FortiClient:FAQ: Unterschied zwischen den Versionen
| Zeile 592: | Zeile 592: | ||
- Request ablehnen: Automatische Ablehnung des Requests. Dies geht nur wenn der FortiClient bereits bei einer anderen FortiGate registriert ist und die Deregistration ausgeschaltet ist. Die | - Request ablehnen: Automatische Ablehnung des Requests. Dies geht nur wenn der FortiClient bereits bei einer anderen FortiGate registriert ist und die Deregistration ausgeschaltet ist. Die | ||
Konfiguration kann über die FortiClient-XML-Konfigurationsdatei vorgenommen werden. Details zum XML-Konfigurationsdatei Aufbau sind im FortiClient XML Referenzguide beschrieben: | Konfiguration kann über die FortiClient-XML-Konfigurationsdatei vorgenommen werden. Details zum XML-Konfigurationsdatei Aufbau sind im FortiClient XML Referenzguide beschrieben: | ||
[[FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F]] | |||
Die Sektion <endpoint_controll></endpoint_controll> beinhaltet die nötigen Parameter: | |||
<endpoint_control> | <endpoint_control> | ||
Version vom 9. Februar 2015, 13:07 Uhr
FortiClient:FAQ
24 X 7 PROMOTION November/Dezember (Verlängert bis ende März 2015) Weitere Informationen finden Sie hier!
Vorwort
Diese FAQ's sind für Fortinet Systeme basierend auf OS 4 MR3 sowie 5.0/5.2. Zu Test-Zwecken stand eine Fortigate 60C/D zur Verfügung!
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
FortiClient
Welche Versionen von FortiClient gibt es und wie unterscheiden sich diese?
Der Forticlient ist die Software basierende Lösung von Fortinet für Client2Site VPN. Dabei unterscheiden wir:
FortiOS V4.0 MR3
Forticlient Lite SSL VPN; Kostenlos
Forticlient SSL VPN; IPSec; Kostenlos (Siehe nachfolgende Tabelle)
Forticlient Premium SSL VPN; IPSec (Siehe nachfolgende Tabelle)
Datei:Fortinet-67.jpg
Eine weitere Uebersicht im Gesamten bietet folgende Tabelle:
Datei:Fortinet-329.jpg
Für FortiOS 5.0 gilt folgendes:
FortiOS V5.0
Grundsätzlich kann jede Variante des Client eingesetzt werden "free of charge". Die Limitierung umfasst
den "manageable" Client (Früher Premium) dh. der Antivirus, IPS etc. umfasst. Dieser Client der nun neu
"FortiClient Endpoint Security" heiss kann auf jedem Device mit max. 10 User eingesetzt werden Benötigt
man mehr User Verbindungen muss eine einmalige Lizenz gekauft werden (None Stackable):
Der FortiClient FortiOS 5.0 verfügt über folgende Features (Uebersicht der vers. Betriebssysteme):
Für FortiOS 5.2 gilt folgendes:
FortiOS V5.2
Grundsätzlich kann jede Variante des Client eingesetzt werden "free of charge". Die Limitierung umfasst
den "manageable" Client (Früher Premium) dh. einzelne UTM Features etc. umfasst. Dieser Client der nun neu
"FortiClient Endpoint Security" heiss kann auf jedem Device mit max. 10 User eingesetzt werden Benötigt
man mehr User Verbindungen muss eine einmalige Lizenz gekauft werden (None Stackable):
Der FortiClient FortiOS 5.2 verfügt über folgende Features:
Nachfolgend ein FAQ Dokument das Aufschluss gibt über verschiedene Fragen:
Datei:FortiClient 5.0 FAQ.pdf Datei:FortiClient 5.2 FAQ.pdf Nachfolgend eine Präsentation die auf die verschiedenen Features eingeht sowie die Unteschiede aufzeigt zwischen V4.3 sowie der neuen V5.0: Datei:FortiClient-V5-R5.pptx Datei:FortiClient-5.0.5-Sales Presentation.pptx Nachfolgend ein FortiClient v5.0 Upgrade Guide den es sich lohnt reinzuschauen: Datei:FortiClient-5.0-Upgrade-Guide.pdf Die Software des "FortiClient Endpoint Security" kann über folgende Seite für die vers. Betriebssystem wie Windows, MacOSx, IOS, Android runtergeladen werden: http://www.forticlient.com
Kann ich unter FortiOS 5.2 einen FortiClient 4 MR3 und/oder 5.0 im "VPN-Only" Mode benutzen?
Ausgehend davon, dass der FortiClient 4 MR3 sowie 5.0 im "VPN-Only" Mode ist können diese Versionen unter FortiOS 5.2 eingesetzt werden. Weitere Informationen zum "VPN-Only" Mode siehe nachfolgneden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F
Fortinet führt im FAQ Dokumnet für den FortiClient 5.2 die Antwort folgendermassen auf:
"IPSec and SSL VPN connection from FortiClient 4 MR3 and 5.0 should still work with FortiOS 5.2"
Basierend auf dieser Antwort hat man keine Gewährleistung, dass der FortiClient 4 MR3 sowie FortiOS 5.0 ohne Probleme unter FortiOS 5.2 eingesetzt werden kann. Wir empfehlen ein Upgrade auf den FortiClient 5.2 sofern FortiOS 5.2 eingesetzt wird. Das FAQ Dokument für FortiClient 5.2 findet man im nachfolgenden Artikel:
FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F
Unter FortiOS 5.2 kann für eine Client2Site IPSec VPN Verbindung keine "static route" im Web Mgmt. konfiguieren werden?
