Git Product home page Git Product logo

docker-forticlient-vpn's Introduction


Kısaca Kullanımı

docker-compose up -d ile konteyner ayaklandırılır ancak çift yollu doğrulamada gelen eposta token değerini girmek için stdin_open: true, tty: true parametreleri daha sonra konteynere attach yapmak istediğimizde (docker attach forti) konsola TOKEN değerini yazabilmemizi sağlayacak.

version: "3.7"

    container_name: forti
      context: .
      dockerfile: Dockerfile
    image: cemt/docker-forticlient-vpn
    stdin_open: true # docker run -i
    tty: true        # docker run -t
      - VPNADDR=host-ip:port
      - VPNUSER=kullanici-adi
      - VPNPASS=kullanici-sifresi
    network_mode: "host"
    privileged: true



VPN Konteynerini kullanması için cgrafana isimli bir konteyner daha ayaklandırıyorum. VPN'nin arkasındaki bir IP adresine cgrafana makinasından gitmek istediğimizde (ping -c 1) hata alacağız:


Çünkü bu adrese gitmek için bir yönlendirme tanımlı değil (route -n) :


VPN yapan konteyner kendisine gelen istekleri yönlendirmek için iptables -t nat -A POSTROUTING -s "$iface" -j MASQUERADE komutunu çalıştırmış, gelen isteği -> SSL bağlantısına yönlendirip SSL bağlantısından gelen cevabı -> isteği yapana doğru yönlendiriyor:


Şimdi cgrafana konteynerinde şunu yapacağız:

VPN'nin arkasındaki IP adresine bir istek olduğunda VPN konteynerinin IP adresine yönlendirme

ip route add via


Kullanılan yansı auchandirect/forticlient eğer bulunamazsa ubuntu yansısına aşağıdaki forticlient-sslvpn paketini kurarak istediğiniz yansıyı oluşturabilirsiniz.


FROM ubuntu:xenial
RUN echo "deb [arch=amd64] xenial multiverse" > /etc/apt/sources.list.d/forti.list
RUN apt-get update
RUN apt-get install -y forticlient

Farklı linux sürümlerine kurulum için:

Konteyner içinde forticlient-sslvpn_amd64.deb paketinin kurulmuş ve betiğinin çalışmasıyla bağlantı kurar. İçinde:

  • Ortam değişkenlerinde şunların boş olmamasını ister: $VPNADDR, $VPNUSER, $VPNPASS"
  • Linux üstünde NAT yaparak: image
$ for iface in $(ip a | grep eth | grep inet | awk '{print $2}'); do iptables -t nat -A POSTROUTING -s "$iface" -j MASQUERADE; done
$ iptables -t nat -L

NAT ve IPTables'a Dair

Linux 2.2 öncesinde firewall rule editorü ipfwadm idi, sonra yerini ipchains'e ve daha da sonra iptables'a bıraktı. iptables sanılanın aksine uygulama katmanında değil, network ve transport katmanlarında çalışan kernel seviyesindeki yazılımdır. Belirli bir süre geçerli olacak kurallar tanımlamaya izin veren adında bir time modülü vardır.


  1. Hafta içi mesai saatleri arasında adresine erişimi engelleyen kural:
$ iptables -i output -m time --timestart 09:00 --timestop 17:00 --days mon,tue,wed,thu,fri -d -j reject
  1. server.php adresine giden trafiği engeller (düşürür). ekşi-iptables
$ iptables -i input -m string --algo bm --string 'server.php' -j drop

Peki NAT nedir ve iptables ile ilişkisini nasıl kurabiliriz?

nat (network address translation) ileride(ipv6 düşünülmeden önce) oluşabilecek potansiyel ip sıkıntısı düşünülerek geliştirilmiştir. bir network içerisinde bilinen bir ip adresinin başka bir network tarafından erişilebilmesine yarar. biri içeride, biri dışarıda iki network ü bağlamak amaçlanmıştır. tipik ofis, internet cafe internet bağlantılarında kullanılır. dışarı veya içeri yönde her request tanımlanmış, önceden bekleniyor, bir öncekine cevap yada tekrar niteliğinde olması beklenir. ip sıkıntısı yada maliyet nedeni ile tercih edilir.ekşi-nat

temel olarak, bir public ip adresi ile, birden çok private ip adresinin internete erişimini sağlar. çünkü yerel ağlarda* kullanılan private ip adresleri, internette kullanılamaz.

nat ve port-forwarding kavramını anlamak için telefon santralini örnek alalım. Şirketlerde kurulu olan, aradığınızda "lütfen dahili numarayı çeviriniz veya operatöre bağlanmak için bekleyiniz" karşılamasının sorumlusu olan sistemleri düşünelim. Karel'in MS26 santralinin şirketinizde kullanılıyor olduğunu düşünün.

