FortiClient:FAQ
FortiClient:FAQ
Vorwort
Diese FAQ's sind für Fortinet Systeme basierend auf OS 4 MR3 sowie 5.0/5.2. Zu Test-Zwecken stand eine Fortigate 60C/D zur Verfügung!
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
Dokumentation
<! --
Dokumente FortiClient Version 5.4
| FortiClient Windows Release Notes |
|---|
| FortiClient macOS Release Notes |
| FortiClient Upgrade Pfad |
| FortiClient Admin Guide |
| FortiClient Android |
| FortiClient Windows App |
| FortiClient IOS |
Dokumente FortiClient Version 5.6
| FortiClient Windows Release Notes |
|---|
|
| FortiClient macOS Release Notes |
| FortiClient Upgrade Pfad |
| FortiClient Admin Guide |
| FortiClient Configurator Tool |
| FortiClient Rebranding Tool |
| FortiClient Compliance Guide |
| FortiClient Windows App |
Dokumente FortiClient Version 6.0
| FortiClient 6.0 Windows Release Notes |
|---|
| FortiClient 6.0 Linux Release Notes |
| FortiClient 6.0 macOS Release Notes |
| FortiClient Upgrade Pfad |
| FortiClient Admin Guide 6.0 |
| FortiClient IOS User Guide 6.0 |
| FortiClient Configurator Tool |
| FortiClient Rebranding Tool |
| FortiClient Compliance Guide |
Dokumente FortiClient Version 7.0
| FortiClient 7.0 Windows Release Notes |
|---|
| FortiClient 7.0 Linux Release Notes |
| FortiClient 7.0 macOS Release Notes |
| FortiClient Upgrade Pfad |
| FortiClient Admin Guide 7.0 |
| FortiClient EMS Admin Guide 7.0 |
| FortiClient IOS User Guide 7.0 |
| FortiClient Configurator Tool |
| FortiClient Rebranding Tool |
| FortiClient Compliance Guide |
FortiClient 5.4
Kann ich unter FortiOS 5.4 einen FortiClient 4 MR3 und/oder 5.0/5.2 im "VPN-Only" Mode benutzen?
Unter FortiOS 5.4 kann generell kein FortiClient 4 MR3 sowie 5.0 eingesetzt werden dh. auf diesen Umstand wird in den entsprechenden Dokumenten hingewiesen:
FortiOS 5.2 would support FortiClient 5.0 (only if the FortiGate upgraded to FortiOS 5.2), however FortiOS 5.4
will no longer support FortiClient 5.0 and earlier.
Somit wenn FortiOS 5.4 eingesetzt wird muss der FortiClient mindestens 5.2.5 und höher oder FortiClient 5.4 eingesetzt werden. Die Erstellung eines FortiClient 5.4 im "VPN-Only" Mode gestaltet sich identisch wie unter FortiClient 5.2. Weitere Informationen zum "VPN-Only" Mode siehe nachfolgneden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F
Kann ich unter FortiOS 5.4 einen FortiClient 4 MR3 und/oder 5.0/5.2 im "VPN-Only" Mode benutzen?
Unter FortiOS 5.4 kann generell kein FortiClient 4 MR3 sowie 5.0 eingesetzt werden dh. auf diesen Umstand wird in den entsprechenden Dokumenten hingewiesen:
FortiOS 5.2 would support FortiClient 5.0 (only if the FortiGate upgraded to FortiOS 5.2), however FortiOS 5.4
will no longer support FortiClient 5.0 and earlier.
Somit wenn FortiOS 5.4 eingesetzt wird muss der FortiClient 5.2 oder FortiClient 5.4 eingesetzt werden. Die Erstellung eines FortiClient 5.4 im "VPN-Only" Mode gestaltet sich identisch wie unter FortiClient 5.2. Weitere Informationen zum "VPN-Only" Mode siehe nachfolgneden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F
Wie wird ein Client2Site IPSec VPN unter FortiOS 5.4 konfiguriert für FortiClient, iOS und Android?
Unter FortiOS 5.4.x werden Client2Site IPSec VPN durch einen "VPN Wizard's" konfiguriert. Über diesen "VPN Wizard" kann man anhand von Templates die Art der Verbindung (iOS, Android usw) wählen. In unserem Beispiel gehen wir von der folgenden Situation aus:
____________ _________________________
193.193.135.66/29| | 192.168.1.99 | |
----- WAN 1 -----| Fortigate |------ LAN -----| LAN Env. 192.168.1.0/24 |
|____________| |_________________________|
User erstellen
User & Device > User Definition > +Create New
Gruppe erstellen und User's hinzufügen
User & Device > User Groups > +Create New
IP-Pool Adressobjekt erstellen
NOTE Der Wizard erzeugt das IP-Pool Objekt automatisch.
Dieses Objekt kann man danach unter folgender Position finden:
Policy & Objects > Adresses > [Name der Phase-1/2_range]
Adressobjekt für Internal/LAN erstellen
Policy & Objects > Adresses > +Create New
Phase-1/2 FortiClient Windows erstellen
VPN > IPSec Tunnels > +Create New
NOTE Die Meldung unter Name die in unserem Fall erscheint "10000 concurrent user(s)...." steht in Zusammenhang
mit der Art und Weise wie im Hintergrund jeder Tunnel in der Phase-1/2 abgebildet wird.
weitere Informationen dazu findet man im nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F
NOTE Im normal Fall ist der Punkt "Split Tunneling" zu definieren. Wenn "Split Tunneling" nicht aktiviert ist,
wird bei einer erfolgreichen IPSec Verbindung sämtlicher Traffic durch den IPSec Tunnel geroutet.
Weitere Informationen finden sich im Artikel:
FortiClient:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F
Incoming Policy erstellen
Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Rule]
NOTE Durch den Gebrauch des Wizards resp. des Template's im Hintergrund, wird eine Firewall Policy
automatisch konfiguriert. Diese sollte modifiziert und kontrolliert werden.
Die Policy sollte an die richtige Stelle im Rulezset verschoben werden.
NOTE In der Firewall Policy wir die Position "NAT" (Source NAT) aktiviert auf "Use Destination Interface Address". Dies
sollte deaktiviert werden. Die Position "NAT" wird durch den Wizard resp. das Template aktiviert aus folgenden Grund:
Der IP-Pool der definiert wird in der Phase-1 muss (wenn NAT deaktiviert ist) im internen Netz geroutet werden. Ist dies
nicht der Fall, kommt zwar die Verbindung zu stande, jedoch der FortiClient kann keine Resource angehen, da dieser IP-Pool
(DHCP) -aus dem der FortiClient eine Adresse bezieht- nicht im Internal/LAN geroutet ist. Wird "NAT" aktiviert wird
"sämtlicher" Traffic betreffend Source des FortiClientj's translated auf die IP des Internen Interface's (unser Beispiel
die Destination). Somit kann der einzelne FortiClient mit der ihm zugewiesene IP nicht mehr einzel identifiziert werden,
da alle FortiClient's als Source die gleiche IP ausweisen.
Outgoing Policy erstellen
Policy & Objects > Policy > IPv4 > Create New
NOTE Diese Firewall Policy Rule für Outgoing ist "optional". Dies bedeutet: Diese Firewall Policy Rule wird Hauptsächlich benutzt
um Support auf dem FortiClient zu leisten. Dies bedeutet: Ist die IP des FortiClient -die dem FortiClient über den definierten
IP-Pool zugewiesen wurde- kann anhand dieser Outgoing Firewall Policy auf den FortiClient zB über RDP zugegriffen werden!
Die Konfiguration ist abgeschlossen! Nun muss nur noch der entsprechende FortiClient installiert werden. Dieser sollte als "VPN-Only" installiert werden. In dieser Installation enthält diese Installation "nur" VPN Funktionalität dh. IPSec und/oder SSL-VPN. Weitere Informationen über "VPN-Only" Installation sowie "SSL-VPN" siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_ein_SSL-VPN_f.C3.BCr_Portal.2FTunnel_Mode_auf_einer_FortiGate_konfigurieren.3F
Wenn IPSec auf iOS/Android eingesetzt werden möchte siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_IPhone_und_Android_einen_SSL_VPN_Client.3F
Die IPSec VPN Verbindung eines FortiClient basiert ebenfalls IKE Phase-1/2. Aus diesem Grund kann bei Problemen der gleiche Debug Mode benutzt werden wie für eine IPSec Tunnel:
FortiGate-5.4:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_IPSec_VPN_Verbindung_ein_Troubleshooting_.28Debug.29_durchf.C3.BChren.3F
Wenn der FortiClient nach erfolgreicher Anmeldung bestimmte Resourcen nicht erreichen kann ist es Sinnvoll diese Probleme anhand des Sniffer's zu überprüfen. Weitere Informationen zum "Sniffer" Mode siehe nachfolgenden Artikel:
FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_einen_Fortigate_Device_einen_Sniffer_Port_konfigurieren.3F
FortiClient 5.6
Wie muss ein FortiClient konfiguriert werden, damit ein VPN auf einem Windows Client vor dem Login gestartet werden kann?
In bestimmten Fällen kann es notwendig sein dass eine VPN Connection bereits gestartet wird, bevor am Windows ein Benutzer angemeldet wird. Damit kann eine Situation hergestellt werden, ähnlich wie mit einem DirectAccess Zugriff von Microsoft - jedoch auch auf IPv4 Ebene, und nicht wie DirectAccess nur mit IPv6. Damit dieses Szenario funktioniert, benötigt es einiges an Vorbereitung. Das folgende Szenario wurde mit folgender Konfiguration erstellt:
- Fortigate 50E mit FortiOS 6.0 (GA Release)
- Notebook mit Windows 10 (Build 1709)
Eine Pre-Login VPN-Verbindung kann entweder mit einer SSL oder auch mit einer IPSec Verbindung etabliert werden. Die Konfiguration auf der Firewall unterscheidet sich nicht von einer gewöhnlichen Client2Side VPN Konfiguration mit SSL oder IPSec. Soll die Pre-Login-VPN-Verbindung via SSL etabliert werden, so müssen auf der Fortigate folgende zwei Haken aktiviert werden.
Auf dem Windows 10 Client muss als Erstes ein Forticlient installiert werden. Hierbei kann es sich entweder um einen FullClient handeln, der auf https://forticlient.com heruntergeladen werden kann, oder auch um ein angepasstes VPN-Only Setup mittels FortiClientConfigurator.
Nach der Installation, wird auf dem FortiClient die entsprechende Konfiguration unter Remote Zugriff > klick aufs Zahnrad > Add new Connection angelegt und gespeichert, so dass diese wie in folgender Abbildung angewählt werden kann:
Sobald die Verbindung erstellt wurde, kann diese testweise aktiviert und getestet werden, so dass sichergestellt werden kann, dass eine Verbindung im normalen Modus (nach dem Login) möglich ist.
Damit nun eine Pre-Login-VPN-Verbindung möglich ist, muss auf dem Client noch mittels Gruppenrichtlinie erzwungen werden, dass sich dieser mittels der Tastenkombination Ctrl+Alt+Delete anmelden muss. Dies geschieht über die lokalen Gruppenrichtlinien (gpedit.msc) und dann via Computerconfiguration > Windows Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Interaktive Anmeldung: Kein STRG+ALT+DEL erforderlich:
Nun kann im FortiClient unter dem Menü Datei > Einstellungen > VPN Optionen die Option Das VPN vor dem Login starten eingeschaltet werden. Das Menü für die Datei zeigt der FortiClient nur an, wenn sich auf dem Clientrechner ein Benutzer mit administrativen Berechtigungen angemeldet hat.
Um diese Einstellung nun zu testen, muss sich der aktuell angemeldete Benutzer vom Clientrechner abmelden. Bei der Anmeldemaske, welche via Ctrl+Alt+Del erreicht werden kann, gibt es nun ein Feld Anmeldeoptionen. Wird dieses Feld angewählt, so erscheinen zwei zusätzliche Icons. Wird nun das Fortinet Schild gewählt, so kann der Benutzer einen Tunnel wählen, der aufgebaut werden soll, bevor sich der Windows Benutzer angemeldet hat. Über der Tunnelselektion wird wie gewöhnlich das Windows-Passwort abgefragt, und unter dem Tunnelselektor hat der Benutzer die Möglichkeit die Credentials für das VPN anzugeben.
Werden diese Felder wie erwartet ausgefüllt, und anschliessend auf den Pfeil nach Rechts beim Windowspasswort bestätigt, so wird erst der Tunnel gestartet, und anschliessend der Windows Benutzer angemeldet.
FortiClient Version 6.0
Wie wird eine FortiClient Lizenz auf einem FortiGate Cluster eingespielt?
Im Folgenden Artikel von Fortinet wird die Prozedur beschrieben:
https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-high-availability/HA_operatingFortiClient.htm
FortiClient Version 6.2
Was wird beim FortiClient Version 6.2 alles angepasst?
- Kleinere Pakete verfügbar (25er Stückelungen)
- 30 Tage Test-Version verfügbar (bis max. 10 Clients)
- während 3 Tagen kann der Service bereits schon genutzt werden (FortiClient Configurator), jedoch muss die Registration dann abgeschlossen werden (neu nur noch im EMS enthalten)
Es gibt neu drei FortiClient Optionen:
- Gratis-Version (online zum Download - exkl. Auto-Connect Funktion; exkl. Support)
- FortiClient mit Sandbox Cloud (mit Deep Inspection & Zero-Day Attacken-Erkennung) - Real-Time
- FortiClient ohne Sandbox
Gut zu wissen: EMS ist zwingend, respektive automatisch integriert im neuen FortiClient (ab 6.2)
Mehr Informationen: Welche Varianten des FortiClients 6.2 gibt es?
Welche Security Features werden im FortiClient 6.2 von welchem Betriebssystem unterstützt?
Auf der folgenden Tabelle kann entnommen werden, welche Sicherheitsfeature von welchem Betriebssystem unterstützt werden:
|
Der FortiClient 6.2.0 unterstützt Windows XP und Windows Vista NICHT! |
Beschreibung der Security Features im FortiClient:
Anti-malware
Anti-Malware nutzt FortiGuard Content Pattern Recognition Language (CPRL), Machine Learning und KI, um das Endgerät vor Malware zu schützen. Das musterbasierte CPRL ist sehr effektiv bei der Erkennung und Blockierung verschiedenster Malware. Es blockiert auch Angriffskanäle und infizierte Websites.
Anti-exploit
Schützt vor fortgeschrittenen Bedrohungen, die Zero-Day- und nicht gepatchte Schwachstellen ausnutzen. Diese signaturlose und verhaltensbasierte Technologie erkennt und blockiert Angriffe auf den Speicher / Overload. Es schützt Webbrowser, Java-/Flash-Plug-Ins, Office-Anwendungen, PDF-Leser, Dateiablagen auf Servern und Skriptinterpreter vor Angriffen auf Exploits.
Web filtering
Basierend auf der FortiGuard-Forschung überwacht die Webfilterfunktion alle Aktivitäten des Webbrowsers, um die Websicherheit und akzeptable Nutzungsrichtlinien mit über 75 Kategorien umzusetzen. Es funktioniert auf allen unterstützten Betriebssystemen und arbeitet mit Google SafeSearch. Administratoren können Black/White-Listen, On-/Off-Net-Richtlinien und FortiGate-Webfilterrichtlinien für eine einheitliche Umsetzung definieren.
Application firewall
Bietet die Möglichkeit, den Datenverkehr von Anwendungen kategorie basiert zu überwachen, zuzulassen oder zu blockieren. Es werden die gleichen Kategorien wie bei FortiGate verwendet und ermöglicht so eine einheitliche Steuerung des Anwendungsverkehrs. Es nutzt FortiGuard Anti-Botnet-, IPS- und Application Control Intelligence und kann die Verwendung unerwünschter Anwendungen wie Proxy-Anwendungen und HTTPS-Messaging-Anwendungen verhindern.
VPN
Sicherer VPN-Aufbau dank SSL- und IPSec VPN-Verbindung -> Sorgenfreier Verbindungs-Aufbau zum Firmen-Netzwerk möglich. Um die Sicherheit zusätzlich noch zu erhöhen kann die 2faktoren Authentifizierung aktiviert werden.
Welche Varianten des FortiClients 6.2 gibt es?
Den FortiClient Version 6.2 gibt es in diesen Varianten:
- FortiClient VPN (Gratis)
- Fabric Agent with Endpoint Protection (Kostenpflichtig)
- Fabric Agent with Endpoint Protection and Cloud Sandbox (Kostenpflichtig)
Free VPN FortiClient Lite
Es gibt einen reinen VPN-Installer für Windows und MacOS. Es ist auch möglich einen VPN only FortiClient Installer über den EMS Server zu erstellen. Es wird eine kostenlose Version des FortiClient für VPN zu Verfügung gestellt. Diese Version unterstützt die Grundlegenden IPsec und SSL-VPN Funktionen. Es ist keine Registrierung mit diesem Client beim EMS Server notwendig. Diese VPN-Client Only Version enthält keine Zentrale Verwaltung. (Es muss jeder Client Einzel konfiguriert werden). Er unterstütz keine erweiterten Funktionen und enthält kein Anrecht auf technischen Support Seitens Fortinet. Der Kostenlose VPN-Client kann im FNDN (https://fndn.fortinet.net) oder auf https://forticlient.com heruntergeladen werden. Um den gratis Client das erste mal zu nutzen wird ein Disclaimer mit dem Haftungsausschluss angezeigt, welcher akzeptiert werden muss. Erst danach kann man den Client konfigurieren.
Dieser Client braucht keine spezielle Lizenz!
Features Free VPN FortiClient Lite:
Unterstützte Features:
- Basic VPN Funktionalität (Zertifikat und Split Tunnel)
nicht Unterstütze Features:
- TAC Support
- IKEv2 Support
- VPN auto-connect/Always-up
- on-net/off-net
- Host check Features
- Zentrales Management
--> Siehe auch : KB-Artikel Fortinet
Fabric Agent mit Endpoint Protection und Cloud Sandbox
Bei dieser Client Variante gibt es zwei Lizenzierungsmöglichkeiten:
- FortiClient mit Sandbox Cloud (mit Deep Inspection & Zero-Day Attacken-Erkennung) - Real-Time (SKU FC1-15-EMS01-298-02-DD)
- FortiClient ohne Sandbox (SKU FC1-15-EMS01-297-02-DD)
Nice to know: EMS ist zwingend, respektive automatisch integriert im neuen FortiClient ab Version 6.2.
FortiClient
Welche Versionen von FortiClient gibt es und wie unterscheiden sich diese?
Der Forticlient ist die Software basierende Lösung von Fortinet für Client2Site VPN sei es IPSec und/oder SSL. Dabei unterscheiden wir in den verschiedenen Versionen verschiedenen Varianten auch für die Lizensierung:
FortiOS V5.4
Grundsätzlich kann jede Variante des FortiCLient "free of charge" eingesetzt werden. Auch in der Version 5.4 umfasst die Limitierung
die zusätzlicen Features sowie die Anzahl des FortiClient dh. zB Antivirus, IPS etc. Die Möglichkeit des FortiClient Endpoint Security
über die FortiGate zu verwalten ist unter FortiOS 5.4.1 komplett entfernt worden. Dies Funktion dh. zur Verwaltung des FortiClient
steht neu über das Produkt FortiEMS zur Verfügung. Möchte man den FortiClient Endpoint Security Version 5.4 als VPN-Only einsetzen,
ist diese Variante über eine FortiGate nach wie vor "free of charge". Möchte man den FortiClient Endpoint Security mit zusätzlichen
Features ohne FortiEMS betreiben, ist eine Device Abhängige Anzahl User nach wievor "free of charge" (zB bis 100E/D 10 User) jedoch
ohne Möglichkeit diese Zentral zu verwalten. Möchte man den FortiClient Endpoint Security mit oder ohne zusätzliche Features betreiben,
muss der FortiClient EMS eingesetzt werden. Auch hier ist eine Device Abhängige Anzahl User nach wievor "free of charge" (zB bis 100E/D
10 User). Wird diese Device Abhängige User Anzahl überschritten benötigt man eine Device Abhängige Lizenz die "perpertual" ist dh.
jährlich Erneuert werden muss. Eine FortiClient Endpoint Security Lizenz basierend auf 5.2 kann nicht umgewandelt werden auf 5.4 dh.
damit diese auf dem FortiClient EMS Server eingesetzt werden kann. Eine Lizenz für "Endpoint Compliance and Telemetry" basierend auf
FortiOS 5.4 kann nicht unter FortiOS 5.2 eigensetzt werden.
Datei:FortiClient 5.4 FAQ.pdf
Datei:FortiClient 5.4 FAQ EndPointSolution.pdf
Datei:FortiClient EMS License Partners Customers.pdf
Gibt es eine Übersicht wie der FortiClient zu anderen Fortinet Komponenten kompatibel ist?
In der folgenden Tabelle kann entnommen werden, wie der FortiClient für Windows und der FortiClient für macOS mit den Komponenten FortiClient EMS, FortiOS, FortiAnalyzer, FortiManager und FortiSandbox kompatibel ist:
* Die FortiClient 6.2, 6.4 und 7.0 Versionen können sich über IPsec oder SSL-VPN mit dem FortiOS 6.0 bis 6.4 verbinden.
FortiClient Version 7.0+ können sich nicht mehr direkt mit FortiOS 6.4 für Telemetrie verbinden. Die Telemetrie wird nun über den EMS-Server gesendet.
** FortiClient Versionen ab 6.2.0 unterstützt die FortiAnalyzer 6.0.0+ oder FortiManager6.0.0+ nicht.
FortiSandbox-Versionen vor 2.5.0 bieten keine FortiClient-Autorisierung. Bei FortiSandbox 2.4.0+ muss die FortiClient-Autorisierung möglicherweise deaktiviert werden.
Detaillierte Informationen finden sich in den Release Notes.
In der folgenden Tabelle kann entnommen werden wie der FortiClient für Linux mit FortiClient EMS, dem FortiOS und der FortiSandbos kompatibel ist:
Quelle: https://docs.fortinet.com/document/forticlient/7.0.0/ems-compatibility-chart
Welche Standard Open Ports benützt ein FortiClient für dessen Komunikation?
Nachfolgendes Diagramm zeigt welche Standard Ports ein FortiClient für dessen Komunikation benützt im Zusammenhang mit einem FortiGate Device, FortiManager usw. Dabei ist folgendes zur berücksichtigen: Dieses Diagramm zeigt die Open Ports für einen FortiClient Endpoint Security der lizensiert werden muss dh. Ein FortiClient Endpoint Security im VPN-Only Mode benutzt diese Open Ports nicht. Ausgehend davon, dass die FortiClient Endpoint Security "autoupdate" Funktion deaktiviert wurde sowie SSL-VPN und IPSec benutzt wird, benützt ein FortiClient Endpoint Security im VPN-Only Mode UDP IKE 500 sowie der SSL-VPN TCP Port 10443 (Standard):
Weitere Auskunft über Open Ports gibt nachfolgendes Dokument von Fortinet:
Datei:Fortigate-Open-Ports-54.pdf
Wo kann ich den SSL-VPN 5.4 FortiClient für Linux herunterladen?
Offiziell ist der der SSL-VPN Client für Linux nicht mehr herunterladbar. Er ist in diesem Sinne auch nicht mehr supportet. Dennoch kann man der Client noch im FNDN heruntergeladen werden:
https://fndn.fortinet.net/ den Reiter Tool anwählen und dann findet man den Client unter
Wir übernehmen keine Garantie, dass dieser Client ordnungsgemäss funktioniert:
Datei:FortiClient-SSL-VPN-Linux 4.4 2336.tar.gz
Unter FortiOS 5.2 kann für eine Client2Site IPSec VPN Verbindung keine "static route" im Web Mgmt. konfiguieren werden?
Unter FortiOS 5.0.x ist die Konfiguration einer Client2Site VPN Verbindung sei es für Windows, IOS, Android in 3 Schritten zu vollziehen dh.:
Schritt 1: Erstelle eine Phase 1 sowie 2 manuell oder anhand des "Client Wizards"
Schritt 2: Erstelle für den IP Pool Range eine statische Route und definiere für diesen das IPSec Interface Name Phase 1
Schritt 3: Anhand des IPSec Interface Name Phase 1 erstelle die nötigen Firewall Policy
Wenn nun unter FortiOS 5.2 eine Client2Site IPSec VPN basierende Verbindung manuell und/oder über ein Template erstellt wird und man nachträglich eine statische Route für den "IP Pool Range" erstellen möchte, fällt einem auf das dies nicht mehr möglich ist. Der Grund dafür ist, dass das entsprechende IPSec Interface mit dem Namen der Phase 1 nicht mehr über Web Mgmt. Interface ausgewählt werden kann. Wenn man sich das auf CLI anschaut wird man feststellen, dass das/die IPSec Interface/s unter dem Kommando "set device" nicht mehr erscheinen. Dies bedeutet: diese können nicht mehr für ein Dial-up (Client2Site) unter FortiOS 5.2.x innerhalb einer statischen Routing Eintrags konfiguriert werden:
# config router static
# edit 1
# det dst [IP Pool Range mit Subnet]
# set device [Interface der IPsec VPN Verbindung Phase 1]
# end
Nun die Route für einen statischen Routing Eintrag ist unter FortiOS 5.2 überflüssig da unter 5.2 sobald eine Phase 1 erstellt wird mit der entsprechenden "IP Pool Range" Definition im Hintergrund für den VPN Deamon ein "automatischer" Eintrag erstellt wird. Diese "automatische" Routing Einträge sind über den Routing Monitor nicht mehr ersichtlich da diese nicht im Layer 3 existieren (Routing Monitor) sondern im Layer 4 innerhalb des VPN Deamons. Um den Routing Eintrag innerhalb des VPN Deamons zu kontrollieren kann folgender Befehl durchgeführt werden:
# diagnose vpn ike routes list
Das vorhergehende Kommando "diagnose vpn ike routes list" zeigt nur Routing Einträge im VPN Deamon für Dial-up VPN's (Client2Site) und nicht für "Site2Site" VPN's. Ebenfalls werden die entsprechenden Routing Einträge für Dial-up nur dann angezeigt wenn eine aktive Verbindung eines Dial-up existiert. Dies bedeutet: Ist im Moment der Ueberprüfung kein Client verbunden werden diese Routing Einträge die über "diagnose vpn ike routes list" angezeigt werden sollte nicht angezeigt.
