile ilgilidir.

Olası Nedenler:

  1. TLS Versiyon Uyumsuzluğu: (%31 hatası -5029) FortiGate’in zorunlu kıldığı TLS (Transport Layer Security) versiyonu (örn: TLS 1.2, TLS 1.3) ile istemci bilgisayarın desteklediği versiyon arasında bir uyumsuzluk olabilir.
  2. Güvenilmeyen Sertifika: (%40) FortiGate’de kullanılan SSL sertifikası, istemci tarafından güvenilir (trusted) olarak tanınmıyor olabilir. Bu durumda FortiClient genellikle kullanıcıya bir uyarı penceresi gösterir ancak bu pencere bazen arka planda kalabilir veya zaman aşımına uğrayabilir.
  3. Sertifika Süresi Dolmuş: Sunucu sertifikasının geçerlilik süresi dolmuş olabilir.
  4. SAML Sertifika Hatası: Eğer SAML (Güvenlik Onaylama İşaretleme Dili) ile kimlik doğrulaması kullanılıyorsa, IDP (Identity Provider) ve SP (FortiGate) arasındaki sertifika yapılandırması hatalı olabilir.

Çözüm Önerileri:

  • İstemci bilgisayarın internet seçeneklerinden (Internet Options) TLS 1.2 ve 1.3’ün etkinleştirildiğinden emin olun.
  • FortiGate üzerinde config vpn ssl settings altında set banch-tls-1.0 disable, set banch-tls-1.1 disable komutları ile eski ve güvensiz protokolleri devre dışı bırakıp, modern olanları zorunlu kılın.
  • FortiGate’de geçerli ve güvenilir bir otoriteden (CA) alınmış bir SSL sertifikası kullanın. Eğer “Fortinet_Factory” varsayılan sertifikası kullanılıyorsa, bunu geçici bir çözüm olarak seçip sorunun sertifikadan kaynaklanıp kaynaklanmadığını test edebilirsiniz.

%42, %43, %45, %48: Kimlik Doğrulama (Authentication) Hataları

Süreç %40’lı seviyelere ulaştıysa, ağ bağlantısı ve şifreleme aşamaları genellikle başarılı olmuş, ancak sıra kimlik doğrulamaya gelmiş demektir. Sorun, kullanıcı adı, şifre, grup üyeliği veya ikinci faktör (2FA) ile ilgilidir.

Olası Nedenler:

  1. Yanlış Kullanıcı Adı/Şifre: (%42, %43, %45) En yaygın sebep. Kullanıcı adı veya parola hatalı girilmiştir. (Büyük/küçük harf duyarlılığına dikkat!)
  2. Grup Eşleşme Hatası: (%43) Kullanıcı, SSL VPN portalına erişim yetkisi olan bir kullanıcı grubuna (User Group) dahil edilmemiş olabilir. Özellikle LDAP veya SAML entegrasyonlarında bu durum sıkça yaşanır.
  3. İkinci Faktör (2FA) Sorunları: (%48)
    • Kullanıcı FortiToken, e-posta veya SMS ile gelen kodu yanlış girmiş olabilir.
    • Credential or SSL VPN configuration is wrong (-7200) hatası alınıyorsa, kimlik bilgileri veya yapılandırmada bir sorun vardır.
    • Permission denied. (-455) hatası, kullanıcının portal eşleşmesinde (Authentication/Portal Mapping) bir gruba dahil edilmediğini gösterebilir.
  4. Uzak Sunucu Zaman Aşımı: (%45) Eğer kimlik doğrulama için LDAP veya RADIUS gibi harici bir sunucu kullanılıyorsa, FortiGate bu sunucuya erişemiyor veya sunucudan zamanında yanıt alamıyor olabilir (ldap connection timeout).
  5. SAML Zaman Aşımı: (%48) SAML kimlik doğrulaması kullanılıyorsa, kullanıcının IDP ekranında (örn: Azure AD, Okta) kimlik bilgilerini girmesi için tanınan süre (remoteauthtimeout) yetersiz olabilir.

Çözüm Önerileri:

  • Kullanıcıdan kimlik bilgilerini dikkatlice yeniden girmesini isteyin.
  • FortiGate üzerinde SSL VPN portal eşleşmelerini ve ilgili güvenlik duvarı kurallarını kontrol ederek kullanıcının doğru grupta olduğundan emin olun.
  • diagnose debug application sslvpn -1 ve diagnose debug application fnbamd -1 komutları ile kimlik doğrulama sürecini detaylıca izleyin.
  • 2FA kullanılıyorsa, FortiGate’in config system global altındaki remoteauthtimeout süresini, kullanıcının kodu girmesi için yeterli bir değere (örn: 120 saniye) yükseltin.

%80: Portal ve İlke (Policy) Eşleşme Sorunları

Bağlantı %80’e ulaştıysa, kimlik doğrulama başarıyla tamamlanmış demektir. Sorun, kimliği doğrulanan kullanıcıya bir tünel atanması ve bu tünele uygun bir güvenlik duvarı kuralının bulunması aşamasındadır.