Unter FortiOS 5.0.x ist die Konfiguration einer Client2Site VPN Verbindung sei es für Windows, IOS, Android in 3 Schritten zu vollziehen dh.:
Schritt 1: Erstelle eine Phase 1 sowie 2 manuell oder anhand des "Client Wizards"
Schritt 2: Erstelle für den IP Pool Range eine statische Route und definiere für diesen das IPSec Interface Name Phase 1
Schritt 3: Anhand des IPSec Interface Name Phase 1 erstelle die nötigen Firewall Policy
Wenn nun unter FortiOS 5.2 eine Client2Site IPSec VPN basierende Verbindung manuell und/oder über ein Template erstellt wird und man nachträglich eine statische Route für den "IP Pool Range" erstellen möchte, fällt einem auf das dies nicht mehr möglich ist. Der Grund dafür ist, dass das entsprechende IPSec Interface mit dem Namen der Phase 1 nicht mehr über Web Mgmt. Interface ausgewählt werden kann. Wenn man sich das auf CLI anschaut wird man feststellen, dass das IPSec Interface mit dem Namen der Phase 1 wie üblich existiert und somit kann die Route auf CLI konfiguriert werden:
# config router static
# edit 1
# det dst [IP Pool Range mit Subnet]
# set device [Interface der IPsec VPN Verbindung Phase 1]
# end
Nun die Route kann durchaus erstellt werden jedoch ist diese überflüssig da unter 5.2 sobald eine Phase 1 erstellt wird mit der entsprechenden "IP Pool Range" Definition im Hintergrund für den IKE Deamon ein "automatischer" Eintrag erstellt wird. Dieser wird - Stand 5.2.2 - jedoch nicht im Routing Monitor angezeigt. Um den Routing Eintrag zu kontrollieren kann folgender Befehl durchgeführt werden:
# diagnose vpn ike routes list
NOTE Zum heutigen Zeitpunkt 5.2.2 ist es unklar ob die Verhaltensweise im Web Mgmt. Interface gewollt ist oder nicht. Wir empfehlen,
obwohl zu diesem Zeitpunkt unnötigen, einen "statischen" Routing Eintrag über CLI zu erstellen um für eine zukünftige Aenderung
vorbereitet zu sein. Bei einem Upgrade von 5.0.x wird der Routing Eintrag zwar übernommen im Web Mgmt. Interface, und dieser ist auch
Ordnungsgemäss ersichtlich, jedoch lässt sich dieser nicht über Web Mgmt. Interface modifizieren da das IPSec Interface für die Phase 1
nicht existiert.
Um welche Version des FortiClient handelt es sich wenn ich diesen über das Mgmt. Web Interface der FortiGate runterlade?
Wenn man unter FortiOS 5.0.5 oder höher (ink.. 5.2) den FortiGuard Service aktiviert resp. dieser erreichbar ist, kann der FortiClient über das Dashboard der FortiGate direkt runtergeladen werden:
System > Dashboard > Status > License Information > FortiClient Software > [Wähle Mac und/oder Windows)
Diese Version ist eine Online Version und wird direkt aus dem FortiDistribution Service geladen. Sprich die Version die hier geladen wird ist basierend auf dem "FortiClientOnlineInstaller". Dies bedeutet der "FortiClientOnlineInstaller" ist ein .exe File das benutzt wird um das effektive Package aus der Cloud (Fortinet Distribution Service) runterzuladen. Dieses Package das runtergeladen wird steht als Ganzes nicht zur Verfügung und kann nur über den "FortiClientOnlineInstaller" runtergeladen werden (ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.7/):
NOTE Dieser Link ist nicht direkt zugänglich dh. um zu diesen Links zu gelangen logge dich auf
https://support.fortinet.com ein und wähle im unteren Bereich "Firmware Images". Danach im
Scrollbalken wähle "FortiClient" danach gehe auf den "Download Button". Nun wähle das entsprechende
Betriebssystem zB "Windows" usw.
Sieht man sich die Release Notes zB der Version 5.0.7/5.2 genauer an so fällt einem folgendes auf:
In den Release Notes wird folgendes File beschrieben:
• FortiClientOnlineInstaller_5.0.7.0333: Minimal installer for 32-bit and 64-bit Windows. This
file downloads and installs the latest FortiClient file from the public FDS.
• FortiClientOnlineInstaller_5.2.0.0591: Minimal installer for 32bit and and 64-bit Windows.
Dabei handelt es sich genau um das File das über den FortiDistribution Service. Bei diesem File handelt es sich um ein "Minimal installer" oder besser gesagt "VPN only" Installation File. Nichts desto trotz empfehlen wir die übliche Vorgehensweise für die Installation dh. manueller Download über offizielle Download Seite (Login wird benötigt):
https://support.fortinet.com/Download/FirmwareImages.aspx
FortiOS 5.0
• FortiClientSetup_5.0.7.0333.exe: Standard installer for 32-bit Windows.
• FortiClientSetup_5.0.7.0333.zip: A zip package containing FortiClient.msi and language
transforms for 32-bit Windows. Some properties of the MSI package can be customized
with FortiClient Configurator tool.
• FortiClientSetup_5.0.7.0333_x64.exe: Standard installer for 64-bit Windows.
• FortiClientSetup_5.0.7.0333_x64.zip: A zip package containing FortiClient.msi and language
transforms for 64-bit Windows. Some properties of the MSI package can be customized
with FortiClient Configurator tool.
• FortiClientTools_5.0.7.0333.zip: A zip package containing miscellaneous tools including the
FortiClient Configurator tool and VPN Automation files.
FortiOS 5.2
• FortiClientSetup_5.2.0.0591.exe : Standard installer for Microsoft Windows (32-bit).
• FortiClientSetup_5.2.0.0591.zip : A zip package containing FortiClient.msi and language transforms for Microsoft Windows
(32-bit). Some properties of the MSI package can be customized with FortiClient Configurator tool.
• FortiClientSetup_5.2.0.0591_x64.exe: Standard installer for Microsoft Windows (64-bit).
• FortiClientSetup_5.2.0.0591_x64.zip: A zip package containing FortiClient.msi and language transforms for Microsoft Windows
(64-bit). Some properties of the MSI package can be customized with FortiClient Configurator tool.
• FortiClientTools_5.2.0.0591.zip: A zip package containing miscellaneous tools including the FortiClient Configurator tool and
VPN Automation files.
NOTE Neu kann der FortiClient 5.2 im Setup als "VPN-Only" ausgeführt werden dies bedeutet wenn "VPN-Only" benötigt
wird unter FortiClient 5.2 kann dies direkt über das "Setup" bewerkstelligt werden. Somit muss der FortiClient
5.2 für "VPN-Only" nicht mehr anhand der Licens Packetiert werden. Im Setup stehen zwei Optionen zur Verfügung:
- Alle Endpoint Security und VPN Komponenten werden installiert
- VPN Only wird installiert (IPSec/SSL)
Soll der FortiClient 5.0.x sowie 5.2 dennoch Packetiert werden kann dies anhand des Packets "FortiClientTools" durchgeführt werden. Weitere Informationen siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F
Nachträglich kann der Client sofern gewünscht anhand des folgenden Artikels "customized" werden:
FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F
Danach kann dem Enduser ein vollständiges File zur Verfügung gestellt werden, dass dieser manuell installieren kann oder über GroupPolicy verteilen kann.