Um welche Version des FortiClient handelt es sich wenn ich diesen über das Mgmt. Web Interface der FortiGate runterlade?
Wenn man unter FortiOS 5.0.5 oder höher den FortiGuard Service aktiviert resp. dieser erreichbar ist, kann der FortiClient über das Dashboard der FortiGate direkt runtergeladen werden:
System > Dashboard > Status > License Information > FortiClient Software > [Wähle Mac und/oder Windows)
Unter FortiOS 5.4 muss minimal folgendes Kommando für ein Interface aktiviert werden damit die entsprechenden Positionen im Dashboard und/oder im SSL-Portal ersichtlich werden:
# config system interface
# edit [Name des entsprechenden Interface zB "internal"]
# set listen-forticlient-connection [enable | disable]
# end
Diese Version ist eine Online Version und wird direkt aus dem Fortinet Distribution Service geladen. Das bedeutet: die Version die hier geladen wird, ist basierend auf dem "FortiClientOnlineInstaller". Der "FortiClientOnlineInstaller" ist ein .exe File das benutzt wird um das effektive Package aus der Cloud (Fortinet Distribution Service) runterzuladen. Das Package das runtergeladen wird steht als Ganzes nicht zur Verfügung und kann nur über den "FortiClientOnlineInstaller" runtergeladen werden:
ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.7/
Dieser Link ist nicht direkt zugänglich dh. um zu diesen Links zu gelangen logge dich auf https://support.fortinet.com ein und wähle im unteren Bereich "Firmware Images". Danach im Scrollbalken wähle "FortiClient" danach gehe auf den "Download Button". Nun wähle das entsprechende Betriebssystem zB "Windows" usw. Schaut man sich die Release Notes zB der Version 5.0.7/5.2 genauer an so fällt einem folgendes auf:
In den Release Notes wird folgendes File beschrieben:
• FortiClientOnlineInstaller_5.0.7.0333: Minimal installer for 32-bit and 64-bit Windows. This
file downloads and installs the latest FortiClient file from the public FDS.
• FortiClientOnlineInstaller_5.2.0.0591: Minimal installer for 32bit and and 64-bit Windows.
Dabei handelt es sich genau um das File das über den Fortinet Distribution Service runtergeladen werden kann. Bei diesem File handelt es sich um ein "Minimal installer" oder besser gesagt "VPN only" Installation File. Wir empfelen nicht diese Packete die über die FortiGate im Dashboard und/oder SSL-Portal zur Verfügung gestellt werden zu benutzen. Wir empfehlen den FortiClient anhand des "FortiClientTools" zu Packetieren. Weitere Informationen siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F
Zusätzlich stellen wir die aktuellen Versionen des FortiClient im "VPN-Only" Mode, die anhand des "FortiClientTools" Packetiert wurden sowie über ein deaktiviertes Autoupdate verfügen, zur Verfügung. Diese "VPN-Only" Packete für Windows und MAC können über den folgenden Link runtergeladen werden:
FortiGate:KonfigExample#Typische_KMU_Konfiguration
Nachträglich kann der Client sofern gewünscht anhand des folgenden Artikels "customized" werden:
FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F
Danach kann dem Enduser ein vollständiges konfigurations File zur Verfügung gestellt werden, dass dieser manuell installieren oder über GroupPolicy verteilen werden kann. Nichts desto trotz möchte man den FortiClient Installer manuell runterladen, kann dies über die offizielle Download Seite von Fortinet durchgeführt werden (Support Login wird benötigt):
https://support.fortinet.com/Download/FirmwareImages.aspx
FortiOS 5.0
• FortiClientSetup_5.0.7.0333.exe: Standard installer for 32-bit Windows.
• FortiClientSetup_5.0.7.0333.zip: A zip package containing FortiClient.msi and language
transforms for 32-bit Windows. Some properties of the MSI package can be customized
with FortiClient Configurator tool.
• FortiClientSetup_5.0.7.0333_x64.exe: Standard installer for 64-bit Windows.
• FortiClientSetup_5.0.7.0333_x64.zip: A zip package containing FortiClient.msi and language
transforms for 64-bit Windows. Some properties of the MSI package can be customized
with FortiClient Configurator tool.
• FortiClientTools_5.0.7.0333.zip: A zip package containing miscellaneous tools including the
FortiClient Configurator tool and VPN Automation files.
FortiOS 5.2
• FortiClientSetup_5.2.0.0591.exe : Standard installer for Microsoft Windows (32-bit).
• FortiClientSetup_5.2.0.0591.zip : A zip package containing FortiClient.msi and language transforms for Microsoft Windows
(32-bit). Some properties of the MSI package can be customized with FortiClient Configurator tool.
• FortiClientSetup_5.2.0.0591_x64.exe: Standard installer for Microsoft Windows (64-bit).
• FortiClientSetup_5.2.0.0591_x64.zip: A zip package containing FortiClient.msi and language transforms for Microsoft Windows
(64-bit). Some properties of the MSI package can be customized with FortiClient Configurator tool.
• FortiClientTools_5.2.0.0591.zip: A zip package containing miscellaneous tools including the FortiClient Configurator tool and
VPN Automation files.
Gibt es einen FortiClient für IOS und/oder Android Devices und welche Funktionen unterstützten diese
Die beiden offiziellen Apps von Fortinet (FortiClient) für IPhone und/oder Android unterstützen in der 5.0 Version ausschliesslich das Browsen dh. wenn man verbunden ist mit dem APP kann der aufgebaute VPN Tunnel nur für das Browsen benutzt werden deshalb wird dieser Client auch "SSL proxy VPN connection agent" genannt (SSL-VPN). Neu unter FortiOS 5.2 unterstützt - im Gegensatz zu IOS - Android ebenfalls eine IPSec Verbindung. Will man eine klassische IPSec Verbindung anhand eines IOS Gerätes durchführen so ist das mit dem Cisco Client (Unity Client) möglich sowie mit der eingebauten VPN Funktion eines IPhones/IPad's. Nachfolgende Links geben weitere Auskunft über IPSec und/oder SSL-VPN für IOS und/oder Android Devices:
FortiGate-5.0-5.2:FAQ#Gibt_es_eine_M.C3.B6glichkeit_mit_einem_IPhone.2FIPad_.C3.BCber_IPSec_eine_Verbindung_aufzubauen_zu_einer_Fortigate.3F FortiGate-5.0-5.2:FAQ#Wie_wird_unter_FortiOS_5.0_ein_IPSec_basierende_Site2Site_VPN_Verbindung_aufgebaut_.28Interface_Based.29.3F
FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_IOS_und_Android_einen_SSL_VPN_Client.3F
Zusätzlich zeigen folgende Links wie eine IPSec/SSL Verbindung auf einer FortiGate zu konfigurieren ist:
FortiGate-5.0-5.2:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.0_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F FortiGate-5.0-5.2:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.2_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F
FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.0_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.2_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F
Wie wird ein Client2Site IPSec VPN unter FortiOS 5.0 konfiguriert für FortiClient, iOS und Android?
Unter FortiOS 5.0 werden Verbindungen basierend auf Client2Site IPSec VPN anhand eines "VPN Wizard's" erstellt/konfiguriert. Im "VPN Wizard's" hat man die Möglichkeit die Art der Verbindung (Device zB iOS, Android) zu wählen. Die Vorgehensweise der Konfiguration ist für jede Art einer Verbindung sei es iOS und/oder Android etc. die Gleiche. Für unser Beispiel unter FortiOS 5.0 gehen wir von folgender Situation aus:
____________ _________________________
193.193.135.66/29| | 192.168.1.99 | |
----- WAN 1 -----| Fortigate |------ LAN -----| LAN Env. 192.168.1.0/24 |
|____________| |_________________________|
Erstellung eines User's
User & Device > User > User Definition > Create New
Erstellung einer Gruppe und hinzufügen des User's
User & Device > User > User Groups > Create New
Erstellung eines Adress Objekt's für IP-Pool
Policy & Objects > Adresses > Addresses > Create New
NOTE Der IP-Pool Range stellt ein DHCP Server dar. Nach erfolgreicher Authentifizierung des IPSec VPN Client's
wird diesem eine IP Adresse aus diesem Range zugewiesen!
Erstellung eines Adress Objekt's für Internal/LAN
Policy & Objects > Adresses > Addresses > Create New
Erstellung Phase-1/2 FortiClient Windows
VPN > IPSec > Auto Key (IKE) > Create VPN Wizard
NOTE Der vergebene Name der Verbindung steht im Zusammenhang mit den möglichen gleichzeitigen IPSec VPN Tunnel. Es wird
empfohlen nicht mehr als 12 Zeichen zu benutzen (100 gleichzeitige IPSec VPN Tunnel). Mehr detailierte Informationen
dazu siehe nachfolgender Artikel:
FortiGate-5.0-5.2:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F
NOTE Im normal Fall ist der Punkt "Split Tunneling" zu definieren denn wenn dies nicht durchgeführt wird gilt bei einer
erfolgreichen IPSec VPN Verbindung, dass sämtlicher Traffic durch den Tunnel geroutet wird. Deshalb sollte die Split
Tunneling Funktion aktiviert werden ausser aus Security Gründen wird darauf verzichtet. Weitere Informationen dazu
siehe nachfolgenden Artikel:
FortiClient:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F
Erstellung einer Firewall Policy Incoming
Policy > Policy > Policy > Create New
NOTE In der Firewall Policy sollte die Position "NAT" (Source NAT) nicht aktiviert werden "Use Destination Interface Address".
Der IP-Pool der definiert wird in der Phase-1 muss -wenn NAT deaktiviert ist- im internen Netz geroutet werden. Ist dies
nicht der Fall kommt zwar die Verbindung zu stande, jedoch der FortiClient kann keine Resource angehen da dieser IP-Pool
(DHCP) -aus dem der FortiClient eine Adresse bezieht- nicht im Internal/LAN geroutet ist. Wird "NAT" aktiviert wird
"sämtlicher" Traffic betreffend Source des FortiClientj's translated auf die IP des Internen Interface's (unser Beispiel
die Destination). Somit kann der einzelne FortiClient mit der ihm zugewiesene IP nicht mehr einzel identifiziert werden
da alle FortiClient's als Source die gleiche IP ausweisen.
Erstellung einer Firewall Policy Outgoing
Policy > Policy > Policy > Create New
NOTE Diese Firewall Policy Rule für Outgoing ist "optional". Dies bedeutet: Diese Firewall Policy Rule wird Hauptsächlich benutzt
um Support auf dem FortiClient zu leisten. Dies bedeutet: Ist die IP des FortiClient -die dem FortiClient über den definierten
IP-Pool zugewiesen wurde- kann anhand dieser Outgoing Firewall Policy auf den FortiClient zB über RDP zugegriffen werden!
Konfigurieren des Routings für IP-Pool
Router > Static > Static Routes > Create New
Die Konfiguration ist abgeschlossen! Nun muss nur noch der entsprechende FortiClient installiert werden. Dieser sollte als "VPN-Only" installiert werden. In dieser Installation enthält diese Installation "nur" VPN Funktionalität dh. IPSec und/oder SSL-VPN. Weitere Informationen über "VPN-Only" Installation sowie "SSL-VPN" siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F FortiGate-5.0-5.2:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.0_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F
Wenn IPSec auf iOS/Android eingesetzt werden möchte siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_IPhone_und_Android_einen_SSL_VPN_Client.3F
Die IPSec VPN Verbindung eines FortiClient basiert ebenfalls IKE Phase-1/2. Aus diesem Grund kann bei Problemen der gleiche Debug Mode benutzt werden wie für eine IPSec Tunnel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_ein_IPSec_VPN_f.C3.BCr_Phase-1_und.2Foder_2_ein_Debugging_ausf.C3.BChren.3F
Wenn der FortiClient nach erfolgreicher Anmeldung bestimmte Resourcen nicht erreichen kann ist es Sinnvoll diese Probleme anhand des Sniffer's zu überprüfen. Weitere Informationen zum "Sniffer" Mode siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wie_benutze_ich_das_Sniffer_Kommando_.22diagnose_sniffer_packet.22.3F
Wie wird ein Client2Site IPSec VPN unter FortiOS 5.2 konfiguriert für FortiClient, iOS und Android?
Unter FortiOS 5.2 werden Verbindungen basierend auf Client2Site IPSec VPN anhand eines "VPN Wizard's" erstellt/konfiguriert. Im "VPN Wizard's" hat man die Möglichkeit die Art der Verbindung (Device zB iOS, Android) anhand von "Template's" (Vorlagen) zu wählen. Die Vorgehensweise der Konfiguration ist für jede Art einer Verbindung sei es iOS und/oder Android etc. die Gleiche. Für unser Beispiel unter FortiOS 5.2 gehen wir von folgender Situation aus:
____________ _________________________
193.193.135.66/29| | 192.168.1.99 | |
----- WAN 1 -----| Fortigate |------ LAN -----| LAN Env. 192.168.1.0/24 |
|____________| |_________________________|
Erstellung eines User's
User & Device > User > User Definition > Create New
Erstellung einer Gruppe und hinzufügen des User's
User & Device > User > User Groups > Create New
Erstellung eines Adress Objekt's für IP-Pool
NOTE Durch den Gebrauch des Wizards resp. des Template's im Hintergrund, wird ein entsprechendes IP-Pool
Objekt automatisch erfasst das nachträglich unter folgender Position ersichtlich ist:
Policy & Objects > Objects > Adresses > [Name der Phase-1/2_range]
Erstellung eines Adress Objekt's für Internal/LAN
Policy & Objects > Objects > Adresses
Erstellung Phase-1/2 FortiClient Windows
VPN > IPSec > Tunnels > Create New
NOTE Die Meldung unter Name die in unserem Fall erscheint "10000 concurrent user(s)...." steht in Zusammenhang
mit der Art und Weise wie im Hintergrund jeder Tunnel in der Phase-1/2 abgebildet wird dh. weitere Informationen
dazu siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F
NOTE Im normal Fall ist der Punkt "Split Tunneling" zu definieren denn wenn dies nicht durchgeführt wird gilt bei einer
erfolgreichen IPSec VPN Verbindung, dass sämtlicher Traffic durch den Tunnel geroutet wird. Deshalb sollte die Split
Tunneling Funktion aktiviert werden ausser aus Security Gründen wird darauf verzichtet. Weitere Informationen dazu
siehe nachfolgenden Artikel:
FortiClient:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F
Erstellung einer Firewall Policy Incoming
Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Rule]
NOTE Durch den Gebrauch des Wizards resp. des Template's im Hintergrund, wird eine entsprechende Firewall Policy
automatisch konfiguriert. Diese sollte dementsprechend modifiziert/kontrolliert werden!
NOTE In der Firewall Policy wir die Position "NAT" (Source NAT) aktiviert auf "Use Destination Interface Address". Dies
sollte deaktiviert werden. Die Position "NAT" wird durch den Wizard resp. das Template aktiviert aus folgenden Grund:
Der IP-Pool der definiert wird in der Phase-1 muss -wenn NAT deaktiviert ist- im internen Netz geroutet werden. Ist dies
nicht der Fall kommt zwar die Verbindung zu stande, jedoch der FortiClient kann keine Resource angehen da dieser IP-Pool
(DHCP) -aus dem der FortiClient eine Adresse bezieht- nicht im Internal/LAN geroutet ist. Wird "NAT" aktiviert wird
"sämtlicher" Traffic betreffend Source des FortiClientj's translated auf die IP des Internen Interface's (unser Beispiel
die Destination). Somit kann der einzelne FortiClient mit der ihm zugewiesene IP nicht mehr einzel identifiziert werden
da alle FortiClient's als Source die gleiche IP ausweisen.
Erstellung einer Firewall Policy Outgoing
Policy & Objects > Policy > IPv4 > Create New
NOTE Diese Firewall Policy Rule für Outgoing ist "optional". Dies bedeutet: Diese Firewall Policy Rule wird Hauptsächlich benutzt
um Support auf dem FortiClient zu leisten. Dies bedeutet: Ist die IP des FortiClient -die dem FortiClient über den definierten
IP-Pool zugewiesen wurde- kann anhand dieser Outgoing Firewall Policy auf den FortiClient zB über RDP zugegriffen werden!
Konfigurieren des Routings für IP-Pool
Router > Static > Static Routes > Create New
Die Konfiguration ist abgeschlossen! Nun muss nur noch der entsprechende FortiClient installiert werden. Dieser sollte als "VPN-Only" installiert werden. In dieser Installation enthält diese Installation "nur" VPN Funktionalität dh. IPSec und/oder SSL-VPN. Weitere Informationen über "VPN-Only" Installation sowie "SSL-VPN" siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F FortiGate-5.0-5.2:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.2_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F
Wenn IPSec auf iOS/Android eingesetzt werden möchte siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_IPhone_und_Android_einen_SSL_VPN_Client.3F
Die IPSec VPN Verbindung eines FortiClient basiert ebenfalls IKE Phase-1/2. Aus diesem Grund kann bei Problemen der gleiche Debug Mode benutzt werden wie für eine IPSec Tunnel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_ein_IPSec_VPN_f.C3.BCr_Phase-1_und.2Foder_2_ein_Debugging_ausf.C3.BChren.3F
Wenn der FortiClient nach erfolgreicher Anmeldung bestimmte Resourcen nicht erreichen kann ist es Sinnvoll diese Probleme anhand des Sniffer's zu überprüfen. Weitere Informationen zum "Sniffer" Mode siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wie_benutze_ich_das_Sniffer_Kommando_.22diagnose_sniffer_packet.22.3F
Kann ich mehrer Client2Site IPSec VPN (Dial-Up) auf "einer" FortiGate konfigurieren sei es für FortiClient, iOS und Android?
Wenn man auf einer FortiGate die Anforderungen hat mehrer Client2Site VPN's (Dial-Up IPSec Phase1 in Pre-Shared Key (PSK) Main Mode) zu konfigurieren läuft man in das Problem das "nur" immer das "erste" VPN in der Firewall Policy (top down first match wins) erkannt wird. Das Problem ist kein FortiGate Problem sondern stammt von der Art und Weise wie ein IPSec (IKE) im Main Mode mit PSK implementiert wird. Weitere Informationen betreffend Main Mode sowie Aggressive Mode siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Was_sind_die_Grundlagen_eines_IPSec_Tunnels_sei_es_Main_Mode_oder_Aggressive_Mode.3F
Wenn ein zwei Client2Site VPN's auf die gleiche Public IP konfiguriert werden und ein IKE (TCP/UDP 500) PSK Main Mode Anfrage trifft auf die Firewall kann der IKE Service nicht erkennen welche Verbindung angesprochen wird. Dies bedeutet der IKE Service nimmt die Anfrage für den PSK Main Mode für "Alle" konfigurierten Client2Site VPN's an und läuft somit gezwungenermassen in eine Fehlermeldung da die Authentication des Preshared Secret (PSK) in der Phase1 in einer der Client2Site VPN's fehlschlägt. Unter "diagnose debug application ike -1" wird folgende Fehlermeldung angzeigt:
log_id=0101023003 type=event subtype=ipsec pri=error loc_ip=aa.bb.cc.dd loc_port=500 rem_ip=ee.ff.gg.hh rem_port=500 out_if="wan1" vpn_tunnel="branchOffice" cookies=asd2345sdf4sdf345 action=negotiate status=negotiate_error msg="Negotiate SA Error: probable pre-shared secret mismatch"
Wenn mehrere Client2Site VPN's resp. Dial-Up IPSec Phase1 existieren hat die Phase1 im PSK Main Mode keine Möglchkeit die Anfrage zur entsprechenden Phase1 zu zuweisen. Auch einer entsprechende Konfiguration einer "Source IP" in der Firewall Policy um auf die entsprechende Phase1 zu zeigen bringt kein Abhilfe denn in der Phase1 im PSK Main Mode werden "Alle" Source IP's gleich behandelt resp. verarbeitet/beantwortet. Es gibt somit keine Möglichkeit im PSK Main Mode ein spezifische Phase1 zu zuweisen. Technisch gesehen gilt in dieser Situation folgendes:
1. Der PSK (Pre-shared Key) selber ist Teil der Kalkulation des Phase1 "root key's" (SKEYID)
2. Dieser "root key" wird dann unterteilt/umgewandelt in zwei keys dh. "SKEYID_e sowie SKEYID_a. Diese zwei Key's werden in der Phase1 benutzt für Encryption und Authentcation.
= Somit ergiebt sich für die Phase1: Die Key's SKEYID_e/a sind basierend auf dem PSK. Die daraus resultierende Fehlermeldung
stammt also von der Antwort der falschen Phase1 und endet in einem "probable PSK mismatch" da IKE nicht möglich ist der
entsprechenden Source die entsprechende Antwort zu senden.
Nun stellt sich die Frage kann man dennoch solch eine Konfiguration durchführen dh. mehrere Client2Site VPN's auf einer FortiGate? Die Vorraussetzungen sind korrekt konfigurierte Client2Site VPN's wie in nachfolgenden Artikeln beschrieben:
FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.0_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.2_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F NOTE In diesen Artikeln wird anhand des Client Wizards unter FortiOS 5.0 sowie anhand eines Templates unter FortiOS 5.2 eine Client2Site VPN (Dial-Up) im "Aggressive Mode" durchgeführt. Dies bedeutet: Dieser Aggressive Mode ist Voraussetzung um mehrere Client2Site VPN's auf einer FortiGate in der Phase1 zu erkennen. Zusätzlich zur obenerwähnten Konfiguration muss in jeder Phase1 eine unterschiedliche "Local ID" konfiguriert werden: VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Loacal ID Der Nachteil an dieser Konfiguration dh. "Aggressive Mode" sowie die Konfiguration der "Local ID" ist das diese Information im "Aggressive Mode" in "clear-text" der Phase1 übermittelt mit. Diese Uebermittlung in "clear-text" ist dann zuständig die korrekte Phase1 anzusprechen und die entsprechende Antwort betreffend "SKEYID_e/a" (root key) zu erhalten. Der zuständige Befehl der über Kommandozeile die entsprechende Local ID setzt ist: # config vpn ipsec phase1-interface # edit [Name der entsprechenden Phase1] # set mode aggressive # set localid [Name der ID] # end
Eine andere Möglichkeit ist im Main Mode nicht PSK (Pre-shared Key) sondern eine Zertifikat basierende Lösung dh. RSASIG zu benutzen. In dieser Konfiguration wird wird in der Phase1 folgendes Konfiguriert:
VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Authentication Methode > RSA Signature
VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Authentication Methode > Certificate Name > [Gebe das entsprechende Zertifikat an]
NOTE Wenn Main Mode RSASIG benutzt wird werden keine Informationen über "clear-text" übermittelt. Dies bedeutet: In dieser Konfiguration
wird die erste Main Mode Nachricht an IKE gesendet und IKE nimmt diese Nachricht in der Phase1 in eine Liste auf. Wenn nicht die
korrekte Phase1 angesprochen wird spielt dies keine Rolle denn in diesem Mode spielen "SKEYID-a/e" keine Rolle da im Main Mode RSASIG
diese Informationen auf dem "payload" (Zertifikat) basieren und nicht wie im Aggressive Mode auf dem PSK. Der "payload" basiert auf
den Informationen die zwischen den Peer's ausgetauscht wird und der Diffie-Hellman Private Key der lokal auf jedem Peer existiert.
Wenn die Informatione anhand des Zertifikat Informationen entschlüsselt wurden weiss der IKE "responder" resp. die FortiGate um welche
Phase1 es sich handelt (ID). Erkannt wird die richtige Phases durch den DN des Zertifikates das auf dem Client konfiguriert ist. Um die
RSASIG Konfiguration über Kommandozeile durchzuführen gebe folgendes ein:
# config vpn ipsec phase1-interface
# edit [Name der entsprechenden Phase1]
# set mode main
# set rsa-certificate
# set authmethod rsa-signature
# end
Kann ich die Konfiguration des FortiClient "vorkonfigurieren" und zur Verfügung stellen (Distribution)?
Dies ist möglich und wird anhand eines "xml" Files durchgeführt. Dieses "xml" File kann beim FortiClient eingespielt werden. Nachfolgendes Dokument gibt Ausfkunft über die vers. Konfigurations Möglichkeiten in diesem "xml" File:
FortiOS 5.0
- Datei:Forticlient-xml-ref-50.pdf
- Datei:Forticlient-xml-ref-504.pdf
- Datei:Forticlient-xml-ref-505.pdf
- Datei:Forticlient-xml-ref-506.pdf
- Datei:Forticlient-xml-ref-507.pdf
- Datei:Forticlient-xml-ref-509.pdf
- Datei:Forticlient-xml-ref-510.pdf
- Datei:Forticlient-xml-ref-511.pdf
FortiOS 5.2
- Datei:Forticlient-xml-ref-521.pdf
- Datei:Forticlient-xml-ref-523.pdf
- Datei:Forticlient-xml-ref-524.pdf
- Datei:Forticlient-xml-ref-525.pdf
- Datei:Forticlient-xml-ref-526.pdf
FortiOS 5.4
- Datei:Forticlient-xml-ref-540.pdf
- Datei:Forticlient-xml-ref-541.pdf
- Datei:Forticlient-xml-ref-542.pdf
- Datei:Forticlient-xml-ref-543.pdf
- Datei:Forticlient-xml-ref-544.pdf
- Datei:Forticlient-xml-ref-545.pdf
FortiOS 5.6
- Datei:Forticlient-xml-ref-560.pdf
- Datei:Forticlient-xml-ref-561.pdf
- Datei:Forticlient-xml-ref-562.pdf
- Datei:Forticlient-xml-ref-563.pdf
- Datei:Forticlient-xml-ref-564.pdf
- Datei:Forticlient-xml-ref-565.pdf
- Datei:Forticlient-xml-ref-566.pdf
FortiOS 6.0
- Datei:FortiClient-XML-Ref-6.0.0.pdf
- Datei:FortiClient-XML-Ref-6.0.1.pdf
- Datei:FortiClient-XML-Ref-6.0.2.pdf
- Datei:FortiClient-XML-Ref-6.0.3.pdf
- Datei:FortiClient-XML-Ref-6.0.4.pdf
Nachfolgend die "Administration Guides" des FortiClient für die Versionen FortiOS 5.0 - 6.0:
FortiOS 5.0
- Datei:Forticlient-admin-503.pdf (Für Windows und Mac OSX)
- Datei:Forticlient-admin-505.pdf (Für Windows und Mac OSX)
- Datei:Forticlient-admin-506.pdf (Für Windows und Mac OSX)
- Datei:Forticlient-admin-507.pdf (Für Windows und Mac OSX)
- Datei:Forticlient-admin-509.pdf (Für Windows und Mac OSX)
- Datei:Forticlient-admin-510.pdf (Für Windows und Mac OSX)
- Datei:Forticlient-admin-511.pdf (Für Windows und Mac OSX)
höhere Versionen
Wie verhindere ich auf dem Client/Workstation die Registrierungsanfrage PopUps auf dem FortiClient GUI?
