VPN Türlerine Giriş
Kurumsal ağlarda VPN iki temel amaç için kullanılır: uzaktan kullanıcı erişimi (remote access) ve şubeler arası bağlantı (site-to-site). FortiGate her iki senaryoyu da hem SSL VPN hem IPsec VPN ile karşılayabilir — peki hangisi ne zaman tercih edilmeli?
SSL VPN Nedir?
SSL VPN, HTTPS protokolü üzerinden (TCP 443) çalışan bir VPN türüdür. Kullanıcı cihazına FortiClient kurularak tünel modu veya tarayıcı tabanlı web modu ile erişim sağlanır.
Avantajları
- Kurulum basitliği — son kullanıcı için kolay yapılandırma
- TCP 443 portu kullandığı için çoğu ağda (otel, kafe WiFi) çalışır — firewall/NAT arkasında sorun yaşanmaz
- Web modu ile istemci yazılımı gerekmeden tarayıcıdan erişim
- Kullanıcı bazlı ince taneli erişim kontrolü
- Çok faktörlü kimlik doğrulama (MFA) entegrasyonu kolaydır
Dezavantajları
- TCP üzerinde çalışması nedeniyle yüksek gecikme ve düşük performans (özellikle yoğun trafik için)
- FortiGate CPU'sunu daha fazla kullanır — çok sayıda eş zamanlı bağlantıda performans düşer
- Fortinet, FortiOS 7.4 ile SSL VPN'i deprecated ilan etti — yeni kurulumlar için ZTNA veya IPsec önerilmekte
IPsec VPN Nedir?
IPsec VPN, Layer 3 düzeyinde şifreli tünel oluşturan standart bir protokoldür. UDP 500 ve 4500 portlarını, ESP (Encapsulating Security Payload) protokolünü kullanır. FortiGate'de hem site-to-site hem remote access için kullanılabilir.
Avantajları
- Yüksek performans — NP işlemcisi ile donanım hızlandırma desteği
- UDP tabanlı olduğu için gerçek zamanlı uygulamalar (VoIP, video) için düşük gecikme
- Site-to-site bağlantılarda endüstri standardı
- IKEv2 ile mobil istemcilerde hızlı bağlantı yeniden kurma (re-keying)
- Fortinet'in uzun vadeli önerilen protokolü
Dezavantajları
- NAT arkasında bazı ağ ortamlarında sorun yaşanabilir (NAT-T ile genellikle çözülür)
- İstemci yapılandırması SSL VPN'e göre biraz daha karmaşık
- UDP 500/4500 portları bazı kısıtlı ağlarda engellenmiş olabilir
FortiGate Üzerinde Karşılaştırma Tablosu
| Özellik | SSL VPN | IPsec VPN |
|---|---|---|
| Protokol | TLS/HTTPS (TCP 443) | IKE/ESP (UDP 500, 4500) |
| Performans | Orta (CPU yoğun) | Yüksek (NP hızlandırma) |
| NAT Uyumluluğu | Mükemmel | İyi (NAT-T ile) |
| Kurulum Kolaylığı | Kolay | Orta |
| Site-to-Site | Mümkün ama önerilmez | Standart ve önerilen |
| Remote Access | Yaygın (deprecated) | FortiClient ile mükemmel |
| Fortinet Yol Haritası | Deprecated (7.4+) | Aktif geliştirme |
| MFA Desteği | Mükemmel | IKEv2 ile iyi |
Hangi Senaryoda Hangisini Seçmeli?
Site-to-Site Bağlantı (Şube ↔ Merkez)
✅ IPsec VPN — performans, kararlılık ve ölçeklenebilirlik açısından standart tercih. IKEv2 ile modern, dinamik şube topolojileri için idealdir.
Uzaktan Çalışan Erişimi
✅ IPsec VPN + FortiClient (önerilen) veya ZTNA (en güncel yaklaşım). SSL VPN hâlâ çalışır ancak Fortinet'in uzun vadeli desteği IPsec ve ZTNA yönünde.
Kısıtlı Ağlardan Erişim (otel, havalimanı WiFi)
✅ SSL VPN — TCP 443 neredeyse hiçbir zaman engellenmez. Bu senaryoda SSL VPN hâlâ avantajlıdır.
Yüksek Performans Gerektiren Uygulamalar (VoIP, video)
✅ IPsec VPN — UDP tabanlı yapısı ve NP donanım hızlandırma desteği ile üstün performans.
SSL VPN Deprecated Mi Oldu?
Fortinet, FortiOS 7.4 sürümüyle birlikte SSL VPN'i resmi olarak deprecated (kullanım dışı bırakılacak) ilan etti. Bu, SSL VPN'in aniden ortadan kalkmayacağı ancak aktif olarak geliştirilmeyeceği anlamına gelir. Yeni kurulumlar için IPsec IKEv2 + FortiClient veya ZTNA geçişi planlanması önerilir.
Sonuç
İki protokolün de güçlü ve zayıf tarafları vardır. Kısa vadede SSL VPN çalışmaya devam edecek ancak uzun vadede IPsec VPN ve ZTNA'ya geçiş planlamak stratejik bir karardır. Lider Network olarak VPN tasarımı, migrasyon planlaması ve FortiClient EMS kurulumunda NSE sertifikalı mühendislerimizle destek sağlıyoruz.