Gibt es einen FortiClient für IOS und/oder Android Devices und welche Funktionen unterstützten diese
Die beiden offiziellen Apps von Fortinet (FortiClient) für IPhone und/oder Android unterstützen in der 5.0 Version ausschliesslich das Browsen dh. wenn man verbunden ist mit dem APP kann der aufgebaute VPN Tunnel nur für das Browsen benutzt werden deshalb wird dieser Client auch "SSL proxy VPN connection agent" genannt (SSL-VPN). Neu unter FortiOS 5.2 unterstützt - im Gegensatz zu IOS - Android ebenfalls eine IPSec Verbindung. Will man eine klassische IPSec Verbindung anhand eines IOS Gerätes durchführen so ist das mit dem Cisco Client (Unity Client) möglich sowie mit der eingebauten VPN Funktion eines IPhones/IPad's. Nachfolgende Links geben weitere Auskunft über IPSec und/oder SSL-VPN für IOS und/oder Android Devices:
Fortigate:FAQ#Gibt_es_eine_M.C3.B6glichkeit_mit_einem_IPhone.2FIPad_.C3.BCber_IPSec_eine_Verbindung_aufzubauen_zu_einer_Fortigate.3F Fortigate:FAQ#Wie_wird_unter_FortiOS_5.0_ein_IPSec_basierende_Site2Site_VPN_Verbindung_aufgebaut_.28Interface_Based.29.3F
Fortigate:FAQ#Gibt_es_f.C3.BCr_IOS_und_Android_einen_SSL_VPN_Client.3
Zusätzlich zeigen folgende Links wie eine IPSec/SSL Verbindung auf einer FortiGate zu konfigurieren ist:
Fortigate:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.0_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F Fortigate:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.2_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F
FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.0_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.2_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F
Wie wird ein Client2Site IPSec VPN unter FortiOS 5.0 konfiguriert für FortiClient, iOS und Android?
Unter FortiOS 5.0 werden Verbindungen basierend auf Client2Site IPSec VPN anhand eines "VPN Wizard's" erstellt/konfiguriert. Im "VPN Wizard's" hat man die Möglichkeit die Art der Verbindung (Device zB iOS, Android) zu wählen. Die Vorgehensweise der Konfiguration ist für jede Art einer Verbindung sei es iOS und/oder Android etc. die Gleiche. Für unser Beispiel unter FortiOS 5.0 gehen wir von folgender Situation aus:
____________ _________________________
193.193.135.66/29| | 192.168.1.99 | |
----- WAN 1 -----| Fortigate |------ LAN -----| LAN Env. 192.168.1.0/24 |
|____________| |_________________________|
Erstellung eines User's
User & Device > User > User Definition > Create New
Erstellung einer Gruppe und hinzufügen des User's
User & Device > User > User Groups > Create New
Erstellung eines Adress Objekt's für IP-Pool
Policy & Objects > Adresses > Addresses > Create New
NOTE Der IP-Pool Range stellt ein DHCP Server dar. Nach erfolgreicher Authentifizierung des IPSec VPN Client's
wird diesem eine IP Adresse aus diesem Range zugewiesen!
Erstellung eines Adress Objekt's für Internal/LAN
Policy & Objects > Adresses > Addresses > Create New
Erstellung Phase-1/2 FortiClient Windows
VPN > IPSec > Auto Key (IKE) > Create VPN Wizard
NOTE Der vergebene Name der Verbindung steht im Zusammenhang mit den möglichen gleichzeitigen IPSec VPN Tunnel. Es wird
empfohlen nicht mehr als 12 Zeichen zu benutzen (100 gleichzeitige IPSec VPN Tunnel). Mehr detailierte Informationen
dazu siehe nachfolgender Artikel:
Fortigate:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F
NOTE Im normal Fall ist der Punkt "Split Tunneling" zu definieren denn wenn dies nicht durchgeführt wird gilt bei einer
erfolgreichen IPSec VPN Verbindung, dass sämtlicher Traffic durch den Tunnel geroutet wird. Deshalb sollte die Split
Tunneling Funktion aktiviert werden ausser aus Security Gründen wird darauf verzichtet. Weitere Informationen dazu
siehe nachfolgenden Artikel:
FortiClient:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F
Erstellung einer Firewall Policy Incoming
Policy > Policy > Policy > Create New
NOTE In der Firewall Policy sollte die Position "NAT" (Source NAT) nicht aktiviert werden "Use Destination Interface Address".
Der IP-Pool der definiert wird in der Phase-1 muss -wenn NAT deaktiviert ist- im internen Netz geroutet werden. Ist dies
nicht der Fall kommt zwar die Verbindung zu stande, jedoch der FortiClient kann keine Resource angehen da dieser IP-Pool
(DHCP) -aus dem der FortiClient eine Adresse bezieht- nicht im Internal/LAN geroutet ist. Wird "NAT" aktiviert wird
"sämtlicher" Traffic betreffend Source des FortiClientj's translated auf die IP des Internen Interface's (unser Beispiel
die Destination). Somit kann der einzelne FortiClient mit der ihm zugewiesene IP nicht mehr einzel identifiziert werden
da alle FortiClient's als Source die gleiche IP ausweisen.
Erstellung einer Firewall Policy Outgoing
Policy > Policy > Policy > Create New
NOTE Diese Firewall Policy Rule für Outgoing ist "optional". Dies bedeutet: Diese Firewall Policy Rule wird Hauptsächlich benutzt
um Support auf dem FortiClient zu leisten. Dies bedeutet: Ist die IP des FortiClient -die dem FortiClient über den definierten
IP-Pool zugewiesen wurde- kann anhand dieser Outgoing Firewall Policy auf den FortiClient zB über RDP zugegriffen werden!
Konfigurieren des Routings für IP-Pool
Router > Static > Static Routes > Create New
Die Konfiguration ist abgeschlossen! Nun muss nur noch der entsprechende FortiClient installiert werden. Dieser sollte als "VPN-Only" installiert werden. In dieser Installation enthält diese Installation "nur" VPN Funktionalität dh. IPSec und/oder SSL-VPN. Weitere Informationen über "VPN-Only" Installation sowie "SSL-VPN" siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F Fortigate:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.0_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F
Wenn IPSec auf iOS/Android eingesetzt werden möchte siehe nachfolgenden Artikel:
Fortigate:FAQ#Gibt_es_f.C3.BCr_IPhone_und_Android_einen_SSL_VPN_Client.3F
Die IPSec VPN Verbindung eines FortiClient basiert ebenfalls IKE Phase-1/2. Aus diesem Grund kann bei Problemen der gleiche Debug Mode benutzt werden wie für eine IPSec Tunnel:
Fortigate:FAQ#Wie_kann_ich_f.C3.BCr_ein_IPSec_VPN_f.C3.BCr_Phase-1_und.2Foder_2_ein_Debugging_ausf.C3.BChren.3F
Wenn der FortiClient nach erfolgreicher Anmeldung bestimmte Resourcen nicht erreichen kann ist es Sinnvoll diese Probleme anhand des Sniffer's zu überprüfen. Weitere Informationen zum "Sniffer" Mode siehe nachfolgenden Artikel:
Fortigate:FAQ#Wie_benutze_ich_das_Sniffer_Kommando_.22diagnose_sniffer_packet.22.3F
Wie wird ein Client2Site IPSec VPN unter FortiOS 5.2 konfiguriert für FortiClient, iOS und Android?