Sobald der FortiClient in Verbindung zu einer FortiGate mit aktivierter Endpoint Registration kommt, erhält er beim Betrieb mit der Default Konfiguration eine Registration-Request-Message. Diese kann verschieden verarbeitet werden:
Manuell Request ablehnen:
Manuelle Ablehnung des Requests übers GUI lokal auf dem Client/Workstation
Automatisch Request ablehnen:
Automatische Ablehnung des Requests. Dies geht nur wenn der FortiClient bereits bei einer anderen FortiGate registriert ist
und die Deregistration ausgeschaltet ist. Die Konfiguration kann über die FortiClient-XML-Konfigurationsdatei vorgenommen
werden. Details zum XML-Konfigurationsdatei Aufbau sind im FortiClient XML Referenzguide beschrieben. Siehe dazu nachfolgender
Artikel:
FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F
Die im Artikel resp. im XML Refrence Dokument beschriebene Sektion <endpoint_controll></endpoint_controll> beinhaltet die nötigen Parameter:
--------------- xml refrence ---------------
<endpoint_control>
...
<skip_confirmation>1</skip_confirmation>
...
<disable_unregister>1</disable_unregister>
...
<name>Encrypted user name</name>
<registration_password>Passwort</registration_password>
<addresses>Adress of the Fortigate to register to</addresses>
...
</endpoint_control>
--------------- xml refrence ---------------
NOTE Mit <skip_confirmation>1</skip_confirmation> wird die automatische Registrierung an der in der Adressliste
<addresses>...</addresses> angegebenen Fortigate forciert. Für die Registrierung werden der Username sowie
das Passwort von <name></name> und <registration_password></registration_password> verwendet. Mit der Option
<disable_unregister>1</disable_unregister> wird sichergestellt, das sich der Client nicht mehr deregistrieren
kann. Dies führt Implizit dazu, dass sich der FortiClient auch an keinen neuen FortiGates regstrieren kann
und somit allfällige Registration Requests automatisch ablehnt.
Requests Automatisch annehmen:
Ein andere Möglichkeit ist generelle Annahme der Registration-Requests. Dies führt dazu, dass sich der FortiClient
jeweils automatisch an der anfragenden FortiGate registriert. Diese konfiguration kann ebenfalls über die
FortiClient-XML-Konfigurationsdatei erreicht werden:
--------------- xml refrence ---------------
<endpoint_control>
...
<silent_registration>1</silent_registration>
...
</endpoint_control>
--------------- xml refrence ---------------
NOTE Mit der Option <silent_registration>1</silent_registration> werden vom FortiClient automatisch alle Request Messages
angenommen.
Wie aktiviere ich eine FortiClient Endpoint Security License (License File)?
Wenn man eine FortiClient Endpoint Security License ordered (Abhängig von der Art des Devices resp. Grösse) wird ein License Zertificat zugestellt (File). Diese Licesne Zertifikat beinhaltet einen "Activation Code" und sieht folgendermassen aus:
NOTE Informationen betreffend den Versionen des FortiClient Endpoint Security (FortiOS 5) und dessen Lizenzen findet man unter folgenden Artikel: FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F
Dieser Activation Code muss auf der entsprechenden FortiGate unter folgender Position eingegeben werden:
- Erstelle eine Verbindung auf das Mgmt. Gui der entsprechenden FortiGate.
- Unter folgender Position (FortiOS 5.0.2 oder höher) gebe den entsprechenden Activation Code ein:
System > Dashboard > Status > License Information
NOTE Die FortiGate auf der der Activation Code eingegeben wird MUSS über Internet Verbindung resp.
Verbindung (Port 53 oder 8888) in die FortiCloud verfügen da in der FortiCloud eine Verfizierung
des Activation Code durchgeführt wird!
- Nach der erfolgreichen Aktivierung kann das entsprechende License File über den Support Account in der
die FortiGate mit Ihrer Serien Nummer registriert ist heruntergeladen werden. Logge dich zu diesem Zweck
im entsprechenden Support Account ein und wähle Menüpunkt "Manage/View Products". Danach wähle den
entsprechenden Device (Serien Nummer) und nun kann das License File heruntergeladen werden!
Wie kann ich ein FortiClient Endpoint Security Software Package mit VPN (IPSec/SSL-VPN) only erstellen?
Unter FortiOS 5.0 ist der FortiClient Endpoint Security ein Software Package das etliche Funktionen enthält dh. IPSec, SSL-VPN, Antivirus, Firewall, URL WebFilter, IPS usw. Möchte man den FortiClient Endpoint Security mit den Funktionen im Gesamten dh. Antivirus, Firewall usw. nutzen, muss dieser Lizensiert werden (10 User free) da dieser FortiClient Endpoint Security mit seinen Funktionen über die FortiGate verwaltet wird. Zusätzliche User müssen lizensiert werden. Weitere Informationen dazu siehe folgender Artikel Abschnitt FortiOS 5:
FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F
Möchte man nun diesen FortiClient Endpoint Security zwar nutzen jedoch "nur" mit seiner IPSec und/oder VPN-SSL Funktion kann zwar das "orginale" Package installiert werden um nachträglich alle anderen Features zu deaktivieren, jedoch ist das nicht ein zu empfehlender/gangbarer Weg. Somit steht man vor der Aufgabe das orginale Software Package so zu manipulieren das Schlussendlich nur noch die gewünschten Funktionen für eine Installation zur Verfügung stehen dh IPSec und/oder VPN-SSL. Dieses beiden Funktionen IPSec und/oder VPN-SSL müssen nicht lizensiert werden und stehen ohne Limitierunge vollumfänglich auf einer FortiGate zur Verfügung. Um das orginale Software Package zu modifizieren kann folgendes durchgeführt werden:
NOTE Neu kann der FortiClient 5.2 im Setup als "VPN-Only" ausgeführt werden dies bedeutet wenn "VPN-Only" benötigt wird unter FortiClient 5.2 kann dies direkt über das "Setup" bewerkstelligt werden. Somit muss der FortiClient 5.2 für "VPN-Only" nicht mehr anhand der Licens Packetiert werden. Im Setup stehen zwei Optionen zur Verfügung: - Alle Endpoint Security und VPN Komponenten werden installiert - VPN Only wird installiert (IPSec/SSL) Soll der FortiClient dennoch anhand des Packages "FortiClientTools" Packetiert werden so muss man berücksichtigen, das die FortiOS 5.0 License - die für das Packetierung nötig ist - nicht mehr gültig ist. Unter nachfolgenden Artikel stellen wir die "VPN-Only" Packages wie nachfolgende beschrieben zur Verfügung. Diese "VPN-Only" Packages wurden anhand des "FortiClientTools" und der entsprechenden Lizenz erstellt. Dabei wurde bei der Erstellung "VPN-Only" gewählt sowie "Online Updates" deaktiviert: FortiGate:KonfigExample#Typische_KMU_Konfiguration
• Freeware Tool für Packetierung zB Orca (Funktioniert ohne Lizenz eines FortiClient Endpoint Security)
• FortiClientTools für die Packetierung (Funktioniert nur mit einer entsprechenden Lizenz)
Freeware Tool "Orca" (MSI Table Editor)
- Lade das Tool "Orca" von folgenden Link herunter: http://www.softpedia.com/get/Authoring-tools/Setup-creators/Orca.shtml
- Danach installiere "Orca.msi" (Typical) und starte das Tool!
- Lade die entsprechenden orginal FortiClient Endpoint Security Package herunter (Beispiel: Link FortiClient Endpoint Security 5.0.5):
ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5/FortiClientSetup_5.0.5.0308_x64.zip
ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5/FortiClientSetup_5.0.5.0308.zip
NOTE Diese Links sind nicht mehr direkt zugänglich dh. um zu diesen Links zu gelangen logge dich auf
https://support.fortinet.com ein und wähle im unteren Bereich "Firmware Images". Danach im
Scrollbalken wähle "FortiClient" danach gehe auf den "Download Button". Nun wähle das entsprechende
Betriebssystem zB "Windows" usw.
- Entpacke nun die zip Files in ein temporaeres Verzeichnis zB C:\tmp.
- Wähle im Orca Tool "File > Open" und wähle das temporaere Verzeichnis C\tmp resp. das File "FortiClient.msi" (32bit Version).
Dieses befindet sich im Verzeichnis C:\tmp\FortiClientSetup_5.0.5.0308 (32bit Version).
- Auf der rechten Seite werden nun im Orca Tool die Tables aufgelistet. Suche die Position "FeatureComponents".
- Wenn die Position "FeatureComponents" angewählt wird so werden die dazugehörigen Features auf der rechten Seite aufgelistet.
- Lösche nun alle Features/Zeilen ausser: "Feature_Basic, Feature_VPN und Feature_SSLVPN"
- Danach gehe auf "save" und das Packet resp. das File "FortiClient.msi" kann nur anhand einer Installation getestet werden!
FortiClientTools
- Vorraussetzung für diesen Vorgang ist eine FortiClient Endpoint Security "License File" (zB für Devices bis 90D ALSO Art. Nr. 16503101E)! Nähere Informationen dazu siehe Artikel:
FortiClient:FAQ#Wie_aktiviere_ich_eine_FortiClient_Endpoint_Security_License_.28License_File.29.3F
- Im Downloadverzeichnis des jeweiligen FortiClient zB "ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5" steht ebenfalls
das Tool "FortiClientTools_5.0.5.0308.zip" zur Verfügung. Dieses Package enthält die nötigen Tools sowie die nötige Dokumentation um
ein entsprechendes Package zu erstellen. Um das FortiClientTool zu benützen muss jedoch eine Lizenz für FortiClient Endpoint Security
erworben werden. Das entsprechende Lizenz File muss bei der Generierung des Packages angegeben weden. Dies bedeutet möchte man ein
VPN only (IPSec und/oder VPN-SSL) Package erzeugen wäre die Vorgehensweise folgende:
- Entpacke das File "FortiClientTools_5.0.5.0308.zip" in ein temporaeres Verzeichnis.
- Im entpackten zip File befindet sich ein Verzeichnis "FortiClientConfigurator". Wechsle in dieses Verzeichnis.
- Starte das Tool "FortiClientConfiguratorGUI.exe". Es erscheint eine Meldung um die entsprechende Lizenz zu laden:
Gebe das entsprechende License File an:
Gehe mit "Skip" weiter:
Wähle "VPN Only":
Der Vorgang ist abgeschlossen gehe auf "Fertig stellen":
NOTE Vor dem Fertigstellen wird im "Console output...." folgendes als Information angezeigt:
------------------------------------------------------------------ Console output.... ------------------------------------------------------------------
Executing:
-m "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient.msi" --
CUSTOMIZATIONKEY "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\License\EFCT102001369600.lic" -i VPN
Configuration complete.
The files needed for Active Directory deployment are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient_packaged\ActiveDirectory\
The files needed for manual distribution are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient_packaged\ManualDistribution\
You must test the packages to confirm they install correctly before
deploying them to production.
Executing:
-m "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient.msi" --CUSTOMIZATIONKEY "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\License\EFCT102001369600.lic" -i VPN
Configuration complete.
The files needed for Active Directory deployment are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient_packaged\ActiveDirectory\
The files needed for manual distribution are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient_packaged\ManualDistribution\
You must test the packages to confirm they install correctly before
deploying them to production.
------------------------------------------------------------------ Console output.... ------------------------------------------------------------------
- Nun werden zwei Verzeichnisse für eine Distribution erstellt dh. "ActiveDirectory" und "ManualDistribution" gemäss den Angaben in der "Console ouput...."
Information.
NOTE Für MAC Installation ist der Vorgang anhand des Lizenz Files identisch jedoch benötigt man den FortiClientConfigurator
für MAC!
Gibt es eine Möglichkeit alle FortiClient's die auf einer FortiGate Registriert sind zu Deregistrieren?
Wenn eine IPSec Verbindung für den FortiClient erstellt wird fällt einem im Wizard die Position "Allow Endpoint Registration" auf. Diese Position bedeutet folgendes: Bei einer erstmaligen Verbindung des FortiClient wird dieser für die "Endpoint Funktion" registriert. Diese "Endpoint Funktion" beinhaltet das Management des "FortiClient Endpoint Security" über die FortiGate in allen Belangen wie Antivirus, IPS, WebFilter etc. In der CLI, für die entsprechende Verbindung, ist der folgender Befehl dazu zuständig:
# config vpn ipsec phase1-interface
# edit [Name der Phase1]
# set forticlient-enforcement [enable | disable]
# end
Ab FortiOS 5.4.1 kann der FortiClient nicht mehr über den FortiGate Device verwaltet resp. administriert werden sondern es muss FortiEMS eingesetzt werden was einem seperaten Endpoint Management System entspricht. Nun wurde dieser Befehl wissentlich oder unwissentlich aktiviert und die Liste oder einzelne der registrierten FortiClient's sollen gelöscht resp. zurückgesetzt werden, kann ab FortiOS 5.2.1 folgender Befehl benutzt werden um alle Registrierten FortiClients zu verifizieren mit deren UID:
# diagnose endpoint registration list
Danach können alle FortiClients mit deren UID (all) oder spezifische UID's Deregistriert werden:
# diagnose endpoint registration deregister [FortiClient UID | all]
Dieses Kommando löscht auf dem FortiGate Devcie sämtliche registrierungs Informationen für den/die entsprechenden FortiClients UIDs.
Wie kann ich einen FortiClient basierend auf einer Windows Installation über Windows Prompt Deregistrieren?
Wenn eine FortiClient auf Windows Installiert wurde und zB Irrtümlicherweise die Registrierungsfunktion auf dem FortiGate Device aktiviert wurde, wird dieser FortiClient auf dem FortiGate Device als FortiClient registriert (Phase-1: set forticlient-enforcement enable). Möchte man aus diesem Grund oder auch aus anderen Gründen diesen FortiClient Deregistrieren kann dies nicht nur über den FortiGate Device/FortiOS durchgeführt werden sondern ebenfalls über die lokale Windows basierende FortiClient Installation. Wie eine Deregistration über den FortiGate Device durchgeführt wird siehe nachfolgender Artikel:
FortiClient:FAQ#Gibt_es_eine_M.C3.B6glichkeit_alle_FortiClient.27s_die_auf_einer_FortiGate_Registriert_sind_zu_Deregistrieren.3F_2
Wie eine Windows basierende Installation eines FortiClients lokal über den Windows Prompt auf dem FortiGate Device Deregistriert wird siehe nachfolgende Befehle:
C:\WINDOWS\system32> cd C:\Program Files (x86)\Fortinet\FortiClient
C:\Program Files (x86)\Fortinet\FortiClient>FortiESNAC.exe -c REG_UNREGISTER
Wie kann ich die Registrierungsfunktion betreffend FortiClient Endpoint Security auf einer FortiGate manipulieren?
Wenn der FortiClient Endkpoint Security mit seinen UTM Features eingesetzt wird und dieser auf der FortiGate registriert ist kann diese Registration anhand folgenden Befehls manipuliert werden:
# diagnose endpoint registration ?
summary Summary of FortiClient registrations.
list List FortiClients.
cmdb-list List FortiClients stored in CMDB.
block Block a FortiClient from registering.
unblock Unblock a previously blocked FortiClient.
deregister Deregister a registered FortiClient.
sync-peer-list List registration sync peers.
force-peer-resync force to resync registration with all peers.
keepalive-timestamp List KeepAlive timestamps.
recalculate-registered-forticlients Re-calculate number of registered forticlients.
forticlient-licence-key-expiration-check Check the FortiClient registration licence expiration date.
ssl-session-timeout Set the SSL session timeout.
skip-forticlient-system-update Skip the system update upon receiving KeepAlive from FortiClient.
Wie kann ich verhindern das der FortiClient Endpoint Security auf einer Workstation einen automatischen Start ausführt?
Wenn der FortiClient Endpoint Security beim Windows Start automatisch startet und dies verhindert werden soll muss der FortiClient Endpoint Security in den "start" Modus "demand" gesetzt werden. Damit der "start" Modus auf "demand" resp. manuell gesetzt werden kann muss der Service von "fortishield" gestoppt werden. Dieser Service - auch wenn nicht explizit installiert - existiert bei einem automatischen Start des FortiClient Endpoint Security im Hintergrund und ist auch in der List der Services enthalten. Dieser kann somit über die "Windows Service" manipuliert werden dh. von Automatisch auf Manuell umkonfiguriert werden damit dieser bei einem "Windows Start" nicht automatisch ausgeführt wird. Auch wenn dieser Service zB von Automatisch auf Manuell umgestellt wird muss dieser Zwingend gestoppt werden damit der Befehl "start= demand" durchgeführt werden kann. Somit kann nach der Umstellung des Services folgendes auf der Kommandozeile in einer Dos Box (cmd) ausgeführt werden:
> net stop fortishield
> sc config FA_Scheduler start= demand
Was bedeutet im Client2Site VPN Bereich der Konfigurationspunkt "Split Tunneling"?
Im Client2Site VPN IPSec Bereich sowie im VPN-SSL Bereich existiert der Konfigurationspunkt "Split Tunneling". Dieser Konfigurationspunkt "Split Tunneling" steuert auf der Client Seite die Packet dh. welche Packet die vom Client aus abgesetzt werden in den VPN Tunnel sei es IPSec und/oder VPN-SSL gesendet werden. Gesteuert wird diese Funktion durch einen Routing Eintrag. Dieser kann und wird nur dann erstellt wenn der Client sei es IPSec und/oder VPN-SSL mit Administratoren Rechte installiert wurde. Wurde der VPN Client nicht mit diesen Rechten installiert so kann der entsprechende Eintrag nicht erstellt werden. Die Erstellung dieses Routing Eintrages geschieht nach der erfolgreichen Authentifizierung des Client und wird von der FortiGate durch den Tunnel an den Client gesendet (unter normalen Umständen). Dies kann auf einem Windows Client mit folgenden Kommando kontrolliert werden:
route print
Wenn eine erfolgreiche Authentifizierung durchgeführt werden und der Route Eintrag erstellt wurde so muss unterschieden werden zwischen folgenden Möglichkeiten:
Routing Eintrag wurde erstellt anhand eines IP Ranges zB 192.168.1.0/24
Split Tunneling wurde aktiviert und nur Packete betreffend dem Subnet das auf der FortiGate konfiguriert
wurde und im Routing definiert wurde, werden in den VPN Tunnel gesendet!
Routing Eintrag wurde erstellt anhand 0.0.0.0
Dieser Routing Eintrag kommt einem Default Gateway gleich dh. sämtliche Packete werden in den VPN Tunnel
gesendet und somit ist das "Split Tunneling" deaktiviert!
NOTE Das "Split Tunneling" zB des FortiClient wird in der Phase 1 resp. im "Client Wizard"
definiert. Dies bedeutet wird "Split Tunneling" aktiviert "muss" ein entsprechendes
Subnet definiert werden das unter normalen Umständen das LAN representiert! Das Gleiche
gilt für SSL-VPN dh. das "Split Tunneling" wird im Portal definiert. Wobei ein "explizites"
"Split Tunneling" auf Kommandozeile definiert wird. Nachfolgend die zwei Kommandos die
für die Funktion/Definition benötigt werden:
Fuer SSL-VPN Split Tunneling:
# config firewall address
# set name [Name des IPv 4 IP Pool zB "net-ip-pool-ssl-vpn-198.18.1.0-25"]
# set type iprange
# set visibility enable
# set start-ip [198.18.1.1]
# set end-ip [198.18.1.127]
# next
# set name [Name des IPv 4 LAN IP Range zB "net-lan-198.18.0.0-24"]
# set type iprange
# set visibility enable
# set start-ip [198.18.0.1]
# set end-ip [198.18.0.254]
# end
# end
# config vpn ssl web portal
# edit [Name des Profile zB "tunnel-acces-only"]
# config widget
# edit 4
# set name Tunnel Mode
# set type tunnel
# set column two
# set collapse disable
# set split-tunneling enable
# set ip-pools [Bestehendes Objekt für die IP Pool IP Range zB "net-ip-pool-ssl-vpn-198.18.1.0-25"]
# set split-tunneling-routing-address [Bestehendes Objekt das die LAN Adresse darstellt zB "net-lan-198.18.0.0-24"]
# next
# end
# end
Fuer IPSec Split Tunneling:
# config vpn ipsec phase1-interface
# edit [Name des Profile zB "fc-ipsec"]
# set ipv4-start-ip 192.168.1.1
# set ipv4-end-ip 192.168.1.254
# set ipv4-netmask 255.255.255.0
# set ipv4-split-include net-lan-198.18.0.0-24
# end
Wie muss ich einen FortiClient im Zusammenhang mit einem Cluster (HA) lizensieren?
Wenn ein FortiGate Cluster (HA) betrieben wird sei es im Active-Passive und/oder Active-Active muss der FortiClient sei es 5.0 und/oder 5.2 auf jedem Node lizensiert werden. Dies bedeutet es müssen zwei Lizenzen erworben sowie registiert und auf jedem Cluster Node eingespielt werden. Im Gegensatz zu der FortiGate Hardware bietet Fortinet für FortiClient's im Cluster keine Spezial Konditionen. Dies bedeutet die FortiClient Lizenz muss anhand der Standard Konditionen für eine Standalone Device für jeden Node im Cluster erworben werden. Weitere Auskunft über Spezial Konditionen im Zusammenhang mit einem Cluster (HA) siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_Cluster_.28Hardware_und.2Foder_Virtuell.29_Spezielle_Konditionen_bei_Fortinet.3F
Wie kann ich für einen FortiClient ein Deployment (Verteilung) über ein Windows AD anhand "Group Policy" (GPO) durchführen?
Wenn ein FortiClient über ein Active Directory anhand der "Group Policy" verteilt (Deployment) werden soll kann dies anhand des MSI Files des FortiClient durchgeführt werden. Die Voraussetzungen um dies durchzuführen ist ein entsprechendes MSI File sowie eine event. entsprechende Konfigurtion. Dies bedeutet:
Kann ich die Konfiguration des FortiClient "vorkonfigurieren" und zur Verfügung stellen (Distribution)? Wie kann ich ein FortiClient Endpoint Security Software Package mit VPN (IPSec/SSL-VPN) only erstellen?
Sind diese zwei Vorraussetzungen gegeben zeigt der "FortiClient Administration Guide" in der jeweiligen Version unter folgendem Abschitt eine Schritt für Schritt Anleitung:
Kapitel: Provisioning FortiClient > Deploy FortiClient using Microsoft Active Directory (AD) server
Was muss ich berücksichtigen wenn ich einen FortiClient mit Two-Factor Authentication über E-Mail benutze?
Wenn ein FortiClient (5.2) eingesetzt wird und für die Verbindung auf der FortiGate eine Two-Factor Authentication über "E-Mail" konfiguriert wurde, ist während der Authentifizierung der Zugriff auf den E-Mail Account nicht möglich. Dies bedeutet: Sobald der FortiClient auf einem Client gestartet wird und eine Verbindung zu einer FortiGate durchgeführt sowie die Authentifizierung gestartet wird (Security Association Comunication), werden sämtliche Verbindungen in das Internet während des Authentifizierungs Vorgangs unterbunden. Somit kann die Two-Factor Authentifizierung nicht korrekt ausgeführt werden da der Zugriff auf den E-Mail Account für um die Two-Factor Authentication Informationen zu erhalten unterbunden ist. Um den Zugriff in das Internet während diesem Zeitpunkt zu erlauben, muss in der Konfiguration des FortiClients dies ermöglicht werden. Die zuständige Konfiguration muss im Konfig File resp. xml File, das sich im Installations Ordner des FortiClients auf dem entsprechenden Client befindet, anhand folgender Option durchgeführt werden:
Suche im xml File folgende Position:
<ipsecvpn>
<connections>
<connection>
<ike_settings>
<implied_SPDO>
NOTE Die Position "<implied_SPDO>" ist per Standard auf "0" gesetzt was wiederum bedeutet das während der
Authentifizierung der Zugriff auf das Internet unterbunden wird. Setze diese Option auf "1" was den
Zugriff erlaubt:
<implied_SPDO>1</implied_SPDO>
Nach der Aenderung muss der FortiClient beendet sowie neu gestartet werden damit die neue Konfiguration aktiv wird!
Wie kann ich für ein SSL-VPN (Tunnel Mode) ein Registry Check konfigurieren (Host Check)?
Weitere Informationen siehe nachfolgender Artikel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_ein_SSL-VPN_.28Web_Mode.2FTunnel_Mode.29_ein_Registry_Check_konfigurieren_.28Host_Check.29.3F
Wie kann ich ein IPSec Client2Site VPN im Interface Mode komplett auf Kommandozeile konfigurieren?
Wenn eine IPSec Client2Site basierend auf FortiClient komplett über Komandozeile konfiguriert werden soll ist folgendes auszuführen:
NOTE Diese Konfiguration ist basierend auf FortiOS 5.2 jedoch ist vom Ablauf her Analog 5.0. Die Konfiguration
stammt vom Wizard basierend auf FortiOS 5.0 und kann mit dem FortiClient 5.0/2 eingesetzt werden!
Erstelle ein User Gruppe die benutzt wird für die User Authentifizierung
# config user group
# edit [Gebe einen Namen ein für die Gruppe zB "gr-ipsec-fc-vpn"]
# unset member
# end
NOTE Diese Gruppe wird leer erstellt und kann mit lokalen Usern nachträglich abgefüllt werden oder zB einer Authentifzierungs
Methode wie LDAP. Wird LDAP benutzt dürfen die LDAP User nicht zur Gruppe hinzugefügt werden sondern nur der Eintrag des
LDAP Servers. Wird eine zweifach Authentifizierungs Methode benutzt zB LDAP plus SMS müssen die User lokal angelegt werden
sowie zur Gruppe hinzugefügt werden. In so einem Fall darf der LDAP Server selber nicht zur Gruppe hinzugefügt werden!