Olası Nedenler:

  1. Tünel Modu Devre Dışı: Kullanıcının eşleştiği SSL VPN Portal’ında “Tünel Modu” (Tunnel Mode) etkinleştirilmemiş, sadece “Web Modu” (Web Mode) aktif olabilir. FortiClient, tünel modu gerektirir.
  2. Güvenlik Duvarı Kuralı Eksikliği: SSL VPN tünel arayüzünden (ssl.root) iç ağa (örn: LAN) doğru, kimliği doğrulanan kullanıcıyı veya kullanıcı grubunu içeren bir güvenlik duvarı (Firewall Policy) kuralı bulunmuyordur.
  3. Kullanıcı/Grup Uyuşmazlığı: SSL VPN portal ayarlarındaki kullanıcı grubu ile güvenlik duvarı kuralındaki kaynak (Source) kullanıcı grubu aynı olmayabilir.
  4. Realm Uyuşmazlığı: Eğer birden fazla “Realm” (Bölge) kullanılıyorsa, kullanıcı doğru realm’e giriş yapmıyor olabilir.

Çözüm Önerileri:

  • SSL VPN Portalları altında ilgili portalı düzenleyerek “Tunnel Mode”un etkin olduğundan emin olun.
  • Policy & Objects > Firewall Policy altında, Incoming Interface olarak SSL VPN arayüzünü (ssl.root), Source olarak ilgili kullanıcı grubunu ve Outgoing Interface olarak iç ağ arayüzünü seçen bir kural oluşturun.

%98: Tünel Kurulumu ve İstemci Taraflı Hatalar

Bu, son aşamadır. Kimlik doğrulama ve ilke eşleşmesi tamamlanmıştır ancak istemci bilgisayar tüneli başlatmakta veya IP/Rota bilgilerini yazmakta sorun yaşamaktadır.

Olası Nedenler:

  1. Ağ Gecikmesi veya Paket Kaybı: İstemci ile sunucu arasında yüksek gecikme (latency) veya paket kaybı olması tünelin kurulmasını engelleyebilir.
  2. Bozuk FortiClient Kurulumu: FortiClient yazılımı bozulmuş (corrupted) olabilir.
  3. IPv6 Sorunları: İstemci IPv6 üzerinden bağlanmaya çalışırken sunucu sadece IPv4 destekliyorsa uyumsuzluk yaşanabilir.
  4. Yerel Güvenlik Yazılımları: İstemcideki başka bir güvenlik duvarı veya antivirüs yazılımı, FortiClient’ın sanal ağ bağdaştırıcısını kurmasını veya rota eklemesini engelliyor olabilir.

Çözüm Önerileri:

  • Farklı bir internet bağlantısı (örn: mobil hotspot) ile bağlanmayı deneyerek sorunun yerel ağdan kaynaklanıp kaynaklanmadığını test edin.
  • FortiClient yazılımını tamamen kaldırıp, en güncel sürümünü Fortinet destek sitesinden indirerek yeniden kurun.
  • İstemci bilgisayarın ağ bağdaştırıcısı ayarlarından IPv6’yı geçici olarak devre dışı bırakmayı deneyin.

Sonuç

FortiClient SSL VPN bağlantı hataları, ilk bakışta karmaşık görünse de, bağlantının hangi yüzdede takıldığını analiz etmek, sorunun kaynağını (Ağ, Sertifika, Kimlik Doğrulama, İlke veya İstemci) hızla tespit etmemizi sağlar. Sistem yöneticileri için FortiGate üzerinde debug komutlarını kullanmak, kullanıcılar için ise temel ağ kontrollerini ve yazılım güncelliğini sağlamak, bu sorunların üstesinden gelmenin anahtarıdır.

Detaylı videolarımız için Firewall Destek Merkezi Youtube Kanalımıza Abone olmayı unutmayın.

İlhan ÇİÇEK, 1983 yılında Ankara’da doğdu. Üniversite öncesi eğitimini Ankara’da tamamladı. 2007 yılında Kırgızistan – Türkiye Manas Üniversitesi Bilgisayar Mühendisliği Bölümünden mezun oldu. 2007 yılından itibaren Ağ ve Sistem Uzmanı, Ağ Yöneticisi, Teknik Servis Müdürü, Ağ Mühendisi olarak çeşitli kurumlarda çalıştı. Nisan 2022’den günümüze ASIR Digital Bilgi Sistemlerinde BT Ağ ve Güvenliği Uzmanı olarak çalışmaktadır. Sahip olduğu sertifikalar : CCNA Routing and Switching,CCNP Routing and Switching, Sophos Certified Architect ,Sophos Certified Engineer Sophos Certified Technician. İlgi alanları : Kablolu ve Kablosuz Ağlar (Aruba, Cisco, HP, HPE, Huawei, Juniper,3Com), NAC Sistemleri (Aruba Clearpass , Cisco ISE, 802.1x), Firewall (Fortigate, Sophos, PaloAlto, Pfsense, Sonicwall)

You may also like

FortiGate ile Snapchat Erişimi Nasıl Engellenir? (ISDB Kullanımı)

2025 Firewall Trendleri: Siber Güvenlikte En Önemli Değişimler ve Hazırlık İpuçları

Aruba ClearPass Nedir? Ne İşe Yarar? Detaylı Rehber

🚀 HPE Aruba Network VSF Nedir? Neden Kullanılır?

🛡️ FortiGate IPsec VPN Remote Access Kurulumu (2025 Güncel Rehber)

Firewall’da GEO-IP Engelleme Nedir?

@2021 - All Right Reserved. Designed and Developed by PenciDesign