Unter FortiOS 5.2 werden Verbindungen basierend auf Client2Site IPSec VPN anhand eines "VPN Wizard's" erstellt/konfiguriert. Im "VPN Wizard's" hat man die Möglichkeit die Art der Verbindung (Device zB iOS, Android) anhand von "Template's" (Vorlagen) zu wählen. Die Vorgehensweise der Konfiguration ist für jede Art einer Verbindung sei es iOS und/oder Android etc. die Gleiche. Für unser Beispiel unter FortiOS 5.2 gehen wir von folgender Situation aus:
____________ _________________________
193.193.135.66/29| | 192.168.1.99 | |
----- WAN 1 -----| Fortigate |------ LAN -----| LAN Env. 192.168.1.0/24 |
|____________| |_________________________|
Erstellung eines User's
User & Device > User > User Definition > Create New
Erstellung einer Gruppe und hinzufügen des User's
User & Device > User > User Groups > Create New
Erstellung eines Adress Objekt's für IP-Pool
NOTE Durch den Gebrauch des Wizards resp. des Template's im Hintergrund, wird ein entsprechendes IP-Pool
Objekt automatisch erfasst das nachträglich unter folgender Position ersichtlich ist:
Policy & Objects > Objects > Adresses > [Name der Phase-1/2_range]
Erstellung eines Adress Objekt's für Internal/LAN
Policy & Objects > Objects > Adresses
Erstellung Phase-1/2 FortiClient Windows
VPN > IPSec > Tunnels > Create New
NOTE Die Meldung unter Name die in unserem Fall erscheint "10000 concurrent user(s)...." steht in Zusammenhang
mit der Art und Weise wie im Hintergrund jeder Tunnel in der Phase-1/2 abgebildet wird dh. weitere Informationen
dazu siehe nachfolgenden Artikel:
Fortigate:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F
NOTE Im normal Fall ist der Punkt "Split Tunneling" zu definieren denn wenn dies nicht durchgeführt wird gilt bei einer
erfolgreichen IPSec VPN Verbindung, dass sämtlicher Traffic durch den Tunnel geroutet wird. Deshalb sollte die Split
Tunneling Funktion aktiviert werden ausser aus Security Gründen wird darauf verzichtet. Weitere Informationen dazu
siehe nachfolgenden Artikel:
FortiClient:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F
Erstellung einer Firewall Policy Incoming
Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Rule]
NOTE Durch den Gebrauch des Wizards resp. des Template's im Hintergrund, wird eine entsprechende Firewall Policy
automatisch konfiguriert. Diese sollte dementsprechend modifiziert/kontrolliert werden!
NOTE In der Firewall Policy wir die Position "NAT" (Source NAT) aktiviert auf "Use Destination Interface Address". Dies
sollte deaktiviert werden. Die Position "NAT" wird durch den Wizard resp. das Template aktiviert aus folgenden Grund:
Der IP-Pool der definiert wird in der Phase-1 muss -wenn NAT deaktiviert ist- im internen Netz geroutet werden. Ist dies
nicht der Fall kommt zwar die Verbindung zu stande, jedoch der FortiClient kann keine Resource angehen da dieser IP-Pool
(DHCP) -aus dem der FortiClient eine Adresse bezieht- nicht im Internal/LAN geroutet ist. Wird "NAT" aktiviert wird
"sämtlicher" Traffic betreffend Source des FortiClientj's translated auf die IP des Internen Interface's (unser Beispiel
die Destination). Somit kann der einzelne FortiClient mit der ihm zugewiesene IP nicht mehr einzel identifiziert werden
da alle FortiClient's als Source die gleiche IP ausweisen.
Erstellung einer Firewall Policy Outgoing
Policy & Objects > Policy > IPv4 > Create New
NOTE Diese Firewall Policy Rule für Outgoing ist "optional". Dies bedeutet: Diese Firewall Policy Rule wird Hauptsächlich benutzt
um Support auf dem FortiClient zu leisten. Dies bedeutet: Ist die IP des FortiClient -die dem FortiClient über den definierten
IP-Pool zugewiesen wurde- kann anhand dieser Outgoing Firewall Policy auf den FortiClient zB über RDP zugegriffen werden!
Konfigurieren des Routings für IP-Pool
Router > Static > Static Routes > Create New
Die Konfiguration ist abgeschlossen! Nun muss nur noch der entsprechende FortiClient installiert werden. Dieser sollte als "VPN-Only" installiert werden. In dieser Installation enthält diese Installation "nur" VPN Funktionalität dh. IPSec und/oder SSL-VPN. Weitere Informationen über "VPN-Only" Installation sowie "SSL-VPN" siehe nachfolgenden Artikel:
FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F Fortigate:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.2_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F
Wenn IPSec auf iOS/Android eingesetzt werden möchte siehe nachfolgenden Artikel:
Fortigate:FAQ#Gibt_es_f.C3.BCr_IPhone_und_Android_einen_SSL_VPN_Client.3F
Die IPSec VPN Verbindung eines FortiClient basiert ebenfalls IKE Phase-1/2. Aus diesem Grund kann bei Problemen der gleiche Debug Mode benutzt werden wie für eine IPSec Tunnel:
Fortigate:FAQ#Wie_kann_ich_f.C3.BCr_ein_IPSec_VPN_f.C3.BCr_Phase-1_und.2Foder_2_ein_Debugging_ausf.C3.BChren.3F
Wenn der FortiClient nach erfolgreicher Anmeldung bestimmte Resourcen nicht erreichen kann ist es Sinnvoll diese Probleme anhand des Sniffer's zu überprüfen. Weitere Informationen zum "Sniffer" Mode siehe nachfolgenden Artikel:
Fortigate:FAQ#Wie_benutze_ich_das_Sniffer_Kommando_.22diagnose_sniffer_packet.22.3F
Kann ich mehrer Client2Site IPSec VPN (Dial-Up) auf "einer" FortiGate konfigurieren sei es für FortiClient, iOS und Android?