Erstelle eines Netzwerk Objektes für lokales LAN
# config firewall address
# edit [Gebe einen Namen ein für das Netzwerk Objekt zB "net-lan-198.18.0.0-24"]
# unset tags
# set subnet [Gebe die IPv4 Adresse an mit Subnet zB "198.18.0.0/24"]
# end
NOTE Das hier erfasst Netzwerk Objekt stellt das "lokale" Netzwerk dar resp. das Netz das die Client über den FortiClient erreichen
sollen.
Konfiguriere eine Phase1 für das Client2Site VPN Interface Mode
# config vpn ipsec phase1-interface
# edit [Gebe einen entsprechenden Namen ein für Phase1; Nicht mehr als 12 Zeichen zB "ipsec-fc"]
# set comments "IPSec Phase1 FortiClient 5.0/2 ipsec-fc"
# set type dynamic
# set interface [Gebe das entsprechende Interface an der Public IP zB "wan1"]
# set ip-version 4
# set local-gw 0.0.0.0
# set nattraversal enable
# set dhgrp 5
# set keylife 28800
# set authmethod psk
# set mode aggressive
# set peertype any
# set xauthtype auto
# set mode-cfg enable
# set proposal 3des-sha1 aes128-sha1
# set localid [Gebe zwingend eine Local ID an zB Name Phase1 "ipsec-fc"]
# set localid-type auto
# set negotiate-timeout 30
# set fragmentation enable
# set dpd enable
# set forticlient-enforcement disable
# set npu-offload enable
# set xauthexpire on-disconnect
# set authusrgrp [Gebe eine User Gruppe an für die Authentifizierung zB "gr-ipsec-fc-vpn"]
# set default-gw 0.0.0.0
# set default-gw-priority 0
# set assign-ip enable
# set mode-cfg-ip-version 4
# set assign-ip-from range
# set add-route enable
# set ipv4-start-ip [Gebe die Start IPv4 Adresse an für die IP's der Clients resp. DHCP zB "198.18.1.0"]
# set ipv4-end-ip [Gebe die End IPv4 Adresse an für die IP's der Clients resp. DHCP zB "198.18.1.254"]
# set ipv4-netmask [Gebe die Subnet Adresse an des DHCP Ranges der IP's der Client zB "255.255.255.0"]
# set dns-mode manual
# set ipv4-dns-server1 [Gebe einen DNS1 Server an der den Clients zugewiesen wird zB "198.18.0.41"]
# set ipv4-dns-server2 [Gebe einen DNS2 Server an der den Clients zugewiesen wird zB "198.18.0.41"]
# set ipv4-dns-server3 0.0.0.0
# set ipv4-wins-server1 0.0.0.0
# set ipv4-wins-server2 0.0.0.0
# set ipv4-exclude-range 0.0.0.0
# set ipv4-split-include [Gebe für Split Tunneling das Netzwerk Objekt an das die Clients erreichen müssen zB "net-lan-198.18.0.0-24"]
# unset split-include-service
# set unity-support enable
# unset domain
# unset banner
# set include-local-lan disable
# set save-password disable
# set client-auto-negotiate disable
# set client-keep-alive enable
# set psksecret [Gebe ein Preshared Key an für Phase1 zB "only4also!"]
# set keepalive 10
# set distance 1
# set priority 0
# set dpd-retrycount 3
# set dpd-retryinterval 5
# next
# end
NOTE Der Name der IPSec Phase1 im Client2site Mode sollte nicht mehr als 12 Zeichen beinhalten (100 Tunnels). Weitere Informationen dazu
siehe Artikel:
FortiGate-5.0-5.2:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F
Wenn mehrere Client2Site Verbindungen auf einer FortiGate konfiguriert werden im Aggresive Mode muss die "Local ID" gesetzt werden
damit auf der FortiGate die verschiedenen Verbindungen erkannt werden können. Weitere Informationen dazu siehe folgender Artikel:
FortiClient:FAQ#Kann_ich_mehrer_Client2Site_IPSec_VPN_.28Dial-Up.29_auf_.22einer.22_FortiGate_konfigurieren_sei_es_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F
Der IP Range der Konfiguriert wird resp. der DHCP Range unter "ipv4-start/end-ip" ist die IP die dem Client bei erfolgreicher
Authentifizierung zugewiesen wird. Dieser IP Range resp. DHCP Range darf nicht ein IP Range sein aus dem "lokalen" Netz oder
aus dem "remote" Netz (overlapping). Bei der Position "ipv4-split-include" wird das "remote" Netzwerk anhand eines Objektes
definiert. Dieses Objekt stellt das "remote" Netzwerk dar das der Client erreichen soll. Dieses Netz darf nicht im "lokalen"
Netz vorkommen (overlapping). Unter gewissen Umständen kann "Split Tunneling" deaktiviert werden jedoch wird dann jeglicher
Traffic des Client bei erfolgreicher Verbindung durch den Client2Site VPN Tunnel gesendet. Unter normalen Umständen ist dies
auf jedenfall zu verhindern. Weitere Informationen zur Funktion "ipv4-split-include" siehe nachfolgender Artikel:
FortiClient:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F
Konfiguriere eine Phase2 für das Client2Site VPN Interface Mode
# config vpn ipsec phase2-interface
# edit [Gebe einen entsprechenden Namen ein für Phase2; Nicht mehr als 12 Zeichen zB "ipsec-fc"]
# set comments "IPSec Phase2 FortiClient 5.0/2 ipsec-fc"
# set dst-addr-type subnet
# set dst-port 0
# set encapsulation tunnel-mode
# set keepalive enable
# set keylife-type seconds
# set pfs enable
# set phase1name [Gebe den entsprechenden Namen ein der Phase1 zB "ipsec-fc"]
# set proposal 3des-sha1 aes128-sha1
# set protocol 0
# set replay enable
# set route-overlap use-new
# set single-source disable
# unset src-addr-type subnet
# set src-port 0
# set dhgrp 5
# set dst-subnet 0.0.0.0 0.0.0.0
# set keylifeseconds 1800
# set src-subnet 0.0.0.0 0.0.0.0
# next
# end
NOTE In der Phase2 werden die "Quick Mode Selector" (src-subnet/dst-subnet) auf 0.0.0.0 gesetzt dh. potentiell ist in der Phase2
sämtlicher Traffic erlaubt. Weitere Informationen zum "Quick Mode Selector" findet man im nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wann_sollte_ich_den_.22Quick_MOde_Selector.22_benutzen.2C_was_muss_ich_ber.C3.BCcksichtigen_und_welche_Funktion_hat_dieser.3F
Konfiguriere ein statisches Routing für den IP Range resp. DHCP Ranges der Client2site Verbindung
Unter FortiOS 5.0 kann zwar ein "statischer" Routing Eintrag für den IP Range resp. DHCP Range konfiguriert werden jedoch ist dieser überflüssig.
Unter FortiOS 5.2 ist die Konfiguration des Routing Eintrages nicht mehr möglich da dieser Routing Eintrag wie unter FortiOS 5.0 dynamisch über
den VPN Deamon auf Layer 4 durchgeführt wird. Weitere Informationen dazu siehe nachfolgender Artikel:
FortiClient:FAQ#Unter_FortiOS_5.2_kann_f.C3.BCr_eine_Client2Site_IPSec_VPN_Verbindung_keine_.22static_route.22_im_Web_Mgmt._konfiguieren_werden.3F
Die Konfiguration der Phase1/2 sowie Netzwerk, Routing und Gruppe für die Authentifizierung ist abgeschlossen. Nun zu Allerletzt muss nun eine entsprechende Firewall Policy implementiert werden:
Erstellung einer Firewall Policy Incoming FortiOS 5.0
Erstellung einer Firewall Policy Outgoing FortiOS 5.0
Erstellung einer Firewall Policy Incoming FortiOS 5.2
Erstellung einer Firewall Policy Outgoing FortiOS 5.2
Als letzer Schritt muss nun der FortiClient 5.0/2 auf dem entsprechenden Client installiert werden. Dabei ist zu beachten das dieser mit Administratoren Rechten installiert wird. Dies aus dem Grund da ansonsten wenn der User sich erfolgreich authentifiziert kein entsprechenden Routing Eintrag durch den FortiClient durchgeführt werden kann. Ebenfalls ist zu beachten, dass der FortiClient im VPN-only Modus installiert wird dh. ohne die UTM Features. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F
Wenn der FortiClient installiert wurde und erfolgreich eine Authentifizierung durchgeführt wurde ist folgendes zu überprüfen um die korrekte Konfiguration auf der FortiGate zu bestätigen:
- Welche IP wurde dem FortiClient nach der Authentifizierung zugewiesen:
--> Kontrolliere anhand "ipconfig /all" den entsprechenden VPN Adapter!
- Welcher DNS1/2 Server wurde dem FortiClient zugewisen.
--> Kontrolliere anhand "ipconfig /all" den entsprechenden VPN Adapter!
- Welcher Routing Eintrag wurde nach der erfolgreicher Authentifizierung auf dem FortiClient erstellt:
--> Kontrolliere durch "route all print" was für einen Routing Eintrag existiert für den VPN Adpater!
Wenn diese Informationen nicht dementsprechend sind kontrolliere die Phase1 sowie 2 ob die Informationen/Konfiguration korrekt durchgeführt wurden.
Auf was muss ich achten wenn ich eine FortiClient IPSec Verbindung konfigurieren will basierend auf Client Zertifikats Authentifizierung?
Ausgangslage für eine FortiClient IPSec Verbindung (Dial-Up) basierend auf einer Zertifikats Authentifizierung ist das Zertifikat selber das auf einer FortiGate als CA importiert werden muss resp. Grundvoraussetzung ist:
• CA Certificate
• Server Certificate
• Client Certificate
Das "CA Certificate" muss auf dem FortiClient Workstation des Users innerhalb des Internet Explorers unter "Vertrauenswürdigen Stammzertifikate" (Trusted Root Certification Authorities) eingelesen sowie das FortiClient "Client Certificate" (.p12) für die Konfiguration importiert werden. In der Authentifizierung wird dieses "Client Certificate" für die Authentifizierung benutzt dh. anhand des "Server Certificate" und dem "CA Certificate" auf der FortiGate überprüft. Somit muss das "CA Certificate" sowie das "Server Certificate" auf der FortiGate korrekt importiert werden damit diese Ueberprüfung durchgeführt werden kann. Aus diesem Grund ist gut zu überlegen ob eine solche Authentifizierungs Methode für die Implementation gewählt werden soll resp. in Frage kommt da sich die Administrativen Tasks erhöhen. Zu Beginn dieser Konfiguration steht die Erstellung der Zertifikate. Dies können auf einem bestehenden CA erstellt werden oder ein eigenes CA wird erstellt aus dem die nötigen Certificates erstellt werden. In diesem Beispiel wird ein eigenes CA auf einem Linux Server erstellt. Basis für dieses Beispiel ist:
CentOS 5.5
openssl-0.9.8e-36.0.1.el5_11
openssl-devel-0.9.8e-36.0.1.el5_11
Zertifikate können auf verschiedenen Art und Weise erstellt werden dh. in Verschlüsselungs Methode usw. Nachfolgender Artikel gibt Einblick mit sämtlichen Details wie ein CA mit einer hohen und schnellen Verschlüsselung erstellt wird und wie Server Zertifikate daraus enstehen sowie Details dieses Vorgangs um die Sicherheit zu gewährleisten:
Allgemein:Zertifikate-SymmetrischeAsymmetrische#Zertifikate_-_Erstellen_einer_eigenen_CA_.28Certificate_Authority.29
Die Erstellung der Zertifikate wird in 3 Schritten gegliedert:
1. Erstellen des "CA Certificate" ca.crt
2. Erstelle ein "Server Certificate" server.crt
3. Erstelle eines "Client Certificate" basierend auf dem "Server Certificate" client.crt
1. Erstellen des "CA Certificate" ca.crt:
# mkdir /opt/CA-FGT
# cd /opt/CA-FGT
# openssl genrsa -aes256 -out ca.key 4096
Generating RSA private key, 4096 bit long modulus
..................................................
..................................................
..................................................
.....................++
e is 65537 (0x10001)
Enter pass phrase for ca.key: [password]
Verifying - Enter pass phrase for ca.key: [password]
# chmod 400 ca.key
# openssl req -new -x509 -days [Anzahl Tage zB 5 Jahre 1825] -key ca.key -out ca.crt
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:[Land zB CH]
State or Province Name (full name) [Berkshire]:[Region zB Luzern]
Locality Name (eg, city) [Newbury]:[Stadt/Ort zB Emmen]
Organization Name (eg, company) [My Company Ltd]:[Organisation zB ALSO Schweiz AG]
Organizational Unit Name (eg, section) []:[Abteilung zB DemoLab]
Common Name (eg, your name or your server's hostname) []:[Certificate Authority Name zB ALSO-CA]
Email Address []:[Email Adresse zB system@also.com]
NOTE Für den "Common Name" da es sich um das CA handelt muss nicht der FQDN der FGT angegeben werden. Der "Common Name"
in diesem Vorgang vergiebt den Namen des Certificate Authority (CA).
# ls -la
total 32
drwxr-xr-x 2 root root 4096 Nov 5 10:28 .
drwxr-xr-x 287 root root 20480 Nov 5 10:18 ..
-rw-r--r-- 1 root root 2338 Nov 5 10:28 ca.crt
-r-------- 1 root root 3326 Nov 5 10:25 ca.key
2. Erstelle ein "Server Certificate" server.crt:
# openssl genrsa -aes256 -out server.key 4096
Generating RSA private key, 4096 bit long modulus
................++
...............................................................................++
e is 65537 (0x10001)
Enter pass phrase for server.key:[password]
Verifying - Enter pass phrase for server.key:[password]
# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:[Land zB CH]
State or Province Name (full name) [Berkshire]:[Region zB Luzern]
Locality Name (eg, city) [Newbury]:[Stadt/Ort zB Emmen]
Organization Name (eg, company) [My Company Ltd]:[Organisation zB ALSO Schweiz AG]
Organizational Unit Name (eg, section) []:[Abteilung zB DemoLab]
Common Name (eg, your name or your server's hostname) []:[Fully Qualified Domain Name der FGT Public IP zB alsochlu-sg0e0.also-solutions.ch]
Email Address []:[Email Adresse zB system@also.com]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[Kein Passwort einfach ENTER]
An optional company name []:[Kein Passwort einfach ENTER]
NOTE Für den "Common Nam"e muss der FQDN der Public IP der FortiGate angegeben der benützt wird von der
Workstation des User resp. des FortiClient um zur FortiGate zu verbinden. Grundvoraussetzung ist das
der FQDN der FortiGate im Zusammenhang mit der Public IP einen korrekten DNS Eintrag aufweist. Wir
empfehlen zusätzlich zum "A" record einen "PTR" record für diese Public IP zu erstellen die benützt
wird für den FQDN der FortiGate.
# openssl x509 -req -days [Anzahl Tage zB 5 Jahre 1825] -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt
Signature ok
subject=/C=CH/ST=Luzern/L=Emmen/O=ALSO Schweiz AG/OU=DemoLab/CN=alsochlu-sg0e0.also-solutions.ch/emailAddress=system@also.com
Getting CA Private Key
Enter pass phrase for ca.key:[password]
# ls -la
total 44
drwxr-xr-x 2 root root 4096 Nov 5 10:42 .
drwxr-xr-x 287 root root 20480 Nov 5 10:18 ..
-rw-r--r-- 1 root root 2338 Nov 5 10:28 ca.crt
-r-------- 1 root root 3326 Nov 5 10:25 ca.key
-rw-r--r-- 1 root root 2021 Nov 5 10:43 server.crt
-rw-r--r-- 1 root root 1781 Nov 5 10:39 server.csr
-rw-r--r-- 1 root root 3326 Nov 5 10:32 server.key
3. Erstellen eines "Client Certificate" basierend auf dem "Server Certificate" client.crt und
konvertiere dieses zu einem ".p12" Format damit die "privat" Keys exportiert werden:
# openssl genrsa -aes256 -out client.key 4096
Generating RSA private key, 4096 bit long modulus
.............++
..................................................
..................................................
..................................................
........................................
..........................++
e is 65537 (0x10001)
Enter pass phrase for client.key:[password]
Verifying - Enter pass phrase for client.key:[password]
# openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:[Land zB CH]
State or Province Name (full name) [Berkshire]:[Region zB Luzern]
Locality Name (eg, city) [Newbury]:[Stadt/Ort zB Emmen]
Organization Name (eg, company) [My Company Ltd]:[Organisation zB ALSO Schweiz AG]
Organizational Unit Name (eg, section) []:[Abteilung zB DemoLab]
Common Name (eg, your name or your server's hostname) []:[Name des User für dieses Client Certificate zB "solivaan"]
Email Address []:[Email Adresse des Users zB andrea.soliva@also.com]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[Kein Passwort einfach ENTER]
An optional company name []:[Kein Passwort einfach ENTER]
# openssl x509 -req -days 1825 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt
Signature ok
subject=/C=CH/ST=Luzern/L=Emmen/O=ALSO Schweiz AG/OU=DemoLab/CN=solivaan/emailAddress=andrea.soliva@also.com
Getting CA Private Key
Enter pass phrase for ca.key:[password]
# openssl pkcs12 -export -in client.crt -inkey client.key -certfile ca.crt -name "solivaan" -out client.p12
Enter pass phrase for client.key:[password]
Enter Export Password:[password]
Verifying - Enter Export Password:[password]
# ls -la
total 64
drwxr-xr-x 2 root root 4096 Nov 5 10:51 .
drwxr-xr-x 287 root root 20480 Nov 5 10:18 ..
-rw-r--r-- 1 root root 2338 Nov 5 10:28 ca.crt
-r-------- 1 root root 3326 Nov 5 10:25 ca.key
-rw-r--r-- 1 root root 1996 Nov 5 10:50 client.crt
-rw-r--r-- 1 root root 1760 Nov 5 10:48 client.csr
-rw-r--r-- 1 root root 3326 Nov 5 10:46 client.key
-rw-r--r-- 1 root root 5982 Nov 5 10:52 client.p12
-rw-r--r-- 1 root root 2021 Nov 5 10:43 server.crt
-rw-r--r-- 1 root root 1781 Nov 5 10:39 server.csr
-rw-r--r-- 1 root root 3326 Nov 5 10:32 server.key
Nun muss das "CA Certificate" (ca.crt) und das "Server Certificate" (server.crt) auf der FortiGage importiert werden damit dieses für die Verifizierung der Client Certifidate Authentifizierung zur Verfügung steht. Wähle auf dem Web Mgmt. Interface der FortiGate folgende Position um die CA resp. "ca.crt" zu importieren:
System > Admin > Certificates
Führe danach folgendes aus:
Der Import wird bestätigt mit dem entsprechenden Eintrag unter "External CA Certificates":
Um das Server Certificate zu importieren resp. "server.crt" wähle wiederum folgendes:
System > Admin > Certificates
Führe danach folgendes aus:
Der Import wird bestätigt mit dem entsprechenden Eintrag unter "Certificates":
Als nächster Schritt muss auf Kommandozeile (CLI) ein entsprechender User in unserem Beispiel "solivaan" konfiguriert werden als "peer":
# config user peer
# edit [Name des Users zB solivaan]
# set ca [Name des entsprechenden "Certificate Server" der Importiert wurde "]
# end
Die entsprechende Konfiguration resp. der User ist über Web Mgmt. Interface nicht ersichtlich dh die Konfiguration muss über Kommandozeile durchgeführt werden und ist nicht zu verwechseln mit dem lokalen User. Dies bedeutet: Der definierte "peer" User ist Mitglied der "peer" Gruppe die benützt wird um in der Phase-1 die Zertifikats basierende Authentifizierung zu aktivieren dh. durch diese Konfiguration wird der User durch seinen Usernamen "forced" neben der ordentlichen Authentifizierung (Username/Passwort) eine Zertifikats basierende Authentifizierung durchzuführen! Wie schon erwähnt wird in der Phase-1 eine "peer" Gruppe definiert. Nun erstelle eine Gruppe "peer" und füge den neuen User "peer" zu dieser Gruppe hinzu:
# config user peergrp
# edit [Name der entsprechenden Gruppe zB "gr_cert-user"
# set member [Name der User zB solivaan oder der User zB user1 user2 user3]
# end
Nun kann eine Phase-1 und 2 für den FortiClient konfiguriert werden. Diese kann über WebMgmt. Interface durchgeführt werden oder über Kommandozeile:
NOTE Weitere Details betreffend Kommandozeilen basierte Konfiguration einer FortiClient IPSec Verbindung siehe nachfolgenden Artikel: FortiClient:FAQ#Wie_kann_ich_ein_IPSec_Client2Site_VPN_im_Interface_Mode_komplett_auf_Kommandozeile_konfigurieren.3F
# config vpn ipsec phase1-interface
# edit [Name der Phase-1 zB "ipsec-fc"]
# set comments [Beschreibung der Verbindung zB IPSec Phase1 FortiClient 5.2.x alsochlu-sg0e0]
# set type dynamic
# set interface [Name des Interfaces zB wan1]
# set ip-version 4
# set ike-version 1
# set local-gw 0.0.0.0
# set nattraversal enable
# set keylife 28800
# set authmethod signature
# set mode aggressive
# set peertype peergrp
# set mode-cfg enable
# set ipv4-dns-server1 [IPv4 für DNS Server der dem FortiClient zugewiesen wird zB 198.18.0.91]
# set ipv4-dns-server2 [IPv4 für DNS Server der dem FortiClient zugewiesen wird zB 198.18.0.92]
# set proposal 3des-sha1 aes128-sha1
# set add-route enable
# set localid [Definition der Local-id autom. hinzugefügt durch das Server Certificate zB C = CH, ST = Luzern, L = Emmen, O = ALSO Schweiz AG, OU = DemoLab, CN = alsochlu-sg0e0.also- solutions.ch, emailAddress = system@also.com]
# set localid-type auto
# set negotiate-timeout 30
# set fragmentation enable
# set dpd enable
# set forticlient-enforcement disable
# set npu-offload enable
# set send-cert-chain enable
# set dhgrp 5
# set wizard-type custom
# set xauthtype auto
# set authusrgrp [Angabe der lokalen Gruppe der User zB gr-ipsec-fc-vpn-local.intra]
# set certificate [Definition des Server Certificate zB alsochlu-sg0e0.also-solutions.ch]
# set default-gw 0.0.0.0
# set default-gw-priority 0
# set peergrp gr_cert-user
# set assign-ip enable
# set mode-cfg-ip-version 4
# set assign-ip-from range
# set ipv4-start-ip [Start IPv4 Adresse des Office Mode IP Pool die für den FortiClient benutzt wird zB 198.18.1.129]
# set ipv4-end-ip [End IPv4 Adresse des Office Mode IP Pool die für den FortiClient benutzt wird zB 198.18.1.254]
# set ipv4-netmask [Subnet Maks für den Office Mode IP Pool 255.255.255.128
# set dns-mode manual
# set ipv4-split-include [Definition des lokalen internen Netzes das durch den FortiClient erreicht werden soll zB net-local-lan-198.18.0.0-24]
# set unity-support enable
# set include-local-lan disable
# set save-password disable
# set client-auto-negotiate disable
# set client-keep-alive enable
# set keepalive 10
# set distance 1
# set priority 0
# set dpd-retrycount 3
# set dpd-retryinterval 5
# set xauthexpire on-disconnect
# end
NOTE Die "local-id" muss auf dem FortiClient in der Konfiguration als <localid></localid> definiert werden! In der Phase-1
muessen die User anhand einer lokalen Gruppe in unserem Beispiel "gr-ipsec-fc-vpn-local.intra" definiert werden. Dies
bedeutet: Die Gruppe "gr-ipsec-fc-vpn-local.intra" wurde lokal auf der FortiGate erstellt und der User "solivaan" für
den ein Passwort definiert wurde, wurde dieser Gruppe hinzugefügt. Der User "solivaan" kann ebenfalls als lokaler User
für Two-Factor Authentifizierung definiert werden oder die Gruppe für "Active Directory" Authentifizierung.
# config vpn ipsec phase2-interface
# edit [Name der Phase-2 zB ipsec-fc]
# set comments "IPSec Phase2 FortiClient 5.2.x alsochlu-sg0e0"
# set dst-addr-type subnet
# set dst-port 0
# set encapsulation tunnel-mode
# set keepalive enable
# set keylife-type seconds
# set pfs enable
# set phase1name [Name der Phase-1 zB ipsec-fc]
# set proposal 3des-sha1 aes128-sha1
# set protocol 0
# set replay enable
# set route-overlap use-new
# set single-source disable
# unset src-addr-type subnet
# set src-port 0
# set dhgrp 5
# set dst-subnet 0.0.0.0 0.0.0.0
# set keylifeseconds 1800
# set src-subnet 0.0.0.0 0.0.0.0
# next
# end
Die Konfiguration auf der FortiGate ist abgeschlossen. Nun muss die Workstation des Users mit dem installierten FortiClient konfiguriert werden. Dazu muss das "CA Certificate" das wir auf der FortiGate importiert haben im Internet Explorer unter "Vertrauenswürdigen Stammzertifizierungsstellen" (Trusted Root Certification Authorities) importiert werden. Dazu kann für den Import auch der "CertManager" benutzt werden dh.:
Wähle > Start > Ausführen > Programme/Dateien durchsuchen > certmgr.msc > ENTER
Führe auf dem Eintrag "Vertrauenswürdige Stammzertifizierungsstellen" ein Rechts-Klick aus und wähle:
Alle Aufgaben > Importieren
Danach folge dem Dialog und wähle unter "Durchsuchen" das "CA Certificate" dh. "ca.crt" sowie "Vertrauenswürdige Stammzertifizierungsstellen". Kontrolliere nach dem Import ob das entsprechende Zertifikat unter der Position "Vertrauenswürdige Stammzertifizierungsstellen" erscheint! Als letzten Schritt muss auf dem FortiClient die "local-id" entsprechend der Phase-1 Konfiguration für die FortiClient Konfiguration definiert werden. Dazu führe auf dem FortiClient Oberfläche ein Backup durch. Oeffne dieses Backup und suche die Position "<localid></localid>" und definiert die entsprechende "local-id" sowie nach Modifikation führe einen Restore durch anhand des modifiziert Files. Diese Definition der "local-id" sowie die gesamte Konfiguration des FortiClient kann ebenfalls anhand der xml Defintion/Konfiguration durchgeführt werden. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F
Das "Client Certificate" das wir für "solivaan" erstellt haben muss nun im FortiClient als .p12 importiert werden. Dazu wähle in der entsprechenden Konfigurierten IPSec Verbindung im FortiClient folgendes:
Danach wähle im FortiClient folgende Position und importiere das .p12 Certificate (client.p12) dh. das Certificate des User "solivaan" für den wir den FortiClient konfigurieren:
File > settings > Certificate Management
Nun kann die Konfiguration getestet werden!
