FortiClient IPsec VPN bağlanırken internet kopuyor mu? Sorun VPN bağlantısı kurulduktan sonra değil, tam olarak IKE müzakeresi (negotiation) başladığı anda yaşanıyor. FortiClient bu süreçte tüm internet trafiğini geçici olarak kesiyor. Özellikle uzak masaüstü ile erişilen bilgisayarlarda bu anlık kesinti bağlantıyı tamamen düşürebilir.
FortiClient IPsec VPN Bağlanırken Internet Neden Kopuyor?
FortiClient IPsec VPN’e bağlanırken internet kopuyor şikayetinin arkasındaki temel neden şudur: FortiClient, IKE müzakeresi süresince IKE dışındaki tüm giden trafiği varsayılan olarak engeller. Bu bir hata değil, kasıtlı bir güvenlik özelliğidir. Mantık şu: tünel henüz kurulmadan dışarıya veri sızmasın.
Bu durum özellikle bilgisayara uzak masaüstü (RDP, TeamViewer vb.) üzerinden erişilirken VPN bağlantısı kurulmaya çalışıldığında bağlantının geçici olarak kopmasına neden olur.
FortiClient IPsec VPN Bağlanırken Internet Kopuyor: Çözüm
Müzakere sırasında IKE dışı trafiğe de izin vermek için FortiClient’ın XML yapılandırma dosyasında iki parametreyi değiştirmek gerekiyor: <implied_SPDO> ve <implied_SPDO_timeout>.
Not: FortiClient EMS (Endpoint Management Server) üzerinden yönetiliyorsa, bu XML değişikliği doğrudan EMS üzerinden merkezi olarak uygulanabilir. Aşağıdaki adımlar yalnızca yönetilmeyen/ücretsiz FortiClient için geçerlidir.
Adım Adım Çözüm
1. FortiClient Yapılandırmasını Yedekle
FortiClient arayüzünü açın. Ayarlar → Yedekle bölümünden mevcut yapılandırmayı bir dosyaya dışa aktarın. Yedek alırken belirlediğiniz şifreyi not edin; geri yükleme sırasında bu şifreye ihtiyacınız olacak.
2. XML Dosyasını Düzenle
Dışa aktarılan yapılandırma dosyasını Not Defteri veya bir metin editörü ile açın. Dial-up IPsec VPN bağlantınıza ait bölümü bulun ve aşağıdaki iki değeri güncelleyin:
<!-- Müzakere sırasında non-IKE trafiğine izin ver -->
<implied_SPDO>1</implied_SPDO>
<!-- İzin verilen süre (saniye cinsinden) -->
<implied_SPDO_timeout>60</implied_SPDO_timeout>Varsayılan değer 0 olan implied_SPDO‘yu 1 yaparak bu özelliği etkinleştirmiş olursunuz. implied_SPDO_timeout değeri ise bu geçici izin penceresinin ne kadar süre açık kalacağını belirler (saniye).
3. Yapılandırmayı Geri Yükle
Dosyayı kaydedin. FortiClient’a geri dönüp Geri Yükle butonu ile dosyayı içe aktarın. Eğer buton gri görünüyorsa, arayüzün sağ üst köşesindeki kilit ikonuna tıklayarak kilidi açın. Yedekleme sırasında oluşturduğunuz şifreyle işlemi tamamlayın.
Parametreler Hakkında
<implied_SPDO> — IPsec müzakeresi sırasında IKE dışı trafiğe geçici olarak izin verilip verilmeyeceğini kontrol eder. 0 = engellenmiş (varsayılan), 1 = etkin.
<implied_SPDO_timeout> — Geçici iznin kaç saniye süreceğini belirler. 60 saniye önerilir. Müzakere bu süre içinde tamamlanmazsa izin sona erer.
Parametrelerin tüm detayları için Fortinet’in resmi IKE Settings XML Referans Kılavuzu’na göz atabilirsiniz: https://docs.fortinet.com/document/forticlient/7.4.6/xml-reference-guide/96295
Gerçek Hayattan Senaryo: 2FA ve E-posta Kısır Döngüsü
Bu sorunun en çarpıcı örneklerinden biri, VPN bağlantısının 2FA (iki faktörlü doğrulama) ile korunduğu ve doğrulama kodunun e-posta ile gönderildiği senaryolardır. Kullanıcı şu kısır döngüye düşer: VPN’e bağlanmak için e-postasını açması, e-postasını açmak için ise internete erişmesi gerekir. Ancak FortiClient bağlanma anında interneti kestiği için kullanıcı ne VPN’e bağlanabilir ne de doğrulama koduna ulaşabilir. Sonuç: kullanıcı tamamen içeride kalır.
İşte tam bu noktada implied_SPDO parametresini etkinleştirmek sorunu çözer. Müzakere sırasında internet trafiğine geçici olarak izin verildiğinde kullanıcı e-postasına erişebilir, kodu girer ve VPN bağlantısı başarıyla kurulur.
Kaynak: Fortinet Community — Technical Tip: Internet connection drops while connecting to a dial-up IPsec VPN from FortiClient https://community.fortinet.com/t5/FortiGate/Technical-Tip-Internet-connection-drops-while-connecting-to-a/ta-p/311764