Wenn man auf einer FortiGate die Anforderungen hat mehrer Client2Site VPN's (Dial-Up IPSec Phase1 in Pre-Shared Key (PSK) Main Mode) zu konfigurieren läuft man in das Problem das "nur" immer das "erste" VPN in der Firewall Policy (top down first match wins) erkannt wird. Das Problem ist kein FortiGate Problem sondern stammt von der Art und Weise wie ein IPSec (IKE) im Main Mode mit PSK implementiert wird. Wenn ein zwei Client2Site VPN's auf die gleiche Public IP konfiguriert werden und ein IKE (TCP/UDP 500) PSK Main Mode Anfrage trifft auf die Firewall kann der IKE Service nicht erkennen welche Verbindung angesprochen wird. Dies bedeutet der IKE Service nimmt die Anfrage für den PSK Main Mode für "Alle" konfigurierten Client2Site VPN's an und läuft somit gezwungenermassen in eine Fehlermeldung da die Authentication des Preshared Secret (PSK) in der Phase1 in einer der Client2Site VPN's fehlschlägt. Unter "diagnose debug application ike -1" wird folgende Fehlermeldung angzeigt:
log_id=0101023003 type=event subtype=ipsec pri=error loc_ip=aa.bb.cc.dd loc_port=500 rem_ip=ee.ff.gg.hh rem_port=500 out_if="wan1" vpn_tunnel="branchOffice" cookies=asd2345sdf4sdf345 action=negotiate status=negotiate_error msg="Negotiate SA Error: probable pre-shared secret mismatch"
Wenn mehrere Client2Site VPN's resp. Dial-Up IPSec Phase1 existieren hat die Phase1 im PSK Main Mode keine Möglchkeit die Anfrage zur entsprechenden Phase1 zu zuweisen. Auch einer entsprechende Konfiguration einer "Source IP" in der Firewall Policy um auf die entsprechende Phase1 zu zeigen bringt kein Abhilfe denn in der Phase1 im PSK Main Mode werden "Alle" Source IP's gleich behandelt resp. verarbeitet/beantwortet. Es gibt somit keine Möglichkeit im PSK Main Mode ein spezifische Phase1 zu zuweisen. Technisch gesehen gilt in dieser Situation folgendes:
1. Der PSK (Pre-shared Key) selber ist Teil der Kalkulation des Phase1 "root key's" (SKEYID)
2. Dieser "root key" wird dann unterteilt/umgewandelt in zwei keys dh. "SKEYID_e sowie SKEYID_a. Diese zwei Key's werden in der Phase1 benutzt für Encryption und Authentcation.
= Somit ergiebt sich für die Phase1: Die Key's SKEYID_e/a sind basierend auf dem PSK. Die daraus resultierende Fehlermeldung
stammt also von der Antwort der falschen Phase1 und endet in einem "probable PSK mismatch" da IKE nicht möglich ist der
entsprechenden Source die entsprechende Antwort zu senden.
Nun stellt sich die Frage kann man dennoch solch eine Konfiguration durchführen dh. mehrere Client2Site VPN's auf einer FortiGate? Die Vorraussetzungen sind korrekt konfigurierte Client2Site VPN's wie in nachfolgenden Artikeln beschrieben:
FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.0_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.2_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F NOTE In diesen Artikeln wird anhand des Client Wizards unter FortiOS 5.0 sowie anhand eines Templates unter FortiOS 5.2 eine Client2Site VPN (Dial-Up) im "Aggressive Mode" durchgeführt. Dies bedeutet: Dieser Aggressive Mode ist Voraussetzung um mehrere Client2Site VPN's auf einer FortiGate in der Phase1 zu erkennen. Zusätzlich zur obenerwähnten Konfiguration muss in jeder Phase1 eine unterschiedliche "Local ID" konfiguriert werden: VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Loacal ID Der Nachteil an dieser Konfiguration dh. "Aggressive Mode" sowie die Konfiguration der "Local ID" ist das diese Information im "Aggressive Mode" in "clear-text" der Phase1 übermittelt mit. Diese Uebermittlung in "clear-text" ist dann zuständig die korrekte Phase1 anzusprechen und die entsprechende Antwort betreffend "SKEYID_e/a" (root key) zu erhalten. Der zuständige Befehl der über Kommandozeile die entsprechende Local ID setzt ist: # config vpn ipsec phase1-interface # edit [Name der entsprechenden Phase1] # set mode aggressive # set localid [Name der ID] # end
Eine andere Möglichkeit ist im Main Mode nicht PSK (Pre-shared Key) sondern eine Zertifikat basierende Lösung dh. RSASIG zu benutzen. In dieser Konfiguration wird wird in der Phase1 folgendes Konfiguriert:
VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Authentication Methode > RSA Signature
VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Authentication Methode > Certificate Name > [Gebe das entsprechende Zertifikat an]
NOTE Wenn Main Mode RSASIG benutzt wird werden keine Informationen über "clear-text" übermittelt. Dies bedeutet: In dieser Konfiguration
wird die erste Main Mode Nachricht an IKE gesendet und IKE nimmt diese Nachricht in der Phase1 in eine Liste auf. Wenn nicht die
korrekte Phase1 angesprochen wird spielt dies keine Rolle denn in diesem Mode spielen "SKEYID-a/e" keine Rolle da im Main Mode RSASIG
diese Informationen auf dem "payload" (Zertifikat) basieren und nicht wie im Aggressive Mode auf dem PSK. Der "payload" basiert auf
den Informationen die zwischen den Peer's ausgetauscht wird und der Diffie-Hellman Private Key der lokal auf jedem Peer existiert.
Wenn die Informatione anhand des Zertifikat Informationen entschlüsselt wurden weiss der IKE "responder" resp. die FortiGate um welche
Phase1 es sich handelt (ID). Erkannt wird die richtige Phases durch den DN des Zertifikates das auf dem Client konfiguriert ist. Um die
RSASIG Konfiguration über Kommandozeile durchzuführen gebe folgendes ein:
# config vpn ipsec phase1-interface
# edit [Name der entsprechenden Phase1]
# set mode main
# set rsa-certificate
# set authmethod rsa-signature
# end
Kann ich die Konfiguration des FortiClient "vorkonfigurieren" und zur Verfügung stellen (Distribution)?