Wie kann ich einem VPN Client für IPSec Client2Site VPN Verbindung eine Fixe IP zuweisen/konfigurieren?
Wenn einem VPN Client zB Windows PC für eine VPN Client2Site Verbindung eine Fixe IP zugewiesen werden soll ist folgendes zu berücksichtigen: In der Phase-1 eine VPN Client2Site Verbindung dh. Dial-Up wird für einen DHCP Server die Position "Mode Config" aktiviert (mode-cfg). Durch diese Position resp. Option muss ein "Client Address Range" mit dessen "Subnet Mask" definiert werden. Diese Definition aktiviert für die Phase-1 einen "build-in" DHCP Server resp. auch "Office IP Pool" genannt. Wenn ein VPN Client eine Verbindung aufbaut zum IPSec Interface das unser VPN Client2Site darstellt wird dem VPN Client nach erfolgreicher Authentifizierung eine IP aus diesem "Client Address Range" zugewiesen. Wenn nun diesem VPN Client immer die gleiche IP zugewiesen werden soll ist diese Konfiguration einer "Fix IP" unter "Mode Config" nicht möglich. Die Konfiguration ist jedoch möglich in dem ein DHCP Server auf dem IPSec Interface der VPN Client2Site Verbindung resp. Dial-Up aktiviert wird. Als erster Schritt muss jedoch "Mode Config" in der Phase-1 für die VPN Client2Site Verbindung deaktiviert werden. Ebenso muss n der Phase-2 nun die Funktion eines DHCP Servers für IPSec aktiviert werden (dhcp-ipsec). Auf Kommandozeile wird das folgendermassen ausgeführt kann jedoch auch über Web Mgmt. Interface in der Phase-1 durchgeführt werden:
# config vpn ipsec phase1-interface
# edit [Gebe einen entsprechenden Namen ein für Phase1; Nicht mehr als 12 Zeichen zB "ipsec-fc"]
# set mode-cfg disable
# end
# config vpn ipsec phase2-interface
# edit [Gebe einen entsprechenden Namen ein für Phase2; Nicht mehr als 12 Zeichen zB "ipsec-fc"]
# set dhcp-ipsec enable
# end
Danach muss auf dem entsprechenden IPSec Interface ein DHCP Server aktiviert werden sowie dieser als IPSec DHCP Server definiert werden:
System > Network > Interface > [Wähle das entsprechepnde IPSec Interface innerhalb des entsprechenden WAN Interface]
NOTE Definiere für das IPSec Interface den IP Range dh. zB für die VPN Clients soll der IP Range 192.168.5.0/24 benutzt werden. Aktiviere innerhalb des IPSec Interface die Position "DHCP Server". Konfiguriere für den "DHCP Server" den entsprechenden IP Range der benutzt werden soll für die VPN Clients dh. in unserem Fall innerhalb des definierten IP Ranges des Interface was wiederum 192.168.5.2-254 entspricht. Definiere den entsprechenden "DNS Server" im normal Fall den internen DNS Server der Umgebung. Aktiviere unter "Type" IPsec anstelle von "Regular" und definiere die Fix IP für den VPN Client dem eine Fix IP zugewiesen werden soll anhand der MAC Adresse des VPN Client.
Ein zusätzliches Routing ist unter FortiOS 5.2 nicht nötig da durch die Definition für Type "IPSec" der entsprechende definierte IPSec DHCP Range im Layer 4 innerhalb des VPN Deamons geroutet wird. Dieser ist jedoch nur dann sichtbar unter nachfolgenden Befehl wenn VPN Clients verbunden sind:
# diagnose vpn ike routes list
Unter FortiOS 5.0 abhängig vom Release Stand empfehlen wir einen entsprechenden Routing Eintrag zu erstellen für den IPSec DHCP IPRange auf das IPSec Interface. Als letzten Schritt muss auf dem Client resp. FortiClient in der Konfiguration unter "Option" die Position von "Mode Config" auf "DHCP" umkonfiguriert werden. Danach kann die Konfiguration getestet werden. Die Zuweisung der Fix IP resp. die Zuweisung der IP's für das IPSec Interface über den konfigurierten DHCP Server kann nachträglich für die VPN Clients unter folgender Position kontrolliert werden:
System > Monitor > DHCP Monitor
Gibt es eine Möglichkeit eine FortiClient Installation auf Windows komplett zu deinstallieren/säubern?
Wenn eine FortiClient Installation auf einer Workstation/Laptop durchgeführt wird und man aus irgendwelchen Gründen diesen wieder deinstallieren will, kann dies ordnungsgemäss über die DeInstallations Routine durchgeführt werden. Wenn es zu Problemen kommt dh. mit zB dritt Software oder misslungenen Installationen von FortiClients wäre es gut ein Tool zur Verfügung zu haben, dass die Deinstallation überprüft und event. übrig gebliebenen Komponenten korrekt entfernt/säubert. Dieses Tool für FortiClient steht im "FortiClientTools" Package zur Verfügung im Verzeichnis "SupportUtils" und trägt den Namen "FCRemove.exe". Dieses "FortiClientTools" Package kann regulär über das Download Verzeichnis (Images) von Fortinet runtergeladen werden. Dazu wird ein Support Account benötigt und nach erfolgreichen Login stehen die Downloads über folgenden Link zur Verfügung:
https://support.fortinet.com/Download/FirmwareImages.aspx
Nach dem erfolgreichen Download des "FortiClientTools" Package muss dieses entpackt werden und das Tool befindet sich wie erwähnt im Verzeichnis "SupportUtils". Dieses Tool ist Versions abhängig dh. muss für die jeweilige Version zB 5.0 oder 5.2 ausgeführt werden da die verschiedenen Registry Einträge usw. von Version zu Version unterschiedlich sind.
Welche Standard Open Ports benützt ein FortiClient für dessen Komunikation?
Nachfolgendes Diagramm zeigt welche Standard Ports ein FortiClient für dessen Komunikation benützt im Zusammenhang mit einem FortiGate Device, FortiManager usw. Dabei ist folgendes zur berücksichtigen: Dieses Diagramm zeigt die Open Ports für einen FortiClient Endpoint Security der lizensiert werden muss dh. Ein FortiClient Endpoint Security im VPN-Only Mode benutzt diese Open Ports nicht. Ausgehend davon, dass die FortiClient Endpoint Security "autoupdate" Funktion deaktiviert wurde sowie SSL-VPN und IPSec benutzt wird, benützt ein FortiClient Endpoint Security im VPN-Only Mode UDP IKE 500 sowie der SSL-VPN TCP Port 10443 (Standard):
Weitere Auskunft über Open Ports gibt nachfolgendes Dokument von Fortinet:
Datei:Fortigate-Open-Ports-54.pdf
Kann ich unter FortiOS 5.2 einen FortiClient 4 MR3 und/oder 5.0 im "VPN-Only" Mode benutzen?
Ausgehend davon, dass der FortiClient 4 MR3 sowie 5.0 im "VPN-Only" Mode ist können diese Versionen unter FortiOS 5.2 eingesetzt werden. Weitere Informationen zum "VPN-Only" Mode siehe nachfolgneden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F
Fortinet führt im FAQ Dokumnet für den FortiClient 5.2 die Antwort folgendermassen auf:
"IPSec and SSL VPN connection from FortiClient 4 MR3 and 5.0 should still work with FortiOS 5.2"
Basierend auf dieser Antwort hat man keine Gewährleistung, dass der FortiClient 4 MR3 sowie FortiOS 5.0 ohne Probleme unter FortiOS 5.2 eingesetzt werden kann. Wir empfehlen ein Upgrade auf den FortiClient 5.2 sofern FortiOS 5.2 eingesetzt wird. Desweiteren empfehlen wir den FortiClient basierend auf 4 MR3 nicht mehr einzusetzen (EOL ; End of Life). Das FAQ Dokument für FortiClient 5.2 findet man im nachfolgenden Artikel:
FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F
Unter FortiOS 5.2 kann für eine Client2Site IPSec VPN Verbindung keine "static route" im Web Mgmt. konfiguieren werden?
Unter FortiOS 5.0.x ist die Konfiguration einer Client2Site VPN Verbindung sei es für Windows, IOS, Android in 3 Schritten zu vollziehen dh.:
Schritt 1: Erstelle eine Phase 1 sowie 2 manuell oder anhand des "Client Wizards"
Schritt 2: Erstelle für den IP Pool Range eine statische Route und definiere für diesen das IPSec Interface Name Phase 1
Schritt 3: Anhand des IPSec Interface Name Phase 1 erstelle die nötigen Firewall Policy
Wenn nun unter FortiOS 5.2 eine Client2Site IPSec VPN basierende Verbindung manuell und/oder über ein Template erstellt wird und man nachträglich eine statische Route für den "IP Pool Range" erstellen möchte, fällt einem auf das dies nicht mehr möglich ist. Der Grund dafür ist, dass das entsprechende IPSec Interface mit dem Namen der Phase 1 nicht mehr über Web Mgmt. Interface ausgewählt werden kann. Wenn man sich das auf CLI anschaut wird man feststellen, dass das/die IPSec Interface/s unter dem Kommando "set device" nicht mehr erscheinen. Dies bedeutet: diese können nicht mehr für ein Dial-up (Client2Site) unter FortiOS 5.2.x innerhalb einer statischen Routing Eintrags konfiguriert werden:
# config router static
# edit 1
# det dst [IP Pool Range mit Subnet]
# set device [Interface der IPsec VPN Verbindung Phase 1]
# end
Nun die Route für einen statischen Routing Eintrag ist unter FortiOS 5.2 überflüssig da unter 5.2 sobald eine Phase 1 erstellt wird mit der entsprechenden "IP Pool Range" Definition im Hintergrund für den VPN Deamon ein "automatischer" Eintrag erstellt wird. Diese "automatische" Routing Einträge sind über den Routing Monitor nicht mehr ersichtlich da diese nicht im Layer 3 existieren (Routing Monitor) sondern im Layer 4 innerhalb des VPN Deamons. Um den Routing Eintrag innerhalb des VPN Deamons zu kontrollieren kann folgender Befehl durchgeführt werden:
# diagnose vpn ike routes list
Das vorhergehende Kommando "diagnose vpn ike routes list" zeigt nur Routing Einträge im VPN Deamon für Dial-up VPN's (Client2Site) und nicht für "Site2Site" VPN's. Ebenfalls werden die entsprechenden Routing Einträge für Dial-up nur dann angezeigt wenn eine aktive Verbindung eines Dial-up existiert. Dies bedeutet: Ist im Moment der Ueberprüfung kein Client verbunden werden diese Routing Einträge die über "diagnose vpn ike routes list" angezeigt werden sollte nicht angezeigt.
Um welche Version des FortiClient handelt es sich wenn ich diesen über das Mgmt. Web Interface der FortiGate runterlade?
Wenn man unter FortiOS 5.0.5 oder höher den FortiGuard Service aktiviert resp. dieser erreichbar ist, kann der FortiClient über das Dashboard der FortiGate direkt runtergeladen werden:
System > Dashboard > Status > License Information > FortiClient Software > [Wähle Mac und/oder Windows)
Unter FortiOS 5.4 muss minimal folgendes Kommando für ein Interface aktiviert werden damit die entsprechenden Positionen im Dashboard und/oder im SSL-Portal ersichtlich werden:
# config system interface
# edit [Name des entsprechenden Interface zB "internal"]
# set listen-forticlient-connection [enable | disable]
# end
Diese Version ist eine Online Version und wird direkt aus dem Fortinet Distribution Service geladen. Das bedeutet: die Version die hier geladen wird, ist basierend auf dem "FortiClientOnlineInstaller". Der "FortiClientOnlineInstaller" ist ein .exe File das benutzt wird um das effektive Package aus der Cloud (Fortinet Distribution Service) runterzuladen. Das Package das runtergeladen wird steht als Ganzes nicht zur Verfügung und kann nur über den "FortiClientOnlineInstaller" runtergeladen werden:
ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.7/
Dieser Link ist nicht direkt zugänglich dh. um zu diesen Links zu gelangen logge dich auf https://support.fortinet.com ein und wähle im unteren Bereich "Firmware Images". Danach im Scrollbalken wähle "FortiClient" danach gehe auf den "Download Button". Nun wähle das entsprechende Betriebssystem zB "Windows" usw. Schaut man sich die Release Notes zB der Version 5.0.7/5.2 genauer an so fällt einem folgendes auf:
In den Release Notes wird folgendes File beschrieben:
• FortiClientOnlineInstaller_5.0.7.0333: Minimal installer for 32-bit and 64-bit Windows. This
file downloads and installs the latest FortiClient file from the public FDS.
• FortiClientOnlineInstaller_5.2.0.0591: Minimal installer for 32bit and and 64-bit Windows.
Dabei handelt es sich genau um das File das über den Fortinet Distribution Service runtergeladen werden kann. Bei diesem File handelt es sich um ein "Minimal installer" oder besser gesagt "VPN only" Installation File. Wir empfelen nicht diese Packete die über die FortiGate im Dashboard und/oder SSL-Portal zur Verfügung gestellt werden zu benutzen. Wir empfehlen den FortiClient anhand des "FortiClientTools" zu Packetieren. Weitere Informationen siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F
Zusätzlich stellen wir die aktuellen Versionen des FortiClient im "VPN-Only" Mode, die anhand des "FortiClientTools" Packetiert wurden sowie über ein deaktiviertes Autoupdate verfügen, zur Verfügung. Diese "VPN-Only" Packete für Windows und MAC können über den folgenden Link runtergeladen werden:
FortiGate:KonfigExample#Typische_KMU_Konfiguration
Nachträglich kann der Client sofern gewünscht anhand des folgenden Artikels "customized" werden:
FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F
Danach kann dem Enduser ein vollständiges konfigurations File zur Verfügung gestellt werden, dass dieser manuell installieren oder über GroupPolicy verteilen werden kann. Nichts desto trotz möchte man den FortiClient Installer manuell runterladen, kann dies über die offizielle Download Seite von Fortinet durchgeführt werden (Support Login wird benötigt):
https://support.fortinet.com/Download/FirmwareImages.aspx
FortiOS 5.0
• FortiClientSetup_5.0.7.0333.exe: Standard installer for 32-bit Windows.
• FortiClientSetup_5.0.7.0333.zip: A zip package containing FortiClient.msi and language
transforms for 32-bit Windows. Some properties of the MSI package can be customized
with FortiClient Configurator tool.
• FortiClientSetup_5.0.7.0333_x64.exe: Standard installer for 64-bit Windows.
• FortiClientSetup_5.0.7.0333_x64.zip: A zip package containing FortiClient.msi and language
transforms for 64-bit Windows. Some properties of the MSI package can be customized
with FortiClient Configurator tool.
• FortiClientTools_5.0.7.0333.zip: A zip package containing miscellaneous tools including the
FortiClient Configurator tool and VPN Automation files.
FortiOS 5.2
• FortiClientSetup_5.2.0.0591.exe : Standard installer for Microsoft Windows (32-bit).
• FortiClientSetup_5.2.0.0591.zip : A zip package containing FortiClient.msi and language transforms for Microsoft Windows
(32-bit). Some properties of the MSI package can be customized with FortiClient Configurator tool.
• FortiClientSetup_5.2.0.0591_x64.exe: Standard installer for Microsoft Windows (64-bit).
• FortiClientSetup_5.2.0.0591_x64.zip: A zip package containing FortiClient.msi and language transforms for Microsoft Windows
(64-bit). Some properties of the MSI package can be customized with FortiClient Configurator tool.
• FortiClientTools_5.2.0.0591.zip: A zip package containing miscellaneous tools including the FortiClient Configurator tool and
VPN Automation files.
Gibt es einen FortiClient für IOS und/oder Android Devices und welche Funktionen unterstützten diese
Die beiden offiziellen Apps von Fortinet (FortiClient) für IPhone und/oder Android unterstützen in der 5.0 Version ausschliesslich das Browsen dh. wenn man verbunden ist mit dem APP kann der aufgebaute VPN Tunnel nur für das Browsen benutzt werden deshalb wird dieser Client auch "SSL proxy VPN connection agent" genannt (SSL-VPN). Neu unter FortiOS 5.2 unterstützt - im Gegensatz zu IOS - Android ebenfalls eine IPSec Verbindung. Will man eine klassische IPSec Verbindung anhand eines IOS Gerätes durchführen so ist das mit dem Cisco Client (Unity Client) möglich sowie mit der eingebauten VPN Funktion eines IPhones/IPad's. Nachfolgende Links geben weitere Auskunft über IPSec und/oder SSL-VPN für IOS und/oder Android Devices:
FortiGate-5.0-5.2:FAQ#Gibt_es_eine_M.C3.B6glichkeit_mit_einem_IPhone.2FIPad_.C3.BCber_IPSec_eine_Verbindung_aufzubauen_zu_einer_Fortigate.3F FortiGate-5.0-5.2:FAQ#Wie_wird_unter_FortiOS_5.0_ein_IPSec_basierende_Site2Site_VPN_Verbindung_aufgebaut_.28Interface_Based.29.3F
FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_IOS_und_Android_einen_SSL_VPN_Client.3
Zusätzlich zeigen folgende Links wie eine IPSec/SSL Verbindung auf einer FortiGate zu konfigurieren ist:
FortiGate-5.0-5.2:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.0_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F FortiGate-5.0-5.2:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.2_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F
FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.0_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.2_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F
Wie wird ein Client2Site IPSec VPN unter FortiOS 5.0 konfiguriert für FortiClient, iOS und Android?
Unter FortiOS 5.0 werden Verbindungen basierend auf Client2Site IPSec VPN anhand eines "VPN Wizard's" erstellt/konfiguriert. Im "VPN Wizard's" hat man die Möglichkeit die Art der Verbindung (Device zB iOS, Android) zu wählen. Die Vorgehensweise der Konfiguration ist für jede Art einer Verbindung sei es iOS und/oder Android etc. die Gleiche. Für unser Beispiel unter FortiOS 5.0 gehen wir von folgender Situation aus:
____________ _________________________
193.193.135.66/29| | 192.168.1.99 | |
----- WAN 1 -----| Fortigate |------ LAN -----| LAN Env. 192.168.1.0/24 |
|____________| |_________________________|
Erstellung eines User's
User & Device > User > User Definition > Create New
Erstellung einer Gruppe und hinzufügen des User's
User & Device > User > User Groups > Create New
Erstellung eines Adress Objekt's für IP-Pool
Policy & Objects > Adresses > Addresses > Create New
NOTE Der IP-Pool Range stellt ein DHCP Server dar. Nach erfolgreicher Authentifizierung des IPSec VPN Client's
wird diesem eine IP Adresse aus diesem Range zugewiesen!
Erstellung eines Adress Objekt's für Internal/LAN
Policy & Objects > Adresses > Addresses > Create New
Erstellung Phase-1/2 FortiClient Windows
VPN > IPSec > Auto Key (IKE) > Create VPN Wizard
NOTE Der vergebene Name der Verbindung steht im Zusammenhang mit den möglichen gleichzeitigen IPSec VPN Tunnel. Es wird
empfohlen nicht mehr als 12 Zeichen zu benutzen (100 gleichzeitige IPSec VPN Tunnel). Mehr detailierte Informationen
dazu siehe nachfolgender Artikel:
FortiGate-5.0-5.2:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F
NOTE Im normal Fall ist der Punkt "Split Tunneling" zu definieren denn wenn dies nicht durchgeführt wird gilt bei einer
erfolgreichen IPSec VPN Verbindung, dass sämtlicher Traffic durch den Tunnel geroutet wird. Deshalb sollte die Split
Tunneling Funktion aktiviert werden ausser aus Security Gründen wird darauf verzichtet. Weitere Informationen dazu
siehe nachfolgenden Artikel:
FortiClient:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F
Erstellung einer Firewall Policy Incoming
Policy > Policy > Policy > Create New
NOTE In der Firewall Policy sollte die Position "NAT" (Source NAT) nicht aktiviert werden "Use Destination Interface Address".
Der IP-Pool der definiert wird in der Phase-1 muss -wenn NAT deaktiviert ist- im internen Netz geroutet werden. Ist dies
nicht der Fall kommt zwar die Verbindung zu stande, jedoch der FortiClient kann keine Resource angehen da dieser IP-Pool
(DHCP) -aus dem der FortiClient eine Adresse bezieht- nicht im Internal/LAN geroutet ist. Wird "NAT" aktiviert wird
"sämtlicher" Traffic betreffend Source des FortiClientj's translated auf die IP des Internen Interface's (unser Beispiel
die Destination). Somit kann der einzelne FortiClient mit der ihm zugewiesene IP nicht mehr einzel identifiziert werden
da alle FortiClient's als Source die gleiche IP ausweisen.
Erstellung einer Firewall Policy Outgoing
Policy > Policy > Policy > Create New
NOTE Diese Firewall Policy Rule für Outgoing ist "optional". Dies bedeutet: Diese Firewall Policy Rule wird Hauptsächlich benutzt
um Support auf dem FortiClient zu leisten. Dies bedeutet: Ist die IP des FortiClient -die dem FortiClient über den definierten
IP-Pool zugewiesen wurde- kann anhand dieser Outgoing Firewall Policy auf den FortiClient zB über RDP zugegriffen werden!
Konfigurieren des Routings für IP-Pool
Router > Static > Static Routes > Create New
Die Konfiguration ist abgeschlossen! Nun muss nur noch der entsprechende FortiClient installiert werden. Dieser sollte als "VPN-Only" installiert werden. In dieser Installation enthält diese Installation "nur" VPN Funktionalität dh. IPSec und/oder SSL-VPN. Weitere Informationen über "VPN-Only" Installation sowie "SSL-VPN" siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F FortiGate-5.0-5.2:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.0_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F
Wenn IPSec auf iOS/Android eingesetzt werden möchte siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_IPhone_und_Android_einen_SSL_VPN_Client.3F
Die IPSec VPN Verbindung eines FortiClient basiert ebenfalls IKE Phase-1/2. Aus diesem Grund kann bei Problemen der gleiche Debug Mode benutzt werden wie für eine IPSec Tunnel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_ein_IPSec_VPN_f.C3.BCr_Phase-1_und.2Foder_2_ein_Debugging_ausf.C3.BChren.3F
Wenn der FortiClient nach erfolgreicher Anmeldung bestimmte Resourcen nicht erreichen kann ist es Sinnvoll diese Probleme anhand des Sniffer's zu überprüfen. Weitere Informationen zum "Sniffer" Mode siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wie_benutze_ich_das_Sniffer_Kommando_.22diagnose_sniffer_packet.22.3F
Wie wird ein Client2Site IPSec VPN unter FortiOS 5.2 konfiguriert für FortiClient, iOS und Android?
Unter FortiOS 5.2 werden Verbindungen basierend auf Client2Site IPSec VPN anhand eines "VPN Wizard's" erstellt/konfiguriert. Im "VPN Wizard's" hat man die Möglichkeit die Art der Verbindung (Device zB iOS, Android) anhand von "Template's" (Vorlagen) zu wählen. Die Vorgehensweise der Konfiguration ist für jede Art einer Verbindung sei es iOS und/oder Android etc. die Gleiche. Für unser Beispiel unter FortiOS 5.2 gehen wir von folgender Situation aus:
____________ _________________________
193.193.135.66/29| | 192.168.1.99 | |
----- WAN 1 -----| Fortigate |------ LAN -----| LAN Env. 192.168.1.0/24 |
|____________| |_________________________|
Erstellung eines User's
User & Device > User > User Definition > Create New
Erstellung einer Gruppe und hinzufügen des User's
User & Device > User > User Groups > Create New
Erstellung eines Adress Objekt's für IP-Pool
NOTE Durch den Gebrauch des Wizards resp. des Template's im Hintergrund, wird ein entsprechendes IP-Pool
Objekt automatisch erfasst das nachträglich unter folgender Position ersichtlich ist:
Policy & Objects > Objects > Adresses > [Name der Phase-1/2_range]
Erstellung eines Adress Objekt's für Internal/LAN
Policy & Objects > Objects > Adresses
Erstellung Phase-1/2 FortiClient Windows
VPN > IPSec > Tunnels > Create New
NOTE Die Meldung unter Name die in unserem Fall erscheint "10000 concurrent user(s)...." steht in Zusammenhang
mit der Art und Weise wie im Hintergrund jeder Tunnel in der Phase-1/2 abgebildet wird dh. weitere Informationen
dazu siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F
NOTE Im normal Fall ist der Punkt "Split Tunneling" zu definieren denn wenn dies nicht durchgeführt wird gilt bei einer
erfolgreichen IPSec VPN Verbindung, dass sämtlicher Traffic durch den Tunnel geroutet wird. Deshalb sollte die Split
Tunneling Funktion aktiviert werden ausser aus Security Gründen wird darauf verzichtet. Weitere Informationen dazu
siehe nachfolgenden Artikel:
FortiClient:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F
Erstellung einer Firewall Policy Incoming
Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Rule]
NOTE Durch den Gebrauch des Wizards resp. des Template's im Hintergrund, wird eine entsprechende Firewall Policy
automatisch konfiguriert. Diese sollte dementsprechend modifiziert/kontrolliert werden!
NOTE In der Firewall Policy wir die Position "NAT" (Source NAT) aktiviert auf "Use Destination Interface Address". Dies
sollte deaktiviert werden. Die Position "NAT" wird durch den Wizard resp. das Template aktiviert aus folgenden Grund:
Der IP-Pool der definiert wird in der Phase-1 muss -wenn NAT deaktiviert ist- im internen Netz geroutet werden. Ist dies
nicht der Fall kommt zwar die Verbindung zu stande, jedoch der FortiClient kann keine Resource angehen da dieser IP-Pool
(DHCP) -aus dem der FortiClient eine Adresse bezieht- nicht im Internal/LAN geroutet ist. Wird "NAT" aktiviert wird
"sämtlicher" Traffic betreffend Source des FortiClientj's translated auf die IP des Internen Interface's (unser Beispiel
die Destination). Somit kann der einzelne FortiClient mit der ihm zugewiesene IP nicht mehr einzel identifiziert werden
da alle FortiClient's als Source die gleiche IP ausweisen.