2 dış hat ve 6 dahili kullanıcıya ek olarak 4 IP dış hat ve 24 IP abone kapasitesine ulaşabilen telefon santralları 1 Dış hattın (PSTN) bağlı ve telefon numarasını 0212 216 12 16 olsun. Santralinize bağlı 6 dahili hattınız takılı olduğunda gelen arama dahili hatlardan birini tuşlayarak içerideki dahiliye ulaşsın. ekşi-nat

Devam edelim... Sadece kullanıcı adı ve şifresiyle doğrulama yapıyorsanız ortam değişkenleriyle bilgileri verebilir. Konteyner başlar başlamaz otomatik olarak bağlantı kurulacaktır.

Eğer iki etkili doğrulama (kullanıcı adı ve şifresinden sonra bir de ileti veya SMS ile gelen kodu) kullanıyorsanız bu kez bağlantı kuramayacağınız için konteynere konsolunuzu bağlayarak aşağıdaki komutu elle çalıştırarak bağlantı kurabilirsiniz.

$ cd /usr/share/forticlient/opt/forticlient-sslvpn/64bit/
$ ./forticlientsslvpn_cli --server --vpnuser cem.topkaya
.... şifrenizi soracaktır,
.... sonrasında gelecek kodunuzu gireceğiniz satırda bekleyecek,
.... kodu girdikten sonra bağlantınız kurulacaktır.

Önce bridge türünde bir ağ oluşturacağız (sanal ağ türleri için ip-link kılavuzuna bkz).


Bu ağda; hem VPN bağlantısını kuracağınız konteyner hem de bu konteyner üstünden VPN ağına erişmek istediğiniz konteynerler olacaktır.

# bir ağ yaratalım ki buradaki konteynerler VPN bağlantılı konteyneri GATEWAY olarak alıp VPN ağına çıkabilsinler
$ docker network create    \
  --driver=bridge          \
  --subnet=   \ # olacak şekilde alt ağ maskesi ayarlıyoruz 
  --ip-range= \ # arasında IP dağıtacağız
  --gateway=   \ # Kapımız ...254 IP adresinden olacak
  fortinet                   # Ağın adı fortinet olsun

Alt ağı 16 olarak ayarladığımızda nasıl bir ağa erişebildiğimizi görebiliriz. image

Şimdi oluşturduğumuz fortinet ağına bir bakalım:

C:\>docker inspect fortinet
        "Name": "fortinet",
        "Id": "2b48262c094a045012372af63d3008ba8c409d839af9754c587e0accad30f857",
        "Created": "2021-12-11T20:20:41.7355242Z",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": {},
            "Config": [
                    "Subnet": "",
                    "IPRange": "",
                    "Gateway": ""
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        "ConfigOnly": false,
        "Containers": {},
        "Options": {},
        "Labels": {}


Şimdi VPN bağlantısı kurmak istediğimiz docker konteynerini başlatalım:

$ docker run                         \
     -it                             \ # şifre veya bir cevap vermemiz için interactive terminal yapıyoruz
     --rm                            \ # konteynerden çıkıldığında otomatik silinsin
     --privileged                    \ # root yetkisinde konteyner başlatılsın
     --net fortinet                  \ # az önce oluşturduğumuz network'e bağlansın ki, diğer konteynerleri buraya bağlayıp üstünden çıksınlar
     --ip                 \ # konteynerin IP'sini sabitleyelim ki routingi bu IP üstünden yapalım
     -e VPNADDR=  \ # VPN sunucusunun IP adresi ve port bilgisi
     -e VPNUSER=cem.topkaya          \ # VPN kullanıcı adı
     -e VPNPASS=kullaniciSifresi     \
     --mac-address=E8-6A-64-BE-F8-47 \ # konteyner MAC adresini bilgisayarın MAC'i ile aynı yapalım ki doğrulansın

Windows konsolda tek satırda çalıştırmak için:

$ docker run --name=vpn -it --rm --privileged --net=fortinet --ip= -e VPNADDR= -e VPNUSER=cem.topkaya -e VPNPASS=sifre --mac-address=22-11-FF-CC-BB-AA  auchandirect/forticlient
$ docker exec -it --user root vpn bash 
$ echo 1 > /proc/sys/net/ipv4/ip_forward
$ iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
$ iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$ iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Kontrol etmek için:

$ iptables -L
$ iptables -S

Oluşan IP tablosunu ihraç ve ithal etmek için:

$ iptables-save > ~/ruleset-v4
$ iptables-restore < ~/ruleset-v4

Şimdi Grafana'yı konteyner içinde çalıştırıp VPN ağındaki bir sunucuya erişmek isteyelim. Önce Grafana konteynerinin docker-compose dosyası:

# docker-compose -f "docker-compose.yaml" up -d --build grafana 
# docker-compose -f "docker-compose.yaml" down
version: '3'

# Bu dosyanın dışında oluşturulduğu için 'external: true' olarak işaretleniyor.
    external: true
    name: fortinet

    # fortinet ağına dahil olacak ki VPN ağına erişebilsin
      - fortinet
    container_name: cgrafana
    image: grafana/grafana
    privileged: true 
      - GF_INSTALL_PLUGINS=grafana-clock-panel,grafana-simple-json-datasource
      - "./grafana/datasources.yml:/etc/grafana/provisioning/datasources/datasources.yml"
    - 3000:3000


apiVersion: 1
  - name: prometheus-ulak
    type: prometheus
    access: proxy
    orgId: 1
    version: 1
    editable: true

Grafana'yı ayaklandırıp VPN ağındaki makinaya erişebilmesi için ip routing ayarını yapacağız:

$ docker-compose  -f "docker-compose.yaml" up -d --build grafana 
docker exec -it --user root cgrafana route add -net gw


The container uses the forticlientsslvpn_cli linux binary to manage ppp interface

All of the container traffic is routed through the VPN, so you can in turn route host traffic through the container to access remote subnets.


# Create a docker network, to be able to control addresses
$ docker network create --subnet= fortinet

# Start the priviledged docker container with a static ip
$ docker run -it --rm \
  --privileged \
  --net fortinet --ip \
  -e VPNADDR=host:port \
  -e VPNUSER=me@domain \
  -e VPNPASS=secret \

# Add route for you remote subnet (ex.
$ ip route add via

# Access remote host from the subnet
$ ssh


UPDATE: 2017/06/10
Docker's microkernel still lacks ppp interface support, so you'll need to use a docker-machine VM.
# Create a docker-machine and configure shell to use it
docker-machine create fortinet --driver virtualbox
eval $(docker-machine env fortinet)

# Start the priviledged docker container on its host network
docker run -it --rm \
  --privileged --net host \
  -e VPNADDR=host:port \
  -e VPNUSER=me@domain \
  -e VPNPASS=secret \

# Add route for you remote subnet (ex.
sudo route add -net $(docker-machine ip fortinet)

# Access remote host from the subnet


If you don't want to use a docker network, you can find out the container ip once it is started with:

# Find out the container IP
docker inspect --format '{{ .NetworkSettings.IPAddress }}' <container>

Precompiled binaries

Thanks to for hosting up to date precompiled binaries which are used in this Dockerfile.

docker-forticlient-vpn's People


cemtopkaya avatar csymulak avatar enoxime avatar godric avatar godric7 avatar ruippeixotog avatar virtualbeck avatar

Recommend Projects

  • React photo React

    A declarative, efficient, and flexible JavaScript library for building user interfaces.

  • Vue.js photo Vue.js

    🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.

  • Typescript photo Typescript

    TypeScript is a superset of JavaScript that compiles to clean JavaScript output.

  • TensorFlow photo TensorFlow

    An Open Source Machine Learning Framework for Everyone

  • Django photo Django

    The Web framework for perfectionists with deadlines.

  • D3 photo D3

    Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

  • javascript

    JavaScript (JS) is a lightweight interpreted programming language with first-class functions.

  • web

    Some thing interesting about web. New door for the world.

  • server

    A server is a program made to process requests and deliver data to clients.

  • Machine learning

    Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.

  • Game

    Some thing interesting about game, make everyone happy.

Recommend Org

  • Facebook photo Facebook

    We are working to build community through open source technology. NB: members must have two-factor auth.

  • Microsoft photo Microsoft

    Open source projects and samples from Microsoft.

  • Google photo Google

    Google ❤️ Open Source for everyone.

  • D3 photo D3

    Data-Driven Documents codes.