Dies ist möglich und wird anhand eines "xml" Files durchgeführt. Dieses "xml" File kann über die FortiGate zur Verfügung gestellt werden (bis 100D 10 User inkl.; zusätzliche User müssen lizensiert werden). Nachfolgendes Dokument gibt Ausfkunft über die vers. Konfigurations Möglichkeiten im diesem "xml" File:
FortiOS 5.0
Datei:Forticlient-xml-ref-50.pdf
Datei:Forticlient-xml-ref-504.pdf
Datei:Forticlient-xml-ref-505.pdf
Datei:Forticlient-xml-ref-506.pdf
Datei:Forticlient-xml-ref-507.pdf
Datei:Forticlient-xml-ref-509.pdf
Datei:Forticlient-xml-ref-510.pdf
FortiOS 5.2
Datei:Forticlient-xml-ref-521.pdf
Datei:Forticlient-xml-ref-523.pdf
Nachfolgend die "Administration Guide" des FortiClient für FortiOS 5.0/5.2:
FortiOS 5.0
Datei:Forticlient-admin-503.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-505.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-506.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-507.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-509.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-510.pdf (Für Windows und Mac OSX)
FortiOS 5.2
Datei:Forticlient-admin-520.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-521.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-522.pdf (Für Windows und Mac OSX)
Datei:Forticlient-admin-523.pdf (Für Windows und Mac OSX)
Wie verhindere ich die Registrierungsanfrage PopUps auf dem FortiClient GUI?
Sobald der FortiClient in Verbindung zu einer FortiGate mit aktivierter Endpoint Registration kommt, erhält er beim Betrieb mit der Default Konfiguration eine Registration-Request-Message. Diese kann verschieden verarbeitet werden:
- Request ablehnen: Manuelle Ablehnung des Requests übers GUI.
- Request ablehnen: Automatische Ablehnung des Requests. Dies geht nur wenn der FortiClient bereits bei einer anderen FortiGate registriert ist und die Deregistration ausgeschaltet ist. Die
Konfiguration kann über die FortiClient-XML-Konfigurationsdatei vorgenommen werden. Details zum XML-Konfigurationsdatei Aufbau sind im FortiClient XML Referenzguide beschrieben:
FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F
Die Sektion <endpoint_controll></endpoint_controll> beinhaltet die nötigen Parameter:
<endpoint_control>
...
<skip_confirmation>1</skip_confirmation>
...
<disable_unregister>1</disable_unregister>
...
<name>Encrypted user name</name>
<registration_password>Passwort</registration_password>
<addresses>Adress of the Fortigate to register to</addresses>
...
</endpoint_control>
Mit <skip_confirmation>1</skip_confirmation> wird die automatische Registrierung an der in der Adressliste <addresses>...</addresses> angegebenen Fortigate forciert. Für die Registrierung werden
der Username sowie das Passwort von <name></name> und <registration_password></registration_password> verwendet. Mit der Option <disable_unregister>1</disable_unregister> wird sichergestellt, das
sich der Client nicht mehr deregistrieren kann. Dies führt Implizit dazu, dass sich der FortiClient auch an keinen neuen FortiGates regstrieren kann und somit allfällige Registration Requests
automatisch ablehnt.
- Requests automatisch annehmen: Ein andere Möglichkeit ist generelle Annahme der Registration-Requests. Dies führt dazu, dass sich der FortiClient jeweils automatisch an der anfragenden FortiGate
registriert. Diese konfiguration kann ebenfalls über die FortiClient-XML-Konfigurationsdatei erreicht werden:
<endpoint_control>
...
<silent_registration>1</silent_registration>
...
</endpoint_control>
Mit der Option <silent_registration>1</silent_registration> werden vom FortiClient automatisch alle Request Messages angenommen.
Wie aktiviere ich eine FortiClient Endpoint Security License (License File)?
Wenn man eine FortiClient Endpoint Security License ordered (Abhängig von der Art des Devices resp. Grösse) wird ein License Zertificat zugestellt (File). Diese Licesne Zertifikat beinhaltet einen "Activation Code" und sieht folgendermassen aus:
NOTE Informationen betreffend den Versionen des FortiClient Endpoint Security (FortiOS 5) und dessen Lizenzen findet man unter folgenden Artikel: FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F
Dieser Activation Code muss auf der entsprechenden FortiGate unter folgender Position eingegeben werden:
- Erstelle eine Verbindung auf das Mgmt. Gui der entsprechenden FortiGate.
- Unter folgender Position (FortiOS 5.0.2 oder höher) gebe den entsprechenden Activation Code ein:
System > Dashboard > Status > License Information
NOTE Die FortiGate auf der der Activation Code eingegeben wird MUSS über Internet Verbindung resp.
Verbindung (Port 53 oder 8888) in die FortiCloud verfügen da in der FortiCloud eine Verfizierung
des Activation Code durchgeführt wird!
- Nach der erfolgreichen Aktivierung kann das entsprechende License File über den Support Account in der
die FortiGate mit Ihrer Serien Nummer registriert ist heruntergeladen werden. Logge dich zu diesem Zweck
im entsprechenden Support Account ein und wähle Menüpunkt "Manage/View Products". Danach wähle den
entsprechenden Device (Serien Nummer) und nun kann das License File heruntergeladen werden!
Wie kann ich ein FortiClient Endpoint Security Software Package mit VPN (IPSec/SSL-VPN) only erstellen?
Unter FortiOS 5.0 ist der FortiClient Endpoint Security ein Software Package das etliche Funktionen enthält dh. IPSec, SSL-VPN, Antivirus, Firewall, URL WebFilter, IPS usw. Möchte man den FortiClient Endpoint Security mit den Funktionen im Gesamten dh. Antivirus, Firewall usw. nutzen, muss dieser Lizensiert werden (10 User free) da dieser FortiClient Endpoint Security mit seinen Funktionen über die FortiGate verwaltet wird. Zusätzliche User müssen lizensiert werden. Weitere Informationen dazu siehe folgender Artikel Abschnitt FortiOS 5:
FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F
Möchte man nun diesen FortiClient Endpoint Security zwar nutzen jedoch "nur" mit seiner IPSec und/oder VPN-SSL Funktion kann zwar das "orginale" Package installiert werden um nachträglich alle anderen Features zu deaktivieren, jedoch ist das nicht ein zu empfehlender/gangbarer Weg. Somit steht man vor der Aufgabe das orginale Software Package so zu manipulieren das Schlussendlich nur noch die gewünschten Funktionen für eine Installation zur Verfügung stehen dh IPSec und/oder VPN-SSL. Dieses beiden Funktionen IPSec und/oder VPN-SSL müssen nicht lizensiert werden und stehen ohne Limitierunge vollumfänglich auf einer FortiGate zur Verfügung. Um das orginale Software Package zu modifizieren kann folgendes durchgeführt werden:
NOTE Neu kann der FortiClient 5.2 im Setup als "VPN-Only" ausgeführt werden dies bedeutet wenn "VPN-Only" benötigt
wird unter FortiClient 5.2 kann dies direkt über das "Setup" bewerkstelligt werden. Somit muss der FortiClient
5.2 für "VPN-Only" nicht mehr anhand der Licens Packetiert werden. Im Setup stehen zwei Optionen zur Verfügung:
- Alle Endpoint Security und VPN Komponenten werden installiert
- VPN Only wird installiert (IPSec/SSL)
Soll der FortiClient dennoch anhand des Packages "FortiClientTools" Packetiert werden so muss man berücksichtigen,
das die FortiOS 5.0 License - die für das Packetierung nötig ist - nicht mehr gültig ist.