Erstellung einer Firewall Policy Outgoing
Policy & Objects > Policy > IPv4 > Create New
NOTE Diese Firewall Policy Rule für Outgoing ist "optional". Dies bedeutet: Diese Firewall Policy Rule wird Hauptsächlich benutzt
um Support auf dem FortiClient zu leisten. Dies bedeutet: Ist die IP des FortiClient -die dem FortiClient über den definierten
IP-Pool zugewiesen wurde- kann anhand dieser Outgoing Firewall Policy auf den FortiClient zB über RDP zugegriffen werden!
Konfigurieren des Routings für IP-Pool
Router > Static > Static Routes > Create New
Die Konfiguration ist abgeschlossen! Nun muss nur noch der entsprechende FortiClient installiert werden. Dieser sollte als "VPN-Only" installiert werden. In dieser Installation enthält diese Installation "nur" VPN Funktionalität dh. IPSec und/oder SSL-VPN. Weitere Informationen über "VPN-Only" Installation sowie "SSL-VPN" siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F FortiGate-5.0-5.2:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.2_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F
Wenn IPSec auf iOS/Android eingesetzt werden möchte siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_IPhone_und_Android_einen_SSL_VPN_Client.3F
Die IPSec VPN Verbindung eines FortiClient basiert ebenfalls IKE Phase-1/2. Aus diesem Grund kann bei Problemen der gleiche Debug Mode benutzt werden wie für eine IPSec Tunnel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_ein_IPSec_VPN_f.C3.BCr_Phase-1_und.2Foder_2_ein_Debugging_ausf.C3.BChren.3F
Wenn der FortiClient nach erfolgreicher Anmeldung bestimmte Resourcen nicht erreichen kann ist es Sinnvoll diese Probleme anhand des Sniffer's zu überprüfen. Weitere Informationen zum "Sniffer" Mode siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wie_benutze_ich_das_Sniffer_Kommando_.22diagnose_sniffer_packet.22.3F
Kann ich mehrer Client2Site IPSec VPN (Dial-Up) auf "einer" FortiGate konfigurieren sei es für FortiClient, iOS und Android?
Wenn man auf einer FortiGate die Anforderungen hat mehrer Client2Site VPN's (Dial-Up IPSec Phase1 in Pre-Shared Key (PSK) Main Mode) zu konfigurieren läuft man in das Problem das "nur" immer das "erste" VPN in der Firewall Policy (top down first match wins) erkannt wird. Das Problem ist kein FortiGate Problem sondern stammt von der Art und Weise wie ein IPSec (IKE) im Main Mode mit PSK implementiert wird. Weitere Informationen betreffend Main Mode sowie Aggressive Mode siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Was_sind_die_Grundlagen_eines_IPSec_Tunnels_sei_es_Main_Mode_oder_Aggressive_Mode.3F
Wenn ein zwei Client2Site VPN's auf die gleiche Public IP konfiguriert werden und ein IKE (TCP/UDP 500) PSK Main Mode Anfrage trifft auf die Firewall kann der IKE Service nicht erkennen welche Verbindung angesprochen wird. Dies bedeutet der IKE Service nimmt die Anfrage für den PSK Main Mode für "Alle" konfigurierten Client2Site VPN's an und läuft somit gezwungenermassen in eine Fehlermeldung da die Authentication des Preshared Secret (PSK) in der Phase1 in einer der Client2Site VPN's fehlschlägt. Unter "diagnose debug application ike -1" wird folgende Fehlermeldung angzeigt:
log_id=0101023003 type=event subtype=ipsec pri=error loc_ip=aa.bb.cc.dd loc_port=500 rem_ip=ee.ff.gg.hh rem_port=500 out_if="wan1" vpn_tunnel="branchOffice" cookies=asd2345sdf4sdf345 action=negotiate status=negotiate_error msg="Negotiate SA Error: probable pre-shared secret mismatch"
Wenn mehrere Client2Site VPN's resp. Dial-Up IPSec Phase1 existieren hat die Phase1 im PSK Main Mode keine Möglchkeit die Anfrage zur entsprechenden Phase1 zu zuweisen. Auch einer entsprechende Konfiguration einer "Source IP" in der Firewall Policy um auf die entsprechende Phase1 zu zeigen bringt kein Abhilfe denn in der Phase1 im PSK Main Mode werden "Alle" Source IP's gleich behandelt resp. verarbeitet/beantwortet. Es gibt somit keine Möglichkeit im PSK Main Mode ein spezifische Phase1 zu zuweisen. Technisch gesehen gilt in dieser Situation folgendes:
1. Der PSK (Pre-shared Key) selber ist Teil der Kalkulation des Phase1 "root key's" (SKEYID)
2. Dieser "root key" wird dann unterteilt/umgewandelt in zwei keys dh. "SKEYID_e sowie SKEYID_a. Diese zwei Key's werden in der Phase1 benutzt für Encryption und Authentcation.
= Somit ergiebt sich für die Phase1: Die Key's SKEYID_e/a sind basierend auf dem PSK. Die daraus resultierende Fehlermeldung
stammt also von der Antwort der falschen Phase1 und endet in einem "probable PSK mismatch" da IKE nicht möglich ist der
entsprechenden Source die entsprechende Antwort zu senden.
Nun stellt sich die Frage kann man dennoch solch eine Konfiguration durchführen dh. mehrere Client2Site VPN's auf einer FortiGate? Die Vorraussetzungen sind korrekt konfigurierte Client2Site VPN's wie in nachfolgenden Artikeln beschrieben:
FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.0_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.2_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F NOTE In diesen Artikeln wird anhand des Client Wizards unter FortiOS 5.0 sowie anhand eines Templates unter FortiOS 5.2 eine Client2Site VPN (Dial-Up) im "Aggressive Mode" durchgeführt. Dies bedeutet: Dieser Aggressive Mode ist Voraussetzung um mehrere Client2Site VPN's auf einer FortiGate in der Phase1 zu erkennen. Zusätzlich zur obenerwähnten Konfiguration muss in jeder Phase1 eine unterschiedliche "Local ID" konfiguriert werden: VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Loacal ID Der Nachteil an dieser Konfiguration dh. "Aggressive Mode" sowie die Konfiguration der "Local ID" ist das diese Information im "Aggressive Mode" in "clear-text" der Phase1 übermittelt mit. Diese Uebermittlung in "clear-text" ist dann zuständig die korrekte Phase1 anzusprechen und die entsprechende Antwort betreffend "SKEYID_e/a" (root key) zu erhalten. Der zuständige Befehl der über Kommandozeile die entsprechende Local ID setzt ist: # config vpn ipsec phase1-interface # edit [Name der entsprechenden Phase1] # set mode aggressive # set localid [Name der ID] # end
Eine andere Möglichkeit ist im Main Mode nicht PSK (Pre-shared Key) sondern eine Zertifikat basierende Lösung dh. RSASIG zu benutzen. In dieser Konfiguration wird wird in der Phase1 folgendes Konfiguriert:
VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Authentication Methode > RSA Signature
VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Authentication Methode > Certificate Name > [Gebe das entsprechende Zertifikat an]
NOTE Wenn Main Mode RSASIG benutzt wird werden keine Informationen über "clear-text" übermittelt. Dies bedeutet: In dieser Konfiguration
wird die erste Main Mode Nachricht an IKE gesendet und IKE nimmt diese Nachricht in der Phase1 in eine Liste auf. Wenn nicht die
korrekte Phase1 angesprochen wird spielt dies keine Rolle denn in diesem Mode spielen "SKEYID-a/e" keine Rolle da im Main Mode RSASIG
diese Informationen auf dem "payload" (Zertifikat) basieren und nicht wie im Aggressive Mode auf dem PSK. Der "payload" basiert auf
den Informationen die zwischen den Peer's ausgetauscht wird und der Diffie-Hellman Private Key der lokal auf jedem Peer existiert.
Wenn die Informatione anhand des Zertifikat Informationen entschlüsselt wurden weiss der IKE "responder" resp. die FortiGate um welche
Phase1 es sich handelt (ID). Erkannt wird die richtige Phases durch den DN des Zertifikates das auf dem Client konfiguriert ist. Um die
RSASIG Konfiguration über Kommandozeile durchzuführen gebe folgendes ein:
# config vpn ipsec phase1-interface
# edit [Name der entsprechenden Phase1]
# set mode main
# set rsa-certificate
# set authmethod rsa-signature
# end
Kann ich die Konfiguration des FortiClient "vorkonfigurieren" und zur Verfügung stellen (Distribution)?
Dies ist möglich und wird anhand eines "xml" Files durchgeführt. Dieses "xml" File kann über die FortiGate zur Verfügung gestellt werden (bis 100D 10 User inkl.; zusätzliche User müssen lizensiert werden). Nachfolgendes Dokument gibt Ausfkunft über die vers. Konfigurations Möglichkeiten im diesem "xml" File:
FortiOS 5.0
Datei:Forticlient-xml-ref-50.pdf
Datei:Forticlient-xml-ref-504.pdf
Datei:Forticlient-xml-ref-505.pdf
Datei:Forticlient-xml-ref-506.pdf
Datei:Forticlient-xml-ref-507.pdf
Datei:Forticlient-xml-ref-509.pdf
Datei:Forticlient-xml-ref-510.pdf
FortiOS 5.2
Datei:Forticlient-xml-ref-521.pdf
Datei:Forticlient-xml-ref-523.pdf
Datei:Forticlient-xml-ref-524.pdf
Datei:Forticlient-xml-ref-525.pdf
FortiOS 5.4
Datei:Forticlient-xml-ref-540.pdf
Nachfolgend die "Administration Guide" des FortiClient für FortiOS 5.0/5.2:
FortiOS 5.0
Datei:Forticlient-admin-503.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-505.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-506.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-507.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-509.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-510.pdf (Für Windows und Mac OSX)
FortiOS 5.2
Datei:Forticlient-admin-520.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-521.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-522.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-523.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-524.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-525.pdf (Für Windows und Mac OSX)
FortiOS 5.4
Datei:Forticlient-admin-540.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-541.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-542.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-543.pdf (Für Windows und Mac OSX)
Wie verhindere ich auf dem Client/Workstation die Registrierungsanfrage PopUps auf dem FortiClient GUI?
Sobald der FortiClient in Verbindung zu einer FortiGate mit aktivierter Endpoint Registration kommt, erhält er beim Betrieb mit der Default Konfiguration eine Registration-Request-Message. Diese kann verschieden verarbeitet werden:
Manuell Request ablehnen:
Manuelle Ablehnung des Requests übers GUI lokal auf dem Client/Workstation
Automatisch Request ablehnen:
Automatische Ablehnung des Requests. Dies geht nur wenn der FortiClient bereits bei einer anderen FortiGate registriert ist
und die Deregistration ausgeschaltet ist. Die Konfiguration kann über die FortiClient-XML-Konfigurationsdatei vorgenommen
werden. Details zum XML-Konfigurationsdatei Aufbau sind im FortiClient XML Referenzguide beschrieben. Siehe dazu nachfolgender
Artikel:
FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F
Die im Artikel resp. im XML Refrence Dokument beschriebene Sektion <endpoint_controll></endpoint_controll> beinhaltet die nötigen Parameter:
--------------- xml refrence ---------------
<endpoint_control>
...
<skip_confirmation>1</skip_confirmation>
...
<disable_unregister>1</disable_unregister>
...
<name>Encrypted user name</name>
<registration_password>Passwort</registration_password>
<addresses>Adress of the Fortigate to register to</addresses>
...
</endpoint_control>
--------------- xml refrence ---------------
NOTE Mit <skip_confirmation>1</skip_confirmation> wird die automatische Registrierung an der in der Adressliste
<addresses>...</addresses> angegebenen Fortigate forciert. Für die Registrierung werden der Username sowie
das Passwort von <name></name> und <registration_password></registration_password> verwendet. Mit der Option
<disable_unregister>1</disable_unregister> wird sichergestellt, das sich der Client nicht mehr deregistrieren
kann. Dies führt Implizit dazu, dass sich der FortiClient auch an keinen neuen FortiGates regstrieren kann
und somit allfällige Registration Requests automatisch ablehnt.
Requests Automatisch annehmen:
Ein andere Möglichkeit ist generelle Annahme der Registration-Requests. Dies führt dazu, dass sich der FortiClient
jeweils automatisch an der anfragenden FortiGate registriert. Diese konfiguration kann ebenfalls über die
FortiClient-XML-Konfigurationsdatei erreicht werden:
--------------- xml refrence ---------------
<endpoint_control>
...
<silent_registration>1</silent_registration>
...
</endpoint_control>
--------------- xml refrence ---------------
NOTE Mit der Option <silent_registration>1</silent_registration> werden vom FortiClient automatisch alle Request Messages
angenommen.
Wie aktiviere ich eine FortiClient Endpoint Security License (License File)?
Wenn man eine FortiClient Endpoint Security License ordered (Abhängig von der Art des Devices resp. Grösse) wird ein License Zertificat zugestellt (File). Diese Licesne Zertifikat beinhaltet einen "Activation Code" und sieht folgendermassen aus:
Dieser Activation Code muss auf der entsprechenden FortiGate unter folgender Position eingegeben werden:
- Erstelle eine Verbindung auf das Mgmt. Gui der entsprechenden FortiGate.
- Unter folgender Position (FortiOS 5.0.2 oder höher) gebe den entsprechenden Activation Code ein:
System > Dashboard > Status > License Information
NOTE Die FortiGate auf der der Activation Code eingegeben wird MUSS über Internet Verbindung resp.
Verbindung (Port 53 oder 8888) in die FortiCloud verfügen da in der FortiCloud eine Verfizierung
des Activation Code durchgeführt wird!
- Nach der erfolgreichen Aktivierung kann das entsprechende License File über den Support Account in der
die FortiGate mit Ihrer Serien Nummer registriert ist heruntergeladen werden. Logge dich zu diesem Zweck
im entsprechenden Support Account ein und wähle Menüpunkt "Manage/View Products". Danach wähle den
entsprechenden Device (Serien Nummer) und nun kann das License File heruntergeladen werden!
Wie kann ich ein FortiClient Endpoint Security Software Package mit VPN (IPSec/SSL-VPN) only erstellen?
Unter FortiOS 5.0 ist der FortiClient Endpoint Security ein Software Package das etliche Funktionen enthält dh. IPSec, SSL-VPN, Antivirus, Firewall, URL WebFilter, IPS usw. Möchte man den FortiClient Endpoint Security mit den Funktionen im Gesamten dh. Antivirus, Firewall usw. nutzen, muss dieser Lizensiert werden (10 User free) da dieser FortiClient Endpoint Security mit seinen Funktionen über die FortiGate verwaltet wird. Zusätzliche User müssen lizensiert werden. Weitere Informationen dazu siehe folgender Artikel Abschnitt FortiOS 5:
FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F
Möchte man nun diesen FortiClient Endpoint Security zwar nutzen jedoch "nur" mit seiner IPSec und/oder VPN-SSL Funktion kann zwar das "orginale" Package installiert werden um nachträglich alle anderen Features zu deaktivieren, jedoch ist das nicht ein zu empfehlender/gangbarer Weg. Somit steht man vor der Aufgabe das orginale Software Package so zu manipulieren das Schlussendlich nur noch die gewünschten Funktionen für eine Installation zur Verfügung stehen dh IPSec und/oder VPN-SSL. Dieses beiden Funktionen IPSec und/oder VPN-SSL müssen nicht lizensiert werden und stehen ohne Limitierunge vollumfänglich auf einer FortiGate zur Verfügung. Um das orginale Software Package zu modifizieren kann folgendes durchgeführt werden:
NOTE Neu kann der FortiClient 5.2 im Setup als "VPN-Only" ausgeführt werden dies bedeutet wenn "VPN-Only" benötigt wird unter FortiClient 5.2 kann dies direkt über das "Setup" bewerkstelligt werden. Somit muss der FortiClient 5.2 für "VPN-Only" nicht mehr anhand der Licens Packetiert werden. Im Setup stehen zwei Optionen zur Verfügung: - Alle Endpoint Security und VPN Komponenten werden installiert - VPN Only wird installiert (IPSec/SSL) Soll der FortiClient dennoch anhand des Packages "FortiClientTools" Packetiert werden so muss man berücksichtigen, das die FortiOS 5.0 License - die für das Packetierung nötig ist - nicht mehr gültig ist. Unter nachfolgenden Artikel stellen wir die "VPN-Only" Packages wie nachfolgende beschrieben zur Verfügung. Diese "VPN-Only" Packages wurden anhand des "FortiClientTools" und der entsprechenden Lizenz erstellt. Dabei wurde bei der Erstellung "VPN-Only" gewählt sowie "Online Updates" deaktiviert: FortiGate:KonfigExample#Typische_KMU_Konfiguration
• Freeware Tool für Packetierung zB Orca (Funktioniert ohne Lizenz eines FortiClient Endpoint Security)
• FortiClientTools für die Packetierung (Funktioniert nur mit einer entsprechenden Lizenz)
Freeware Tool "Orca" (MSI Table Editor)
- Lade das Tool "Orca" von folgenden Link herunter: http://www.softpedia.com/get/Authoring-tools/Setup-creators/Orca.shtml
- Danach installiere "Orca.msi" (Typical) und starte das Tool!
- Lade die entsprechenden orginal FortiClient Endpoint Security Package herunter (Beispiel: Link FortiClient Endpoint Security 5.0.5):
ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5/FortiClientSetup_5.0.5.0308_x64.zip
ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5/FortiClientSetup_5.0.5.0308.zip
NOTE Diese Links sind nicht mehr direkt zugänglich dh. um zu diesen Links zu gelangen logge dich auf
https://support.fortinet.com ein und wähle im unteren Bereich "Firmware Images". Danach im
Scrollbalken wähle "FortiClient" danach gehe auf den "Download Button". Nun wähle das entsprechende
Betriebssystem zB "Windows" usw.
- Entpacke nun die zip Files in ein temporaeres Verzeichnis zB C:\tmp.
- Wähle im Orca Tool "File > Open" und wähle das temporaere Verzeichnis C\tmp resp. das File "FortiClient.msi" (32bit Version).
Dieses befindet sich im Verzeichnis C:\tmp\FortiClientSetup_5.0.5.0308 (32bit Version).
- Auf der rechten Seite werden nun im Orca Tool die Tables aufgelistet. Suche die Position "FeatureComponents".
- Wenn die Position "FeatureComponents" angewählt wird so werden die dazugehörigen Features auf der rechten Seite aufgelistet.
- Lösche nun alle Features/Zeilen ausser: "Feature_Basic, Feature_VPN und Feature_SSLVPN"
- Danach gehe auf "save" und das Packet resp. das File "FortiClient.msi" kann nur anhand einer Installation getestet werden!
FortiClientTools
- Vorraussetzung für diesen Vorgang ist eine FortiClient Endpoint Security "License File" (zB für Devices bis 90D ALSO Art. Nr. 16503101E)! Nähere Informationen dazu siehe Artikel:
FortiClient:FAQ#Wie_aktiviere_ich_eine_FortiClient_Endpoint_Security_License_.28License_File.29.3F
- Im Downloadverzeichnis des jeweiligen FortiClient zB "ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5" steht ebenfalls
das Tool "FortiClientTools_5.0.5.0308.zip" zur Verfügung. Dieses Package enthält die nötigen Tools sowie die nötige Dokumentation um
ein entsprechendes Package zu erstellen. Um das FortiClientTool zu benützen muss jedoch eine Lizenz für FortiClient Endpoint Security
erworben werden. Das entsprechende Lizenz File muss bei der Generierung des Packages angegeben weden. Dies bedeutet möchte man ein
VPN only (IPSec und/oder VPN-SSL) Package erzeugen wäre die Vorgehensweise folgende:
- Entpacke das File "FortiClientTools_5.0.5.0308.zip" in ein temporaeres Verzeichnis.
- Im entpackten zip File befindet sich ein Verzeichnis "FortiClientConfigurator". Wechsle in dieses Verzeichnis.
- Starte das Tool "FortiClientConfiguratorGUI.exe". Es erscheint eine Meldung um die entsprechende Lizenz zu laden:
Gebe das entsprechende License File an:
Gehe mit "Skip" weiter:
Wähle "VPN Only":
Der Vorgang ist abgeschlossen gehe auf "Fertig stellen":
NOTE Vor dem Fertigstellen wird im "Console output...." folgendes als Information angezeigt:
------------------------------------------------------------------ Console output.... ------------------------------------------------------------------
Executing:
-m "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient.msi" --
CUSTOMIZATIONKEY "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\License\EFCT102001369600.lic" -i VPN
Configuration complete.
The files needed for Active Directory deployment are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient_packaged\ActiveDirectory\
The files needed for manual distribution are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient_packaged\ManualDistribution\
You must test the packages to confirm they install correctly before
deploying them to production.
Executing:
-m "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient.msi" --CUSTOMIZATIONKEY "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\License\EFCT102001369600.lic" -i VPN
Configuration complete.
The files needed for Active Directory deployment are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient_packaged\ActiveDirectory\
The files needed for manual distribution are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient_packaged\ManualDistribution\
You must test the packages to confirm they install correctly before
deploying them to production.
------------------------------------------------------------------ Console output.... ------------------------------------------------------------------
- Nun werden zwei Verzeichnisse für eine Distribution erstellt dh. "ActiveDirectory" und "ManualDistribution" gemäss den Angaben in der "Console ouput...."
Information.
NOTE Für MAC Installation ist der Vorgang anhand des Lizenz Files identisch jedoch benötigt man den FortiClientConfigurator
für MAC!
Gibt es eine Möglichkeit alle FortiClient's die auf einer FortiGate Registriert sind zu Deregistrieren?
Wenn eine IPSec Verbindung für den FortiClient erstellt wird fällt einem im Wizard die Position "Allow Endpoint Registration" auf. Diese Position bedeutet folgendes: Bei einer erstmaligen Verbindung des FortiClient wird dieser für die "Endpoint Funktion" registriert. Diese "Endpoint Funktion" beinhaltet das Management des "FortiClient Endpoint Security" über die FortiGate in allen Belangen wie Antivirus, IPS, WebFilter etc. In der CLI, für die entsprechende Verbindung, ist der folgender Befehl dazu zuständig:
# config vpn ipsec phase1-interface
# edit [Name der Phase1]
# set fortilcient-enforcement [enable | disable]
# end
Nun wurde dieser Befehl wissentlich oder unwissentlich aktiviert und die Liste der registrierten FortiClient's soll gelöscht resp. zurückgesetzt werden kann ab FortiOS 5.2.1 folgender Befehl benutzt werden:
# diagnose endpoint registration deregister all
Dieses Kommando löscht sämtliche Informationen betreffend der Registrierung der FortiClient's auf einer FortiGate.
Wie kann ich die Registrierungsfunktion betreffend FortiClient Endpoint Security auf einer FortiGate manipulieren?
Wenn der FortiClient Endkpoint Security mit seinen UTM Features eingesetzt wird und dieser auf der FortiGate registriert ist kann diese Registration anhand folgenden Befehls manipuliert werden:
# diagnose endpoint registration ?
summary Summary of FortiClient registrations.
list List FortiClients.
cmdb-list List FortiClients stored in CMDB.
block Block a FortiClient from registering.
unblock Unblock a previously blocked FortiClient.
deregister Deregister a registered FortiClient.
sync-peer-list List registration sync peers.
force-peer-resync force to resync registration with all peers.
keepalive-timestamp List KeepAlive timestamps.
recalculate-registered-forticlients Re-calculate number of registered forticlients.
forticlient-licence-key-expiration-check Check the FortiClient registration licence expiration date.
ssl-session-timeout Set the SSL session timeout.
skip-forticlient-system-update Skip the system update upon receiving KeepAlive from FortiClient.
Wie kann ich verhindern das der FortiClient Endpoint Security auf einer Workstation einen automatischen Start ausführt?
Wenn der FortiClient Endpoint Security beim Windows Start automatisch startet und dies verhindert werden soll muss der FortiClient Endpoint Security in den "start" Modus "demand" gesetzt werden. Damit der "start" Modus auf "demand" resp. manuell gesetzt werden kann muss der Service von "fortishield" gestoppt werden. Dieser Service - auch wenn nicht explizit installiert - existiert bei einem automatischen Start des FortiClient Endpoint Security im Hintergrund und ist auch in der List der Services enthalten. Dieser kann somit über die "Windows Service" manipuliert werden dh. von Automatisch auf Manuell umkonfiguriert werden damit dieser bei einem "Windows Start" nicht automatisch ausgeführt wird. Auch wenn dieser Service zB von Automatisch auf Manuell umgestellt wird muss dieser Zwingend gestoppt werden damit der Befehl "start= demand" durchgeführt werden kann. Somit kann nach der Umstellung des Services folgendes auf der Kommandozeile in einer Dos Box (cmd) ausgeführt werden:
> net stop fortishield
> sc config FA_Scheduler start= demand
Was bedeutet im Client2Site VPN Bereich der Konfigurationspunkt "Split Tunneling"?
Im Client2Site VPN IPSec Bereich sowie im VPN-SSL Bereich existiert der Konfigurationspunkt "Split Tunneling". Dieser Konfigurationspunkt "Split Tunneling" steuert auf der Client Seite die Packet dh. welche Packet die vom Client aus abgesetzt werden in den VPN Tunnel sei es IPSec und/oder VPN-SSL gesendet werden. Gesteuert wird diese Funktion durch einen Routing Eintrag. Dieser kann und wird nur dann erstellt wenn der Client sei es IPSec und/oder VPN-SSL mit Administratoren Rechte installiert wurde. Wurde der VPN Client nicht mit diesen Rechten installiert so kann der entsprechende Eintrag nicht erstellt werden. Die Erstellung dieses Routing Eintrages geschieht nach der erfolgreichen Authentifizierung des Client und wird von der FortiGate durch den Tunnel an den Client gesendet (unter normalen Umständen). Dies kann auf einem Windows Client mit folgenden Kommando kontrolliert werden:
route print
Wenn eine erfolgreiche Authentifizierung durchgeführt werden und der Route Eintrag erstellt wurde so muss unterschieden werden zwischen folgenden Möglichkeiten:
Routing Eintrag wurde erstellt anhand eines IP Ranges zB 192.168.1.0/24
Split Tunneling wurde aktiviert und nur Packete betreffend dem Subnet das auf der FortiGate konfiguriert
wurde und im Routing definiert wurde, werden in den VPN Tunnel gesendet!
