Kurt Ahmet Erek

FortiGate’te Aynı Dış IP’ye Birden Fazla Port Açarken Alınan “Conflicts with the External IP of another VIP” Hatası

FortiGate üzerinde bir sunucuyu internete açarken, aynı dış IP adresi üzerinden birden fazla port yönlendirmeye çalışıldığında sıkça karşılaşılan hatalardan biri:

Conflicts with the External IP of another VIP

Bu yazıda bu hatanın neden oluştuğunu ve doğru çözüm yöntemini net bir şekilde ele alıyoruz.

Sorunun Kaynağı

FortiGate’te Virtual IP (VIP) nesneleri oluşturulurken:

  • Aynı WAN interface
  • Aynı External IP
  • Yanlış VIP tipi

kullanıldığında FortiGate bu IP’nin zaten başka bir VIP tarafından kullanıldığını varsayar ve çakışma hatası üretir.

Bu durum özellikle Port Forward aktif edilmeden oluşturulan VIP’lerde ortaya çıkar.

FortiGate açısından bakıldığında:

  • Port belirtilmemiş bir VIP, tüm portları kapsıyor kabul edilir
  • Bu nedenle aynı IP ile ikinci bir VIP oluşturulmasına izin verilmez

Yanlış Yapılandırma Örneği

  • External IP: WAN IP
  • VIP Type: Static NAT
  • Port Forward: Kapalı

Bu yapılandırma one-to-one NAT olarak değerlendirilir ve aynı IP ikinci kez kullanılamaz.

Doğru Çözüm: Port Forward Kullanımı

Aynı dış IP üzerinden birden fazla port açmanın tek doğru yolu, VIP üzerinde Port Forward özelliğini aktif etmektir.

Her port için ayrı VIP tanımlanabilir.

Örnek Senaryo

  • İç ağda bir web sunucusu bulunuyor
  • Sunucu IP adresi: Özel IP (örnek: 192.168.x.x)
  • Dışarıdan farklı portlar ile erişim isteniyor

Yapılması gerekenler:

  • Her VIP için Port Forward aktif edilmeli
  • External Service Port alanı doldurulmalı
  • Map to Port alanı iç servisin portu ile eşleştirilmeli

Bu şekilde FortiGate aynı dış IP’yi, farklı portlar bazında ayırt edebilir.

Alternatif Yöntem: Tek VIP ile Port Aralığı

Eğer:

  • Aynı sunucuya
  • Aynı port numaraları birebir olacak şekilde
  • Ardışık portlar yönlendirilecekse

tek bir VIP üzerinde port aralığı tanımlanabilir.

Örnek:

  • External Port Range: 5000–5001
  • Internal Port Range: 5000–5001

Ancak dış ve iç portlar birebir eşleşmiyorsa (örneğin dış 1234 → iç 80 gibi) bu yöntem kullanılamaz.

Sık Yapılan Hatalar

  • Port Forward kapalı bırakılarak VIP oluşturulması
  • External IP alanına WAN IP yazılıp port belirtilmemesi
  • Firewall Policy’de hedef olarak VIP yerine doğrudan LAN IP yazılması
  • VIP NAT yaparken Firewall Policy’de NAT’in açık bırakılması

Kontrol Edilmesi Gerekenler

  • VIP oluşturulurken Port Forward aktif mi?
  • External Service Port ve Map to Port alanları dolu mu?
  • Aynı IP’yi kullanan başka bir VIP var mı?
  • VIP doğru interface (WAN) üzerinde mi tanımlı?

Bu kontroller yapıldığında “Conflicts with the External IP of another VIP” hatası ortadan kalkacaktır.

Sonuç

FortiGate’te aynı dış IP üzerinden birden fazla servis yayınlamak mümkündür ancak bunun doğru yolu Port Forward kullanımıdır.
Port belirtilmeden yapılan VIP tanımları IP çakışmasına yol açar ve bu hata kaçınılmaz olur.

Doğru VIP tipi ve doğru port eşlemesi ile bu problem tamamen çözülür.

İstersen bir sonraki yazı için:

  • FortiGate publish güvenlik best practice’leri
  • WAN üzerinden 443 çakışma senaryoları
  • VIP + SSL inspection ilişkisi

gibi konulardan birini de birlikte hazırlayabiliriz.

Translate »