• Freeware Tool für Packetierung zB Orca (Funktioniert ohne Lizenz eines FortiClient Endpoint Security)
• FortiClientTools für die Packetierung (Funktioniert nur mit einer entsprechenden Lizenz)
Freeware Tool "Orca" (MSI Table Editor)
- Lade das Tool "Orca" von folgenden Link herunter: http://www.softpedia.com/get/Authoring-tools/Setup-creators/Orca.shtml
- Danach installiere "Orca.msi" (Typical) und starte das Tool!
- Lade die entsprechenden orginal FortiClient Endpoint Security Package herunter (Beispiel: Link FortiClient Endpoint Security 5.0.5):
ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5/FortiClientSetup_5.0.5.0308_x64.zip
ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5/FortiClientSetup_5.0.5.0308.zip
NOTE Diese Links sind nicht mehr direkt zugänglich dh. um zu diesen Links zu gelangen logge dich auf
https://support.fortinet.com ein und wähle im unteren Bereich "Firmware Images". Danach im
Scrollbalken wähle "FortiClient" danach gehe auf den "Download Button". Nun wähle das entsprechende
Betriebssystem zB "Windows" usw.
- Entpacke nun die zip Files in ein temporaeres Verzeichnis zB C:\tmp.
- Wähle im Orca Tool "File > Open" und wähle das temporaere Verzeichnis C\tmp resp. das File "FortiClient.msi" (32bit Version).
Dieses befindet sich im Verzeichnis C:\tmp\FortiClientSetup_5.0.5.0308 (32bit Version).
- Auf der rechten Seite werden nun im Orca Tool die Tables aufgelistet. Suche die Position "FeatureComponents".
- Wenn die Position "FeatureComponents" angewählt wird so werden die dazugehörigen Features auf der rechten Seite aufgelistet.
- Lösche nun alle Features/Zeilen ausser: "Feature_Basic, Feature_VPN und Feature_SSLVPN"
- Danach gehe auf "save" und das Packet resp. das File "FortiClient.msi" kann nur anhand einer Installation getestet werden!
FortiClientTools
- Vorraussetzung für diesen Vorgang ist eine FortiClient Endpoint Security "License File" (zB für Devices bis 90D ALSO Art. Nr. 16503101E)! Nähere Informationen dazu siehe Artikel:
FortiClient:FAQ#Wie_aktiviere_ich_eine_FortiClient_Endpoint_Security_License_.28License_File.29.3F
- Im Downloadverzeichnis des jeweiligen FortiClient zB "ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5" steht ebenfalls
das Tool "FortiClientTools_5.0.5.0308.zip" zur Verfügung. Dieses Package enthält die nötigen Tools sowie die nötige Dokumentation um
ein entsprechendes Package zu erstellen. Um das FortiClientTool zu benützen muss jedoch eine Lizenz für FortiClient Endpoint Security
erworben werden. Das entsprechende Lizenz File muss bei der Generierung des Packages angegeben weden. Dies bedeutet möchte man ein
VPN only (IPSec und/oder VPN-SSL) Package erzeugen wäre die Vorgehensweise folgende:
- Entpacke das File "FortiClientTools_5.0.5.0308.zip" in ein temporaeres Verzeichnis.
- Im entpackten zip File befindet sich ein Verzeichnis "FortiClientConfigurator". Wechsle in dieses Verzeichnis.
- Starte das Tool "FortiClientConfiguratorGUI.exe". Es erscheint eine Meldung um die entsprechende Lizenz zu laden:
Gebe das entsprechende License File an:
Gehe mit "Skip" weiter:
Wähle "VPN Only":
Der Vorgang ist abgeschlossen gehe auf "Fertig stellen":
NOTE Vor dem Fertigstellen wird im "Console output...." folgendes als Information angezeigt:
------------------------------------------------------------------ Console output.... ------------------------------------------------------------------
Executing:
-m "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient.msi" --
CUSTOMIZATIONKEY "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\License\EFCT102001369600.lic" -i VPN
Configuration complete.
The files needed for Active Directory deployment are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient_packaged\ActiveDirectory\
The files needed for manual distribution are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient_packaged\ManualDistribution\
You must test the packages to confirm they install correctly before
deploying them to production.
Executing:
-m "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient.msi" --CUSTOMIZATIONKEY "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\License\EFCT102001369600.lic" -i VPN
Configuration complete.
The files needed for Active Directory deployment are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient_packaged\ActiveDirectory\
The files needed for manual distribution are located here:
C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient_packaged\ManualDistribution\
You must test the packages to confirm they install correctly before
deploying them to production.
------------------------------------------------------------------ Console output.... ------------------------------------------------------------------
- Nun werden zwei Verzeichnisse für eine Distribution erstellt dh. "ActiveDirectory" und "ManualDistribution" gemäss den Angaben in der "Console ouput...."
Information.
NOTE Für MAC Installation ist der Vorgang anhand des Lizenz Files identisch jedoch benötigt man den FortiClientConfigurator
für MAC!
Gibt es eine Möglichkeit alle FortiClient's die auf einer FortiGate Registriert sind zu Deregistrieren?