Routing Eintrag wurde erstellt anhand 0.0.0.0
Dieser Routing Eintrag kommt einem Default Gateway gleich dh. sämtliche Packete werden in den VPN Tunnel
gesendet und somit ist das "Split Tunneling" deaktiviert!
NOTE Das "Split Tunneling" zB des FortiClient wird in der Phase 1 resp. im "Client Wizard"
definiert. Dies bedeutet wird "Split Tunneling" aktiviert "muss" ein entsprechendes
Subnet definiert werden das unter normalen Umständen das LAN representiert! Das Gleiche
gilt für SSL-VPN dh. das "Split Tunneling" wird im Portal definiert. Wobei ein "explizites"
"Split Tunneling" auf Kommandozeile definiert wird. Nachfolgend die zwei Kommandos die
für die Funktion/Definition benötigt werden:
Fuer SSL-VPN Split Tunneling:
# config firewall address
# set name [Name des IPv 4 IP Pool zB "net-ip-pool-ssl-vpn-198.18.1.0-25"]
# set type iprange
# set visibility enable
# set start-ip [198.18.1.1]
# set end-ip [198.18.1.127]
# next
# set name [Name des IPv 4 LAN IP Range zB "net-lan-198.18.0.0-24"]
# set type iprange
# set visibility enable
# set start-ip [198.18.0.1]
# set end-ip [198.18.0.254]
# end
# end
# config vpn ssl web portal
# edit [Name des Profile zB "tunnel-acces-only"]
# config widget
# edit 4
# set name Tunnel Mode
# set type tunnel
# set column two
# set collapse disable
# set split-tunneling enable
# set ip-pools [Bestehendes Objekt für die IP Pool IP Range zB "net-ip-pool-ssl-vpn-198.18.1.0-25"]
# set split-tunneling-routing-address [Bestehendes Objekt das die LAN Adresse darstellt zB "net-lan-198.18.0.0-24"]
# next
# end
# end
Fuer IPSec Split Tunneling:
# config vpn ipsec phase1-interface
# edit [Name des Profile zB "fc-ipsec"]
# set ipv4-start-ip 192.168.1.1
# set ipv4-end-ip 192.168.1.254
# set ipv4-netmask 255.255.255.0
# set ipv4-split-include net-lan-198.18.0.0-24
# end
Wie muss ich einen FortiClient im Zusammenhang mit einem Cluster (HA) lizensieren?
Wenn ein FortiGate Cluster (HA) betrieben wird sei es im Active-Passive und/oder Active-Active muss der FortiClient sei es 5.0 und/oder 5.2 auf jedem Node lizensiert werden. Dies bedeutet es müssen zwei Lizenzen erworben sowie registiert und auf jedem Cluster Node eingespielt werden. Im Gegensatz zu der FortiGate Hardware bietet Fortinet für FortiClient's im Cluster keine Spezial Konditionen. Dies bedeutet die FortiClient Lizenz muss anhand der Standard Konditionen für eine Standalone Device für jeden Node im Cluster erworben werden. Weitere Auskunft über Spezial Konditionen im Zusammenhang mit einem Cluster (HA) siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_Cluster_.28Hardware_und.2Foder_Virtuell.29_Spezielle_Konditionen_bei_Fortinet.3F
Wie kann ich für einen FortiClient ein Deployment (Verteilung) über ein Windows AD anhand "Group Policy" (GPO) durchführen?
Wenn ein FortiClient über ein Active Directory anhand der "Group Policy" verteilt (Deployment) werden soll kann dies anhand des MSI Files des FortiClient durchgeführt werden. Die Voraussetzungen um dies durchzuführen ist ein entsprechendes MSI File sowie eine event. entsprechende Konfigurtion. Dies bedeutet:
Kann ich die Konfiguration des FortiClient "vorkonfigurieren" und zur Verfügung stellen (Distribution)? Wie kann ich ein FortiClient Endpoint Security Software Package mit VPN (IPSec/SSL-VPN) only erstellen?
Sind diese zwei Vorraussetzungen gegeben zeigt der "FortiClient Administration Guide" in der jeweiligen Version unter folgendem Abschitt eine Schritt für Schritt Anleitung:
Kapitel: Provisioning FortiClient > Deploy FortiClient using Microsoft Active Directory (AD) server
Was muss ich berücksichtigen wenn ich einen FortiClient mit Two-Factor Authentication über E-Mail benutze?
Wenn ein FortiClient (5.2) eingesetzt wird und für die Verbindung auf der FortiGate eine Two-Factor Authentication über "E-Mail" konfiguriert wurde, ist während der Authentifizierung der Zugriff auf den E-Mail Account nicht möglich. Dies bedeutet: Sobald der FortiClient auf einem Client gestartet wird und eine Verbindung zu einer FortiGate durchgeführt sowie die Authentifizierung gestartet wird (Security Association Comunication), werden sämtliche Verbindungen in das Internet während des Authentifizierungs Vorgangs unterbunden. Somit kann die Two-Factor Authentifizierung nicht korrekt ausgeführt werden da der Zugriff auf den E-Mail Account für um die Two-Factor Authentication Informationen zu erhalten unterbunden ist. Um den Zugriff in das Internet während diesem Zeitpunkt zu erlauben, muss in der Konfiguration des FortiClients dies ermöglicht werden. Die zuständige Konfiguration muss im Konfig File resp. xml File, das sich im Installations Ordner des FortiClients auf dem entsprechenden Client befindet, anhand folgender Option durchgeführt werden:
Suche im xml File folgende Position:
<ipsecvpn>
<connections>
<connection>
<ike_settings>
<implied_SPDO>
NOTE Die Position "<implied_SPDO>" ist per Standard auf "0" gesetzt was wiederum bedeutet das während der
Authentifizierung der Zugriff auf das Internet unterbunden wird. Setze diese Option auf "1" was den
Zugriff erlaubt:
<implied_SPDO>1</implied_SPDO>
Nach der Aenderung muss der FortiClient beendet sowie neu gestartet werden damit die neue Konfiguration aktiv wird!
Wie kann ich für ein SSL-VPN (Tunnel Mode) ein Registry Check konfigurieren (Host Check)?
Weitere Informationen siehe nachfolgender Artikel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_ein_SSL-VPN_.28Web_Mode.2FTunnel_Mode.29_ein_Registry_Check_konfigurieren_.28Host_Check.29.3F
Wie kann ich ein IPSec Client2Site VPN im Interface Mode komplett auf Kommandozeile konfigurieren?
Wenn eine IPSec Client2Site basierend auf FortiClient komplett über Komandozeile konfiguriert werden soll ist folgendes auszuführen:
NOTE Diese Konfiguration ist basierend auf FortiOS 5.2 jedoch ist vom Ablauf her Analog 5.0. Die Konfiguration
stammt vom Wizard basierend auf FortiOS 5.0 und kann mit dem FortiClient 5.0/2 eingesetzt werden!
Erstelle ein User Gruppe die benutzt wird für die User Authentifizierung
# config user group
# edit [Gebe einen Namen ein für die Gruppe zB "gr-ipsec-fc-vpn"]
# unset member
# end
NOTE Diese Gruppe wird leer erstellt und kann mit lokalen Usern nachträglich abgefüllt werden oder zB einer Authentifzierungs
Methode wie LDAP. Wird LDAP benutzt dürfen die LDAP User nicht zur Gruppe hinzugefügt werden sondern nur der Eintrag des
LDAP Servers. Wird eine zweifach Authentifizierungs Methode benutzt zB LDAP plus SMS müssen die User lokal angelegt werden
sowie zur Gruppe hinzugefügt werden. In so einem Fall darf der LDAP Server selber nicht zur Gruppe hinzugefügt werden!
Erstelle eines Netzwerk Objektes für lokales LAN
# config firewall address
# edit [Gebe einen Namen ein für das Netzwerk Objekt zB "net-lan-198.18.0.0-24"]
# unset tags
# set subnet [Gebe die IPv4 Adresse an mit Subnet zB "198.18.0.0/24"]
# end
NOTE Das hier erfasst Netzwerk Objekt stellt das "lokale" Netzwerk dar resp. das Netz das die Client über den FortiClient erreichen
sollen.
Konfiguriere eine Phase1 für das Client2Site VPN Interface Mode
# config vpn ipsec phase1-interface
# edit [Gebe einen entsprechenden Namen ein für Phase1; Nicht mehr als 12 Zeichen zB "ipsec-fc"]
# set comments "IPSec Phase1 FortiClient 5.0/2 ipsec-fc"
# set type dynamic
# set interface [Gebe das entsprechende Interface an der Public IP zB "wan1"]
# set ip-version 4
# set local-gw 0.0.0.0
# set nattraversal enable
# set dhgrp 5
# set keylife 28800
# set authmethod psk
# set mode aggressive
# set peertype any
# set xauthtype auto
# set mode-cfg enable
# set proposal 3des-sha1 aes128-sha1
# set localid [Gebe zwingend eine Local ID an zB Name Phase1 "ipsec-fc"]
# set localid-type auto
# set negotiate-timeout 30
# set fragmentation enable
# set dpd enable
# set forticlient-enforcement disable
# set npu-offload enable
# set xauthexpire on-disconnect
# set authusrgrp [Gebe eine User Gruppe an für die Authentifizierung zB "gr-ipsec-fc-vpn"]
# set default-gw 0.0.0.0
# set default-gw-priority 0
# set assign-ip enable
# set mode-cfg-ip-version 4
# set assign-ip-from range
# set add-route enable
# set ipv4-start-ip [Gebe die Start IPv4 Adresse an für die IP's der Clients resp. DHCP zB "198.18.1.0"]
# set ipv4-end-ip [Gebe die End IPv4 Adresse an für die IP's der Clients resp. DHCP zB "198.18.1.254"]
# set ipv4-netmask [Gebe die Subnet Adresse an des DHCP Ranges der IP's der Client zB "255.255.255.0"]
# set dns-mode manual
# set ipv4-dns-server1 [Gebe einen DNS1 Server an der den Clients zugewiesen wird zB "198.18.0.41"]
# set ipv4-dns-server2 [Gebe einen DNS2 Server an der den Clients zugewiesen wird zB "198.18.0.41"]
# set ipv4-dns-server3 0.0.0.0
# set ipv4-wins-server1 0.0.0.0
# set ipv4-wins-server2 0.0.0.0
# set ipv4-exclude-range 0.0.0.0
# set ipv4-split-include [Gebe für Split Tunneling das Netzwerk Objekt an das die Clients erreichen müssen zB "net-lan-198.18.0.0-24"]
# unset split-include-service
# set unity-support enable
# unset domain
# unset banner
# set include-local-lan disable
# set save-password disable
# set client-auto-negotiate disable
# set client-keep-alive enable
# set psksecret [Gebe ein Preshared Key an für Phase1 zB "only4also!"]
# set keepalive 10
# set distance 1
# set priority 0
# set dpd-retrycount 3
# set dpd-retryinterval 5
# next
# end
NOTE Der Name der IPSec Phase1 im Client2site Mode sollte nicht mehr als 12 Zeichen beinhalten (100 Tunnels). Weitere Informationen dazu
siehe Artikel:
FortiGate-5.0-5.2:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F
Wenn mehrere Client2Site Verbindungen auf einer FortiGate konfiguriert werden im Aggresive Mode muss die "Local ID" gesetzt werden
damit auf der FortiGate die verschiedenen Verbindungen erkannt werden können. Weitere Informationen dazu siehe folgender Artikel:
FortiClient:FAQ#Kann_ich_mehrer_Client2Site_IPSec_VPN_.28Dial-Up.29_auf_.22einer.22_FortiGate_konfigurieren_sei_es_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F
Der IP Range der Konfiguriert wird resp. der DHCP Range unter "ipv4-start/end-ip" ist die IP die dem Client bei erfolgreicher
Authentifizierung zugewiesen wird. Dieser IP Range resp. DHCP Range darf nicht ein IP Range sein aus dem "lokalen" Netz oder
aus dem "remote" Netz (overlapping). Bei der Position "ipv4-split-include" wird das "remote" Netzwerk anhand eines Objektes
definiert. Dieses Objekt stellt das "remote" Netzwerk dar das der Client erreichen soll. Dieses Netz darf nicht im "lokalen"
Netz vorkommen (overlapping). Unter gewissen Umständen kann "Split Tunneling" deaktiviert werden jedoch wird dann jeglicher
Traffic des Client bei erfolgreicher Verbindung durch den Client2Site VPN Tunnel gesendet. Unter normalen Umständen ist dies
auf jedenfall zu verhindern. Weitere Informationen zur Funktion "ipv4-split-include" siehe nachfolgender Artikel:
FortiClient:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F
Konfiguriere eine Phase2 für das Client2Site VPN Interface Mode
# config vpn ipsec phase2-interface
# edit [Gebe einen entsprechenden Namen ein für Phase2; Nicht mehr als 12 Zeichen zB "ipsec-fc"]
# set comments "IPSec Phase2 FortiClient 5.0/2 ipsec-fc"
# set dst-addr-type subnet
# set dst-port 0
# set encapsulation tunnel-mode
# set keepalive enable
# set keylife-type seconds
# set pfs enable
# set phase1name [Gebe den entsprechenden Namen ein der Phase1 zB "ipsec-fc"]
# set proposal 3des-sha1 aes128-sha1
# set protocol 0
# set replay enable
# set route-overlap use-new
# set single-source disable
# unset src-addr-type subnet
# set src-port 0
# set dhgrp 5
# set dst-subnet 0.0.0.0 0.0.0.0
# set keylifeseconds 1800
# set src-subnet 0.0.0.0 0.0.0.0
# next
# end
NOTE In der Phase2 werden die "Quick Mode Selector" (src-subnet/dst-subnet) auf 0.0.0.0 gesetzt dh. potentiell ist in der Phase2
sämtlicher Traffic erlaubt. Weitere Informationen zum "Quick Mode Selector" findet man im nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wann_sollte_ich_den_.22Quick_MOde_Selector.22_benutzen.2C_was_muss_ich_ber.C3.BCcksichtigen_und_welche_Funktion_hat_dieser.3F
Konfiguriere ein statisches Routing für den IP Range resp. DHCP Ranges der Client2site Verbindung
Unter FortiOS 5.0 kann zwar ein "statischer" Routing Eintrag für den IP Range resp. DHCP Range konfiguriert werden jedoch ist dieser überflüssig.
Unter FortiOS 5.2 ist die Konfiguration des Routing Eintrages nicht mehr möglich da dieser Routing Eintrag wie unter FortiOS 5.0 dynamisch über
den VPN Deamon auf Layer 4 durchgeführt wird. Weitere Informationen dazu siehe nachfolgender Artikel:
FortiClient:FAQ#Unter_FortiOS_5.2_kann_f.C3.BCr_eine_Client2Site_IPSec_VPN_Verbindung_keine_.22static_route.22_im_Web_Mgmt._konfiguieren_werden.3F
Die Konfiguration der Phase1/2 sowie Netzwerk, Routing und Gruppe für die Authentifizierung ist abgeschlossen. Nun zu Allerletzt muss nun eine entsprechende Firewall Policy implementiert werden:
Erstellung einer Firewall Policy Incoming FortiOS 5.0
Erstellung einer Firewall Policy Outgoing FortiOS 5.0
Erstellung einer Firewall Policy Incoming FortiOS 5.2
Erstellung einer Firewall Policy Outgoing FortiOS 5.2
Als letzer Schritt muss nun der FortiClient 5.0/2 auf dem entsprechenden Client installiert werden. Dabei ist zu beachten das dieser mit Administratoren Rechten installiert wird. Dies aus dem Grund da ansonsten wenn der User sich erfolgreich authentifiziert kein entsprechenden Routing Eintrag durch den FortiClient durchgeführt werden kann. Ebenfalls ist zu beachten, dass der FortiClient im VPN-only Modus installiert wird dh. ohne die UTM Features. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F
Wenn der FortiClient installiert wurde und erfolgreich eine Authentifizierung durchgeführt wurde ist folgendes zu überprüfen um die korrekte Konfiguration auf der FortiGate zu bestätigen:
- Welche IP wurde dem FortiClient nach der Authentifizierung zugewiesen:
--> Kontrolliere anhand "ipconfig /all" den entsprechenden VPN Adapter!
- Welcher DNS1/2 Server wurde dem FortiClient zugewisen.
--> Kontrolliere anhand "ipconfig /all" den entsprechenden VPN Adapter!
- Welcher Routing Eintrag wurde nach der erfolgreicher Authentifizierung auf dem FortiClient erstellt:
--> Kontrolliere durch "route all print" was für einen Routing Eintrag existiert für den VPN Adpater!
Wenn diese Informationen nicht dementsprechend sind kontrolliere die Phase1 sowie 2 ob die Informationen/Konfiguration korrekt durchgeführt wurden.
Auf was muss ich achten wenn ich eine FortiClient IPSec Verbindung konfigurieren will basierend auf Client Zertifikats Authentifizierung?
Ausgangslage für eine FortiClient IPSec Verbindung (Dial-Up) basierend auf einer Zertifikats Authentifizierung ist das Zertifikat selber das auf einer FortiGate als CA importiert werden muss resp. Grundvoraussetzung ist:
• CA Certificate
• Server Certificate
• Client Certificate
Das "CA Certificate" muss auf dem FortiClient Workstation des Users innerhalb des Internet Explorers unter "Vertrauenswürdigen Stammzertifikate" (Trusted Root Certification Authorities) eingelesen sowie das FortiClient "Client Certificate" (.p12) für die Konfiguration importiert werden. In der Authentifizierung wird dieses "Client Certificate" für die Authentifizierung benutzt dh. anhand des "Server Certificate" und dem "CA Certificate" auf der FortiGate überprüft. Somit muss das "CA Certificate" sowie das "Server Certificate" auf der FortiGate korrekt importiert werden damit diese Ueberprüfung durchgeführt werden kann. Aus diesem Grund ist gut zu überlegen ob eine solche Authentifizierungs Methode für die Implementation gewählt werden soll resp. in Frage kommt da sich die Administrativen Tasks erhöhen. Zu Beginn dieser Konfiguration steht die Erstellung der Zertifikate. Dies können auf einem bestehenden CA erstellt werden oder ein eigenes CA wird erstellt aus dem die nötigen Certificates erstellt werden. In diesem Beispiel wird ein eigenes CA auf einem Linux Server erstellt. Basis für dieses Beispiel ist:
CentOS 5.5
openssl-0.9.8e-36.0.1.el5_11
openssl-devel-0.9.8e-36.0.1.el5_11
Zertifikate können auf verschiedenen Art und Weise erstellt werden dh. in Verschlüsselungs Methode usw. Nachfolgender Artikel gibt Einblick mit sämtlichen Details wie ein CA mit einer hohen und schnellen Verschlüsselung erstellt wird und wie Server Zertifikate daraus enstehen sowie Details dieses Vorgangs um die Sicherheit zu gewährleisten:
Allgemein:Zertifikate-SymmetrischeAsymmetrische#Zertifikate_-_Erstellen_einer_eigenen_CA_.28Certificate_Authority.29
Die Erstellung der Zertifikate wird in 3 Schritten gegliedert:
1. Erstellen des "CA Certificate" ca.crt
2. Erstelle ein "Server Certificate" server.crt
3. Erstelle eines "Client Certificate" basierend auf dem "Server Certificate" client.crt
1. Erstellen des "CA Certificate" ca.crt:
# mkdir /opt/CA-FGT
# cd /opt/CA-FGT
# openssl genrsa -aes256 -out ca.key 4096
Generating RSA private key, 4096 bit long modulus
..................................................
..................................................
..................................................
.....................++
e is 65537 (0x10001)
Enter pass phrase for ca.key: [password]
Verifying - Enter pass phrase for ca.key: [password]
# chmod 400 ca.key
# openssl req -new -x509 -days [Anzahl Tage zB 5 Jahre 1825] -key ca.key -out ca.crt
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:[Land zB CH]
State or Province Name (full name) [Berkshire]:[Region zB Luzern]
Locality Name (eg, city) [Newbury]:[Stadt/Ort zB Emmen]
Organization Name (eg, company) [My Company Ltd]:[Organisation zB ALSO Schweiz AG]
Organizational Unit Name (eg, section) []:[Abteilung zB DemoLab]
Common Name (eg, your name or your server's hostname) []:[Certificate Authority Name zB ALSO-CA]
Email Address []:[Email Adresse zB system@also.com]
NOTE Für den "Common Name" da es sich um das CA handelt muss nicht der FQDN der FGT angegeben werden. Der "Common Name"
in diesem Vorgang vergiebt den Namen des Certificate Authority (CA).
# ls -la
total 32
drwxr-xr-x 2 root root 4096 Nov 5 10:28 .
drwxr-xr-x 287 root root 20480 Nov 5 10:18 ..
-rw-r--r-- 1 root root 2338 Nov 5 10:28 ca.crt
-r-------- 1 root root 3326 Nov 5 10:25 ca.key
2. Erstelle ein "Server Certificate" server.crt:
# openssl genrsa -aes256 -out server.key 4096
Generating RSA private key, 4096 bit long modulus
................++
...............................................................................++
e is 65537 (0x10001)
Enter pass phrase for server.key:[password]
Verifying - Enter pass phrase for server.key:[password]
# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:[Land zB CH]
State or Province Name (full name) [Berkshire]:[Region zB Luzern]
Locality Name (eg, city) [Newbury]:[Stadt/Ort zB Emmen]
Organization Name (eg, company) [My Company Ltd]:[Organisation zB ALSO Schweiz AG]
Organizational Unit Name (eg, section) []:[Abteilung zB DemoLab]
Common Name (eg, your name or your server's hostname) []:[Fully Qualified Domain Name der FGT Public IP zB alsochlu-sg0e0.also-solutions.ch]
Email Address []:[Email Adresse zB system@also.com]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[Kein Passwort einfach ENTER]
An optional company name []:[Kein Passwort einfach ENTER]
NOTE Für den "Common Nam"e muss der FQDN der Public IP der FortiGate angegeben der benützt wird von der
Workstation des User resp. des FortiClient um zur FortiGate zu verbinden. Grundvoraussetzung ist das
der FQDN der FortiGate im Zusammenhang mit der Public IP einen korrekten DNS Eintrag aufweist. Wir
empfehlen zusätzlich zum "A" record einen "PTR" record für diese Public IP zu erstellen die benützt
wird für den FQDN der FortiGate.
# openssl x509 -req -days [Anzahl Tage zB 5 Jahre 1825] -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt
Signature ok
subject=/C=CH/ST=Luzern/L=Emmen/O=ALSO Schweiz AG/OU=DemoLab/CN=alsochlu-sg0e0.also-solutions.ch/emailAddress=system@also.com
Getting CA Private Key
Enter pass phrase for ca.key:[password]
# ls -la
total 44
drwxr-xr-x 2 root root 4096 Nov 5 10:42 .
drwxr-xr-x 287 root root 20480 Nov 5 10:18 ..
-rw-r--r-- 1 root root 2338 Nov 5 10:28 ca.crt
-r-------- 1 root root 3326 Nov 5 10:25 ca.key
-rw-r--r-- 1 root root 2021 Nov 5 10:43 server.crt
-rw-r--r-- 1 root root 1781 Nov 5 10:39 server.csr
-rw-r--r-- 1 root root 3326 Nov 5 10:32 server.key
3. Erstellen eines "Client Certificate" basierend auf dem "Server Certificate" client.crt und
konvertiere dieses zu einem ".p12" Format damit die "privat" Keys exportiert werden:
# openssl genrsa -aes256 -out client.key 4096
Generating RSA private key, 4096 bit long modulus
.............++
..................................................
..................................................
..................................................
........................................
..........................++
e is 65537 (0x10001)
Enter pass phrase for client.key:[password]
Verifying - Enter pass phrase for client.key:[password]
# openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:[Land zB CH]
State or Province Name (full name) [Berkshire]:[Region zB Luzern]
Locality Name (eg, city) [Newbury]:[Stadt/Ort zB Emmen]
Organization Name (eg, company) [My Company Ltd]:[Organisation zB ALSO Schweiz AG]
Organizational Unit Name (eg, section) []:[Abteilung zB DemoLab]
Common Name (eg, your name or your server's hostname) []:[Name des User für dieses Client Certificate zB "solivaan"]
Email Address []:[Email Adresse des Users zB andrea.soliva@also.com]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[Kein Passwort einfach ENTER]
An optional company name []:[Kein Passwort einfach ENTER]
# openssl x509 -req -days 1825 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt
Signature ok
subject=/C=CH/ST=Luzern/L=Emmen/O=ALSO Schweiz AG/OU=DemoLab/CN=solivaan/emailAddress=andrea.soliva@also.com
Getting CA Private Key
Enter pass phrase for ca.key:[password]
# openssl pkcs12 -export -in client.crt -inkey client.key -certfile ca.crt -name "solivaan" -out client.p12
Enter pass phrase for client.key:[password]
Enter Export Password:[password]
Verifying - Enter Export Password:[password]
# ls -la
total 64
drwxr-xr-x 2 root root 4096 Nov 5 10:51 .
drwxr-xr-x 287 root root 20480 Nov 5 10:18 ..
-rw-r--r-- 1 root root 2338 Nov 5 10:28 ca.crt
-r-------- 1 root root 3326 Nov 5 10:25 ca.key
-rw-r--r-- 1 root root 1996 Nov 5 10:50 client.crt
-rw-r--r-- 1 root root 1760 Nov 5 10:48 client.csr
-rw-r--r-- 1 root root 3326 Nov 5 10:46 client.key
-rw-r--r-- 1 root root 5982 Nov 5 10:52 client.p12
-rw-r--r-- 1 root root 2021 Nov 5 10:43 server.crt
-rw-r--r-- 1 root root 1781 Nov 5 10:39 server.csr
-rw-r--r-- 1 root root 3326 Nov 5 10:32 server.key
Nun muss das "CA Certificate" (ca.crt) und das "Server Certificate" (server.crt) auf der FortiGage importiert werden damit dieses für die Verifizierung der Client Certifidate Authentifizierung zur Verfügung steht. Wähle auf dem Web Mgmt. Interface der FortiGate folgende Position um die CA resp. "ca.crt" zu importieren:
System > Admin > Certificates
Führe danach folgendes aus:
Der Import wird bestätigt mit dem entsprechenden Eintrag unter "External CA Certificates":
Um das Server Certificate zu importieren resp. "server.crt" wähle wiederum folgendes:
System > Admin > Certificates
Führe danach folgendes aus:
Der Import wird bestätigt mit dem entsprechenden Eintrag unter "Certificates":
Als nächster Schritt muss auf Kommandozeile (CLI) ein entsprechender User in unserem Beispiel "solivaan" konfiguriert werden als "peer":
# config user peer
# edit [Name des Users zB solivaan]
# set ca [Name des entsprechenden "Certificate Server" der Importiert wurde "]
# end
Die entsprechende Konfiguration resp. der User ist über Web Mgmt. Interface nicht ersichtlich dh die Konfiguration muss über Kommandozeile durchgeführt werden und ist nicht zu verwechseln mit dem lokalen User. Dies bedeutet: Der definierte "peer" User ist Mitglied der "peer" Gruppe die benützt wird um in der Phase-1 die Zertifikats basierende Authentifizierung zu aktivieren dh. durch diese Konfiguration wird der User durch seinen Usernamen "forced" neben der ordentlichen Authentifizierung (Username/Passwort) eine Zertifikats basierende Authentifizierung durchzuführen! Wie schon erwähnt wird in der Phase-1 eine "peer" Gruppe definiert. Nun erstelle eine Gruppe "peer" und füge den neuen User "peer" zu dieser Gruppe hinzu:
# config user peergrp
# edit [Name der entsprechenden Gruppe zB "gr_cert-user"
# set member [Name der User zB solivaan oder der User zB user1 user2 user3]
# end
Nun kann eine Phase-1 und 2 für den FortiClient konfiguriert werden. Diese kann über WebMgmt. Interface durchgeführt werden oder über Kommandozeile:
NOTE Weitere Details betreffend Kommandozeilen basierte Konfiguration einer FortiClient IPSec Verbindung siehe nachfolgenden Artikel: FortiClient:FAQ#Wie_kann_ich_ein_IPSec_Client2Site_VPN_im_Interface_Mode_komplett_auf_Kommandozeile_konfigurieren.3F
# config vpn ipsec phase1-interface
# edit [Name der Phase-1 zB "ipsec-fc"]
# set comments [Beschreibung der Verbindung zB IPSec Phase1 FortiClient 5.2.x alsochlu-sg0e0]
# set type dynamic
# set interface [Name des Interfaces zB wan1]
# set ip-version 4
# set ike-version 1
# set local-gw 0.0.0.0
# set nattraversal enable
# set keylife 28800
# set authmethod signature
# set mode aggressive
# set peertype peergrp
# set mode-cfg enable
# set ipv4-dns-server1 [IPv4 für DNS Server der dem FortiClient zugewiesen wird zB 198.18.0.91]
# set ipv4-dns-server2 [IPv4 für DNS Server der dem FortiClient zugewiesen wird zB 198.18.0.92]
# set proposal 3des-sha1 aes128-sha1
# set add-route enable
# set localid [Definition der Local-id autom. hinzugefügt durch das Server Certificate zB C = CH, ST = Luzern, L = Emmen, O = ALSO Schweiz AG, OU = DemoLab, CN = alsochlu-sg0e0.also- solutions.ch, emailAddress = system@also.com]
# set localid-type auto
# set negotiate-timeout 30
# set fragmentation enable
# set dpd enable
# set forticlient-enforcement disable
# set npu-offload enable
# set send-cert-chain enable
# set dhgrp 5
# set wizard-type custom
# set xauthtype auto
# set authusrgrp [Angabe der lokalen Gruppe der User zB gr-ipsec-fc-vpn-local.intra]
# set certificate [Definition des Server Certificate zB alsochlu-sg0e0.also-solutions.ch]
# set default-gw 0.0.0.0
# set default-gw-priority 0
# set peergrp gr_cert-user
# set assign-ip enable
# set mode-cfg-ip-version 4
# set assign-ip-from range
# set ipv4-start-ip [Start IPv4 Adresse des Office Mode IP Pool die für den FortiClient benutzt wird zB 198.18.1.129]
# set ipv4-end-ip [End IPv4 Adresse des Office Mode IP Pool die für den FortiClient benutzt wird zB 198.18.1.254]
# set ipv4-netmask [Subnet Maks für den Office Mode IP Pool 255.255.255.128
# set dns-mode manual
# set ipv4-split-include [Definition des lokalen internen Netzes das durch den FortiClient erreicht werden soll zB net-local-lan-198.18.0.0-24]
# set unity-support enable
# set include-local-lan disable
# set save-password disable
# set client-auto-negotiate disable
# set client-keep-alive enable
# set keepalive 10
# set distance 1
# set priority 0
# set dpd-retrycount 3
# set dpd-retryinterval 5
# set xauthexpire on-disconnect
# end
NOTE Die "local-id" muss auf dem FortiClient in der Konfiguration als <localid></localid> definiert werden! In der Phase-1
muessen die User anhand einer lokalen Gruppe in unserem Beispiel "gr-ipsec-fc-vpn-local.intra" definiert werden. Dies
bedeutet: Die Gruppe "gr-ipsec-fc-vpn-local.intra" wurde lokal auf der FortiGate erstellt und der User "solivaan" für
den ein Passwort definiert wurde, wurde dieser Gruppe hinzugefügt. Der User "solivaan" kann ebenfalls als lokaler User
für Two-Factor Authentifizierung definiert werden oder die Gruppe für "Active Directory" Authentifizierung.
# config vpn ipsec phase2-interface
# edit [Name der Phase-2 zB ipsec-fc]
# set comments "IPSec Phase2 FortiClient 5.2.x alsochlu-sg0e0"
# set dst-addr-type subnet
# set dst-port 0
# set encapsulation tunnel-mode
# set keepalive enable
# set keylife-type seconds
# set pfs enable
# set phase1name [Name der Phase-1 zB ipsec-fc]
# set proposal 3des-sha1 aes128-sha1
# set protocol 0
# set replay enable
# set route-overlap use-new
# set single-source disable
# unset src-addr-type subnet
# set src-port 0
# set dhgrp 5
# set dst-subnet 0.0.0.0 0.0.0.0
# set keylifeseconds 1800
# set src-subnet 0.0.0.0 0.0.0.0
# next
# end
Die Konfiguration auf der FortiGate ist abgeschlossen. Nun muss die Workstation des Users mit dem installierten FortiClient konfiguriert werden. Dazu muss das "CA Certificate" das wir auf der FortiGate importiert haben im Internet Explorer unter "Vertrauenswürdigen Stammzertifizierungsstellen" (Trusted Root Certification Authorities) importiert werden. Dazu kann für den Import auch der "CertManager" benutzt werden dh.:
Wähle > Start > Ausführen > Programme/Dateien durchsuchen > certmgr.msc > ENTER
Führe auf dem Eintrag "Vertrauenswürdige Stammzertifizierungsstellen" ein Rechts-Klick aus und wähle:
Alle Aufgaben > Importieren
Danach folge dem Dialog und wähle unter "Durchsuchen" das "CA Certificate" dh. "ca.crt" sowie "Vertrauenswürdige Stammzertifizierungsstellen". Kontrolliere nach dem Import ob das entsprechende Zertifikat unter der Position "Vertrauenswürdige Stammzertifizierungsstellen" erscheint! Als letzten Schritt muss auf dem FortiClient die "local-id" entsprechend der Phase-1 Konfiguration für die FortiClient Konfiguration definiert werden. Dazu führe auf dem FortiClient Oberfläche ein Backup durch. Oeffne dieses Backup und suche die Position "<localid></localid>" und definiert die entsprechende "local-id" sowie nach Modifikation führe einen Restore durch anhand des modifiziert Files. Diese Definition der "local-id" sowie die gesamte Konfiguration des FortiClient kann ebenfalls anhand der xml Defintion/Konfiguration durchgeführt werden. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F
Das "Client Certificate" das wir für "solivaan" erstellt haben muss nun im FortiClient als .p12 importiert werden. Dazu wähle in der entsprechenden Konfigurierten IPSec Verbindung im FortiClient folgendes:
Danach wähle im FortiClient folgende Position und importiere das .p12 Certificate (client.p12) dh. das Certificate des User "solivaan" für den wir den FortiClient konfigurieren:
File > settings > Certificate Management
Nun kann die Konfiguration getestet werden!
Wie kann ich einem VPN Client für IPSec Client2Site VPN Verbindung eine Fixe IP zuweisen/konfigurieren?
Wenn einem VPN Client zB Windows PC für eine VPN Client2Site Verbindung eine Fixe IP zugewiesen werden soll ist folgendes zu berücksichtigen: In der Phase-1 eine VPN Client2Site Verbindung dh. Dial-Up wird für einen DHCP Server die Position "Mode Config" aktiviert (mode-cfg). Durch diese Position resp. Option muss ein "Client Address Range" mit dessen "Subnet Mask" definiert werden. Diese Definition aktiviert für die Phase-1 einen "build-in" DHCP Server resp. auch "Office IP Pool" genannt. Wenn ein VPN Client eine Verbindung aufbaut zum IPSec Interface das unser VPN Client2Site darstellt wird dem VPN Client nach erfolgreicher Authentifizierung eine IP aus diesem "Client Address Range" zugewiesen. Wenn nun diesem VPN Client immer die gleiche IP zugewiesen werden soll ist diese Konfiguration einer "Fix IP" unter "Mode Config" nicht möglich. Die Konfiguration ist jedoch möglich in dem ein DHCP Server auf dem IPSec Interface der VPN Client2Site Verbindung resp. Dial-Up aktiviert wird. Als erster Schritt muss jedoch "Mode Config" in der Phase-1 für die VPN Client2Site Verbindung deaktiviert werden. Ebenso muss n der Phase-2 nun die Funktion eines DHCP Servers für IPSec aktiviert werden (dhcp-ipsec). Auf Kommandozeile wird das folgendermassen ausgeführt kann jedoch auch über Web Mgmt. Interface in der Phase-1 durchgeführt werden:
# config vpn ipsec phase1-interface
# edit [Gebe einen entsprechenden Namen ein für Phase1; Nicht mehr als 12 Zeichen zB "ipsec-fc"]
# set mode-cfg disable
# end
# config vpn ipsec phase2-interface
# edit [Gebe einen entsprechenden Namen ein für Phase2; Nicht mehr als 12 Zeichen zB "ipsec-fc"]
# set dhcp-ipsec enable
# end
Danach muss auf dem entsprechenden IPSec Interface ein DHCP Server aktiviert werden sowie dieser als IPSec DHCP Server definiert werden:
System > Network > Interface > [Wähle das entsprechepnde IPSec Interface innerhalb des entsprechenden WAN Interface]
Ein zusätzliches Routing ist unter FortiOS 5.2 nicht nötig da durch die Definition für Type "IPSec" der entsprechende definierte IPSec DHCP Range im Layer 4 innerhalb des VPN Deamons geroutet wird. Dieser ist jedoch nur dann sichtbar unter nachfolgenden Befehl wenn VPN Clients verbunden sind:
# diagnose vpn ike routes list
Unter FortiOS 5.0 abhängig vom Release Stand empfehlen wir einen entsprechenden Routing Eintrag zu erstellen für den IPSec DHCP IPRange auf das IPSec Interface. Als letzten Schritt muss auf dem Client resp. FortiClient in der Konfiguration unter "Option" die Position von "Mode Config" auf "DHCP" umkonfiguriert werden. Danach kann die Konfiguration getestet werden. Die Zuweisung der Fix IP resp. die Zuweisung der IP's für das IPSec Interface über den konfigurierten DHCP Server kann nachträglich für die VPN Clients unter folgender Position kontrolliert werden:
System > Monitor > DHCP Monitor
Gibt es die Möglichkeit FortiClient's Zentral über einen Server zu Verteilen/Verwalten?
Seite FortiOS 5.0 gibt es die Möglichkeit die FortiClients über die FortiGate zu verwalten. Dies bedeutet: Wird die Endpoint Security Version des FortiClient installiert dh. inkl. UTM Features können diese Clients über die FortiGate verwaltet werden anhand UTM Profiles etc. Für diese Art der Verwaltung der FortiClients über eine FortiGate stehen auf jedem Device "free of charge" Lizenzen zur Verfügung. Möchte man mehr FortiClients über eine FortiGate verwalten muss eine entsprechende "pre-pertual" Lizenz (Jährliche Erneuerung) erworben werden, die es ermöglicht eine max. Anzahl FortiClients auf dem jeweiligen Devices zu verwalten. Dies bedeutet: Es exitieren für FortiOS 5.0 sowie 5.2 keine User Lizenzen für die Devices sondern nur max. mögliche Lizenz für einen Device. Weitere Informationen betreffend dieser Möglichkeit und Lizenzen siehe nachfolgenden Artikel:
FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F
Ende September 2015 hat Fortinet die Möglichkeit der Verwaltung der FortiClients erweitert dh. FortiClient-EMS (FortiClient Enterprise Management Server). Diese Möglichkeit basieret auf einem Windows Server 2012, 2012 R2 sowie 2008 R2 System über dieses die FortiClients verwaltet werden können. Dieses FortiClient-EMS System ist für grosse Umgebungen gedacht. Die Server Anforderungen sind wie folgt beschrieben:
Die Möglichkeiten die das FortiClient-EMS System umfassen sind nachfolgend in einer Kurzübersicht augelistet (Initial Release 1.0.0):
- Remote Verteilung/Installation der Software des FortiClients auf Windows PC's
- Updates von Profiles (Antivirus, WebFilter usw.) für die Endpoint User unabhängig der Lokation
- Verwaltung der Registration der FortiClients wie Registrierung, De-Registrierung sowie blocken einer Registrierung
- Verwalten der Endpoints wie zB Status, System informationen und Signature Informationen
- Verwalten der Versionen des FortiClient Endpoint Security
NOTE Weitere Informationen betreffend den unterstützten Features siehe nachfolgendes Dokument:
Datei:Forticlient-1.0.0-ems-release-notes.pdf
Der FortiClient-EMS unterstützt basierend auf "FortiClient 5.2.4" und höher die Verwaltung von Windows basierenden Systemen, MacOSx, Android sowie IOS Systeme. Der FortiClient-EMS Server wird User basierend lizensiert (Packete a 100 User). Dabei gilt 1 Registrierter User = 1 Lizenz. Es steht per Standard eine Trial Lizenz zur Verfügung. Dies bedeutet: Wird ein FortiClient-EMS System installiert so beinhaltet das Produkt eine Trial Lizenz für 60 Tage und 20'000 User. Nach Ablauf der 60 Tage reduziert sich die User Anzahl auf 10. Für eine Installation stehen nachfolgende Dokument zur Verfügung die Auskunft geben wie das Produkt installiert und konfiguriert wird:
Datei:FortiClient-EMS-1.0-QuickStart-Guide.pdf Datei:FortiClient EMS 1.0 Administration Guide.pdf
Wie werden UTM Features, NAT usw. auf einer FortiGate im Zusammenhang mit einer Dial-up IPSec Verbindung abgearbeitet?
Die nachfolgende Abbildung zeigt den Flow eines Packets zwischen einem IPSec Dial-UP Client zB FortiClient und einem internen Server im Zusammenhang mit dem UTM Feature Application Control, NAT usw.:
NOTE Weitere Wichtige Informationen betreffend UTM Features, Flow usw. kann aus dem nachfolgenden Dokument entnommen werden: Datei:Fortigate-life-of-a-packet-52.pdf Datei:Fortigate-Optimal-Life-54.pdf
Gibt es eine Möglichkeit eine FortiClient Installation auf Windows komplett zu deinstallieren/säubern?
Wenn eine FortiClient Installation auf einer Workstation/Laptop durchgeführt wird und man aus irgendwelchen Gründen diesen wieder deinstallieren will, kann dies ordnungsgemäss über die DeInstallations Routine durchgeführt werden. Wenn es zu Problemen kommt dh. mit zB dritt Software oder misslungenen Installationen von FortiClients wäre es gut ein Tool zur Verfügung zu haben, dass die Deinstallation überprüft und event. übrig gebliebenen Komponenten korrekt entfernt/säubert. Dieses Tool für FortiClient steht im "FortiClientTools" Package zur Verfügung im Verzeichnis "SupportUtils" und trägt den Namen "FCRemove.exe". Dieses "FortiClientTools" Package kann regulär über das Download Verzeichnis (Images) von Fortinet runtergeladen werden. Dazu wird ein Support Account benötigt und nach erfolgreichen Login stehen die Downloads über folgenden Link zur Verfügung:
https://support.fortinet.com/Download/FirmwareImages.aspx
Nach dem erfolgreichen Download des "FortiClientTools" Package muss dieses entpackt werden und das Tool befindet sich wie erwähnt im Verzeichnis "SupportUtils". Dieses Tool ist Versions abhängig dh. muss für die jeweilige Version zB 5.0 oder 5.2 ausgeführt werden da die verschiedenen Registry Einträge usw. von Version zu Version unterschiedlich sind.
FortiClient EMS
Gibt es die Möglichkeit FortiClient's Zentral über einen Server zu Verteilen/Verwalten?
Seit FortiOS 5.0 gibt es die Möglichkeit die FortiClients über die FortiGate zu verwalten. Dies bedeutet: Wird die Endpoint Security Version des FortiClient installiert dh. inkl. UTM Features können diese Clients über die FortiGate verwaltet werden anhand UTM Profiles etc. Für diese Art der Verwaltung der FortiClients über eine FortiGate stehen auf jedem Device "free of charge" Lizenzen zur Verfügung. Möchte man mehr FortiClients über eine FortiGate verwalten muss eine entsprechende "pre-pertual" Lizenz (Jährliche Erneuerung) erworben werden, die es ermöglicht eine max. Anzahl FortiClients auf dem jeweiligen Devices zu verwalten. Dies bedeutet: Es exitieren für FortiOS 5.0 sowie 5.2 keine User Lizenzen für die Devices sondern nur max. mögliche Lizenz für einen Device. Weitere Informationen betreffend dieser Möglichkeit und Lizenzen siehe nachfolgenden Artikel:
FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F
Ende September 2015 hat Fortinet die Möglichkeit der Verwaltung der FortiClients erweitert dh. FortiClient-EMS (FortiClient Enterprise Management Server). Diese Möglichkeit basieret auf einem Windows Server 2012, 2012 R2 sowie 2008 R2 System über dieses die FortiClients verwaltet werden können. Dieses FortiClient-EMS System ist für grosse Umgebungen gedacht. Die Server Anforderungen sind wie folgt beschrieben:
Die Möglichkeiten die das FortiClient-EMS System umfassen sind nachfolgend in einer Kurzübersicht augelistet (Initial Release 1.0.0):
- Remote Verteilung/Installation der Software des FortiClients auf Windows PC's
- Updates von Profiles (Antivirus, WebFilter usw.) für die Endpoint User unabhängig der Lokation
- Verwaltung der Registration der FortiClients wie Registrierung, De-Registrierung sowie blocken einer Registrierung
- Verwalten der Endpoints wie zB Status, System informationen und Signature Informationen
- Verwalten der Versionen des FortiClient Endpoint Security
Der FortiClient-EMS unterstützt basierend auf "FortiClient 5.2.4" und höher die Verwaltung von Windows basierenden Systemen, MacOSx, Android sowie IOS Systeme. Der FortiClient-EMS Server wird User basierend lizensiert (Packete a 100 User). Dabei gilt 1 Registrierter User = 1 Lizenz. Es steht per Standard eine Trial Lizenz zur Verfügung. Dies bedeutet: Wird ein FortiClient-EMS System installiert so beinhaltet das Produkt eine Trial Lizenz für 60 Tage und 20'000 User. Nach Ablauf der 60 Tage reduziert sich die User Anzahl auf 10. Für eine Installation stehen nachfolgende Dokument zur Verfügung die Auskunft geben wie das Produkt installiert und konfiguriert wird:
EMS Client 1.0.x
EMS Client 1.2.x
EMS Client 6.0.x
| Forti EMS Client Windows Release Notes |
|---|
| Forti EMS Client Upgradepath |
| Forti EMS Client Quick Start Guide |
| Forti EMS Client Admin Guide |
Micro FortiGuard Server
| Microsoft FortiGuard Server Release Notes |
|---|
| Microsoft FortiGuard Server Install Guide |
| Microsoft FortiGuard Server Admin Guide |
Wie wird der EMS Server auf der FortiGate aktiviert?
Der EMS Server muss auf der FortiGate in der Security Fabric konfiguriert werden. Dabei ist zu beachten, wenn die FortiGate mit VDOM betrieben wird, dass der Fabric Connector in GLOBAL konfiguriert wird:
Konfiguration auf der FortiGate:
 Konfiguration über das WebGui: FORTIGATE
|
|
Menu Security Fabric --> Fabric Connectors --> Create New --> FortiClient EMS auswählen
Nun kommt der Hinweis, dass die FortiGate auf dem EMS Server noch nicht autorisiert ist. Folgende Meldung kann weggeklickt werden: Wir sehen dann beim Fabric Conector dass der EMS Server down ist. Dies wird behoben, nachdem auf dem EMS Server die FortiGate autorisiert wird.
|
]]
Konfiguration auf dem EMS Server:
| Konfiguration über das WebGui: EMS Server
|
|
Loge dich nun auf dem EMS Server ein. Um die FortiGate zu sehen muss du über das Menu Administration --> Fabric Devices gehen: Es erscheinen die FortiGates, welche diesen EMS Server als Connector konfiguriert haben: Klicke auf das gelbe Fragezeichen um die FortiGate zu autorisieren. Nun musst du wieder zurück auf die FortiGate gehen. |
Konfiguration auf der FortiGate:
| Konfiguration über das WebGui: FORTIGATE
|
|
Gehe zurück zum EMS Connector, du bekommst diese Meldung am Rand. Bestätige diese mit aply: Nun solltest du folgendes Bild vor dir haben: Der Connector wird jetzt auch Grün angezeigt: |
Wie kann ich ein Zertifikat vom EMS Server auf die FortiGate einlesen?
Beim registrieren des EMS Servers kann es vorkommen, dass auf der FortiGate beim Zertifikat der Hinweis Not authorized erscheint.
Wenn man auf 'Autorize klickt kommt dann folgende Fehlermeldung:
Das bedeudet, die FortiGate hat nicht das Zertifikat des EMS Servers im Inventory und wir müssen es manuell in die FortiGate importieren. Um das Zertifikat zu erhalten müssen wir uns auf den den Windowsserver einloggen auf welchem der EMS Server installiert ist.
| Konfiguration Windows Server:
|
|
Die Zertifikate findet mann am einfachsten in dem man ein Eingabe Fenster öffnet. Gib dazu im Suchfeld CMD ein. Wenn sich das schwarze Fenster geöffnet hat kannst du Nun muss das entpsprechende EMS Zertifikat gefunden werden. Daüf auf Vertrauenswürdige Stammzertifizierungsstelle --> Zertifikate Suche das FortiClient Enterprise Management Server Zertifikat Rechtsklick auf das Zertifikat und zum Exportieren auf Alle Aufgaben --> Exportieren... klicken Es öffnet sich der Export Wizard: Wähle Base-64-codiert X.509(.CER) aus: Gib an wohin das Zertifikat exportiert werden soll. Der Pfad muss von der FortiGate aus erreichbar sein. Nun kannst du mit Fertig stellen den Export abschliessen |
Zertifikat auf die FortiGate imporiteren:
Loge dich auf die FortiGate ein.
| Konfiguration über das WebGui:
|
|
Damit ein Zertifikat impotiert werden kann, muss im WebGui das Feature erst noch aktiviert werden. Gehe dafür über das Menu System --> Feature Visibility und aktiviere das Feature Certificates Nun wird das Zertifikat importiert. Dafür auf das Menu System-->Certificates und dann auf Import Wähle CA Certificate aus Wechsle beim Type auf File und gib den Pfad bei Upload an wo das Zertifikat abgelegt ist. (Datei welche du vorher vom Server exportiert hast). Mit OK wird der Import abgeschlossen. In der Zertifikat übersicht findest du jetzt das importierte Zertifikat: Jetzt kann mann wieder auf dem EMS Connector auf Authorize klicken. Wenn das Zertifikat erfolgreich importiert wurde sollte folgende Meldung erschein: Mit Accept bestätigen und der Fehler ist behoben. |
Was tun wen das EMS-Zertifikat nicht mehr vertrauenswürdig mit der FortClient EMS Cloud ist?
In diesem Artikel beschreiben wir den Fall, in dem das Serverzertifikat für die FortiClient EMS Cloud-Instanz erneuert werden muss. Dabei wirst du als Administrator eine Warnmeldung auf der FortiGate erhalten, sobald das Zertifikat abläuft. Du wirst auch über Email vom FortiEMS Cloud Portal vor Informiert.
Notifikation im WegGui auf der FortiGate:
Email Information von der FortiCloud:
Wie bereits in der obenstehenden Warnmeldung angezeigt, steht die Neuautorisation des FortiGate an. Allerdings könnte dieses Vorhaben aufgrund eines zwischengespeicherten Zertifikatseintrags auf der FortiGate fehlschlagen. Genauer gesagt, könnte es zu folgendem Fehler kommen: "Zertifikatseintrag auf dem FortiGate fehlschlagen".
Wenn die erneute Autorisierung über die CLI erfolgt, kann der folgende Fehler auftreten:
 Konfiguration über die CLI:
|
# execute fctems verify 1 Error in requesting EMS fabric connection: -4 issue in getting capabilities. Server certificate does not match previously configured EMS certificate. Error (-1@_get_capabilities:439). Command fail. Return code -9999 Mit dem CLI Befehl # execute fctems unverify ? 1 (EMS-FortiCloud-Also) 2 (EMS-msalem-lab-srv2019-0003) 3 () 4 () 5 () 6 () 7 () In unserem Fall ist dies die ID 1 # execute fctems unverify 1 FortiClient EMS certificate successfully unverified. |
Nun kann der EMS Server im WebGui wieder authentifiziert werden über den Authorifizierungs Button.
| Konfiguration über das WebGui:
|
|
Menu Security Fabric -> Fabric Connectors -> FortiClient EMS -> edit Im Fenster müsste ein Hinweis für das neue gültige Zertifikat kommen. Dieses gilt es zu bestätigen indem der Button Accept angewählt wird. Als ich dies durchgeführt habe ist folgende Meldung im Status danach erschienen: Ich habe dann das Menu neu geladen, dannach war die Verbindung grün und auf connectet |
add 04.09.2023 - 4Tinu