Wenn eine IPSec Verbindung für den FortiClient erstellt wird fällt einem im Wizard die Position "Allow Endpoint Registration" auf. Diese Position bedeutet folgendes: Bei einer erstmaligen Verbindung des FortiClient wird dieser für die "Endpoint Funktion" registriert. Diese "Endpoint Funktion" beinhaltet das Management des "FortiClient Endpoint Security" über die FortiGate in allen Belangen wie Antivirus, IPS, WebFilter etc. In der CLI, für die entsprechende Verbindung, ist der folgender Befehl dazu zuständig:
# config vpn ipsec phase1-interface
# edit [Name der Phase1]
# set fortilcient-enforcement [enable | disable]
# end
Nun wurde dieser Befehl wissentlich oder unwissentlich aktiviert und die Liste der registrierten FortiClient's soll gelöscht resp. zurückgesetzt werden kann ab FortiOS 5.2.1 folgender Befehl benutzt werden:
# diagnose endpoint registration deregister all
Dieses Kommando löscht sämtliche Informationen betreffend der Registrierung der FortiClient's auf einer FortiGate.
Wie kann ich die Registrierungsfunktion betreffend FortiClient Endpoint Security auf einer FortiGate manipulieren?
Wenn der FortiClient Endkpoint Security mit seinen UTM Features eingesetzt wird und dieser auf der FortiGate registriert ist kann diese Registration anhand folgenden Befehls manipuliert werden:
# diagnose endpoint registration ?
summary Summary of FortiClient registrations.
list List FortiClients.
cmdb-list List FortiClients stored in CMDB.
block Block a FortiClient from registering.
unblock Unblock a previously blocked FortiClient.
deregister Deregister a registered FortiClient.
sync-peer-list List registration sync peers.
force-peer-resync force to resync registration with all peers.
keepalive-timestamp List KeepAlive timestamps.
recalculate-registered-forticlients Re-calculate number of registered forticlients.
forticlient-licence-key-expiration-check Check the FortiClient registration licence expiration date.
ssl-session-timeout Set the SSL session timeout.
skip-forticlient-system-update Skip the system update upon receiving KeepAlive from FortiClient.
Was bedeutet im Client2Site VPN Bereich der Konfigurationspunkt "Split Tunneling"?
Im Client2Site VPN IPSec Bereich sowie im VPN-SSL Bereich existiert der Konfigurationspunkt "Split Tunneling". Dieser Konfigurationspunkt "Split Tunneling" steuert auf der Client Seite die Packet dh. welche Packet die vom Client aus abgesetzt werden in den VPN Tunnel sei es IPSec und/oder VPN-SSL gesendet werden. Gesteuert wird diese Funktion durch einen Routing Eintrag. Dieser kann und wird nur dann erstellt wenn der Client sei es IPSec und/oder VPN-SSL mit Administratoren Rechte installiert wurde. Wurde der VPN Client nicht mit diesen Rechten installiert so kann der entsprechende Eintrag nicht erstellt werden. Die Erstellung dieses Routing Eintrages geschieht nach der erfolgreichen Authentifizierung des Client und wird von der FortiGate durch den Tunnel an den Client gesendet (unter normalen Umständen). Dies kann auf einem Windows Client mit folgenden Kommando kontrolliert werden:
route print
Wenn eine erfolgreiche Authentifizierung durchgeführt werden und der Route Eintrag erstellt wurde so muss unterschieden werden zwischen folgenden Möglichkeiten:
Routing Eintrag wurde erstellt anhand eines IP Ranges zB 192.168.1.0/24
Split Tunneling wurde aktiviert und nur Packete betreffend dem Subnet das auf der FortiGate konfiguriert
wurde und im Routing definiert wurde, werden in den VPN Tunnel gesendet!
Routing Eintrag wurde erstellt anhand 0.0.0.0
Dieser Routing Eintrag kommt einem Default Gateway gleich dh. sämtliche Packete werden in den VPN Tunnel
gesendet und somit ist das "Split Tunneling" deaktiviert!
NOTE Das "Split Tunneling" zB des FortiClient wird in der Phase 1 resp. im "Client Wizard"
definiert. Dies bedeutet wird "Split Tunneling" aktiviert "muss" ein entsprechendes
Subnet definiert werden das unter normalen Umständen das LAN representiert! Das Gleiche
gilt für SSL-VPN dh. das "Split Tunneling" wird im Portal definiert. Wobei ein "explizites"
"Split Tunneling" auf Kommandozeile definiert wird. Nachfolgend die zwei Kommandos die
für die Funktion/Definition benötigt werden:
Fuer SSL-VPN Split Tunneling:
# config firewall address
# set name [Name des IPv 4 IP Pool zB "net-ip-pool-ssl-vpn-198.18.1.0-25"]
# set type iprange
# set visibility enable
# set start-ip [198.18.1.1]
# set end-ip [198.18.1.127]
# next
# set name [Name des IPv 4 LAN IP Range zB "net-lan-198.18.0.0-24"]
# set type iprange
# set visibility enable
# set start-ip [198.18.0.1]
# set end-ip [198.18.0.254]
# end
# end
# config vpn ssl web portal
# edit [Name des Profile zB "tunnel-acces-only"]
# config widget
# edit 4
# set name Tunnel Mode
# set type tunnel
# set column two
# set collapse disable
# set split-tunneling enable
# set ip-pools [Bestehendes Objekt für die IP Pool IP Range zB "net-ip-pool-ssl-vpn-198.18.1.0-25"]
# set split-tunneling-routing-address [Bestehendes Objekt das die LAN Adresse darstellt zB "net-lan-198.18.0.0-24"]
# next
# end
# end
Fuer IPSec Split Tunneling:
# config vpn ipsec phase1-interface
# edit [Name des Profile zB "fc-ipsec"]
# set ipv4-start-ip 192.168.1.1
# set ipv4-end-ip 192.168.1.254
# set ipv4-netmask 255.255.255.0
# set ipv4-split-include net-lan-198.18.0.0-24
# end
Wie muss ich einen FortiClient im Zusammenhang mit einem Cluster (HA) lizensieren?
Wenn ein FortiGate Cluster (HA) betrieben wird sei es im Active-Passive und/oder Active-Active muss der FortiClient sei es 5.0 und/oder 5.2 auf jedem Node lizensiert werden. Dies bedeutet es müssen zwei Lizenzen erworben sowie registiert und auf jedem Cluster Node eingespielt werden. Im Gegensatz zu der FortiGate Hardware bietet Fortinet für FortiClient's im Cluster keine Spezial Konditionen. Dies bedeutet die FortiClient Lizenz muss anhand der Standard Konditionen für eine Standalone Device für jeden Node im Cluster erworben werden. Weitere Auskunft über Spezial Konditionen im Zusammenhang mit einem Cluster (HA) siehe nachfolgenden Artikel:
Fortigate:FAQ#Gibt_es_f.C3.BCr_Cluster_.28Hardware_und.2Foder_Virtuell.29_Spezielle_Konditionen_bei_Fortinet.3F