FortiClient:FAQ: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
 
(358 dazwischenliegende Versionen von 6 Benutzern werden nicht angezeigt)
Zeile 2: Zeile 2:


[[Category:Fortinet]]
[[Category:Fortinet]]
  <font size="6">'''24 X 7 <span style="color: #FF0000;">PROMOTION</span> bis 30. Juni 2015</font>
 
                        <font size="2">[[Fortinet:24x7Promotion|'''Weitere Informationen finden Sie hier!''']]</font>


__TOC__
__TOC__
Zeile 35: Zeile 31:
== FAQ ==
== FAQ ==


== FortiClient ==
== Dokumentation ==
 
=== Dokumente FortiClient Version 7.0 ===
=== Welche Versionen von FortiClient gibt es und wie unterscheiden sich diese? ===
[[Datei:FortiOS_70.svg|50px|link=]]
 
Der Forticlient ist die Software basierende Lösung von Fortinet für Client2Site VPN. Dabei unterscheiden wir:
       
        '''FortiOS V4.0 MR3'''
       
        Forticlient Lite        SSL VPN; Kostenlos
        Forticlient              SSL VPN; IPSec; Kostenlos (Siehe nachfolgende Tabelle)
        Forticlient Premium      SSL VPN; IPSec (Siehe nachfolgende Tabelle)
       
        [[Datei:Fortinet-67.jpg]]


Eine weitere Uebersicht im Gesamten bietet folgende Tabelle:
{| class="wikitable" style="width:50%"
|-
! style="background-color: #89E871; text-align:left;width:100%"| FortiClient 7.0 Windows Release Notes
|-
|
* [[Datei:FortiClient-Windows-ReleaseNotes-7.0.0.pdf]]
|-
! style="background-color: #89E871; text-align:left;width:100%"| FortiClient 7.0 Linux Release Notes
|-
|
* [[Datei:FortiClient-Linux-ReleaseNotes-7.0.0.pdf]]
|-
! style="background-color: #89E871; text-align:left;width:100%"| FortiClient 7.0 macOS Release Notes
|-
|
* [[Datei:FortiClient-MacOS-ReleaseNotes-7.0.0.pdf]]
|-
! style="background-color: #89E871; text-align:left;width:100%"| FortiClient Upgrade Pfad
|-
|
* [[Datei:FortiClient-EMS-Upgradepath.pdf]]
|-
! style="background-color: #89E871; text-align:left;width:100%"| FortiClient Admin Guide 7.0
|-
|
* [[Datei:FortiClient-AdminGuide-7.0.0.pdf]]
|-
! style="background-color: #89E871; text-align:left;width:100%"| FortiClient EMS Admin Guide 7.0
|-
|
* [[Datei:FortiClient-EMS-AdminGuide-7.0.0.pdf]]
|-
! style="background-color: #89E871; text-align:left;width:100%"| FortiClient IOS User Guide 7.0
|-
|
* [[Datei:FortiClient-IOS-UserGuide-7.0.pdf]]
|-
! style="background-color: #89E871; text-align:left;width:100%"| FortiClient Configurator Tool
|-
|
* [[Datei:FortiClient-Configurator-Tool-6.0.0.pdf]]
|-
! style="background-color: #89E871; text-align:left;width:100%"| FortiClient Rebranding Tool
|-
|
* [[Datei:FortiClient-Rebranding-Tool-6.0.0.pdf]]
|-
! style="background-color: #89E871; text-align:left;width:100%"| FortiClient Compliance Guide
|-
|
*  [[Datei:FortiClient-Compliance-Guide-60.pdf]]
|}
=== Dokumente FortiClient Version 7.4 ===
[[Datei:FortiOS_74.svg|50px|link=]]


        [[Datei:Fortinet-329.jpg]]
'''Whats New?'''
* [[Datei:FortiClient-FortiClient_EMS-NewFeatures-72.pdf]] [[Datei:FortiOS_72.svg|15px|link=]] <small>7.2.4</small>
* [[Datei:FortiClient-FortiClient_EMS-NewFeatures-74.pdf]] [[Datei:FortiOS_74.svg|15px|link=]] <small>7.4.0</small>


Für FortiOS 5.0 gilt folgendes:
'''Release Notes:'''
* [[Datei:FortiClient-Windows-ReleaseNotes-7.4.0.pdf]] [[Datei:FortiOS_74.svg|15px|link=]]
* [[Datei:FortiClient-MacOS-ReleaseNotes-7.4.0.pdf]] [[Datei:FortiOS_74.svg|15px|link=]]
* [[Datei:FortiClient-Linux-ReleaseNotes-7.4.0.pdf]] [[Datei:FortiOS_74.svg|15px|link=]]


        '''FortiOS V5.0'''
'''Administration:'''
       
* [[Datei:FortiClient-AdminGuide-72.pdf]] [[Datei:FortiOS_72.svg|15px|link=]] <small>7.2.4</small>
        Grundsätzlich kann jede Variante des Client eingesetzt werden "free of charge". Die Limitierung umfasst
* [[Datei:FortiClient-AdminGuide-74.pdf]] [[Datei:FortiOS_74.svg|15px|link=]] <small>7.4.0</small>
        den "manageable" Client (Früher Premium) dh. der Antivirus, IPS etc. umfasst. Dieser Client der nun neu
        "FortiClient Endpoint Security" heiss kann auf jedem Device mit max. 10 User eingesetzt werden Benötigt
        man mehr User Verbindungen muss eine einmalige Lizenz gekauft werden (None Stackable):
       
        [[Datei:Fortinet-335.jpg]]
       
        Der FortiClient FortiOS 5.0 verfügt über folgende Features (Uebersicht der vers. Betriebssysteme):
       
        [[Datei:Fortinet-811.jpg]]


Für FortiOS 5.2 gilt folgendes:
<!--* [[Datei:FortiClient-AccessControl-72.pdf]] [[Datei:FortiOS_72.svg|15px|link=]] <small>7.2.0</small>-->
* [[Datei:FortiClient-AccessControl-74.pdf]] [[Datei:FortiOS_74.svg|15px|link=]] <small>7.4.0</small>


        '''FortiOS V5.2'''
       
        Grundsätzlich kann jede Variante des Client eingesetzt werden "free of charge". Die Limitierung umfasst
        den "manageable" Client (Früher Premium) dh. einzelne UTM Features etc. umfasst. Dieser Client der nun neu
        "FortiClient Endpoint Security" heiss kann auf jedem Device mit max. 10 User eingesetzt werden Benötigt
        man mehr User Verbindungen muss eine einmalige Lizenz gekauft werden (None Stackable):
       
        [[Datei:Fortinet-1098.jpg]]
       
        Der FortiClient FortiOS 5.2 verfügt über folgende Features:
       
        [[Datei:Fortinet-1099.jpg]]


Nachfolgend ein FAQ Dokument das Aufschluss gibt über verschiedene Fragen:
* [[Datei:FortiClient-LogReference-72.pdf]] [[Datei:FortiOS_72.svg|15px|link=]] <small>7.2.4</small>
       
* [[Datei:FortiClient-LogReference-74.pdf]] [[Datei:FortiOS_74.svg|15px|link=]] <small>7.4.0</small>
        [[Datei:FortiClient_5.0_FAQ.pdf]]
        [[Datei:FortiClient_5.2_FAQ.pdf]]
       
        Nachfolgend eine Präsentation die auf die verschiedenen Features eingeht sowie die Unteschiede aufzeigt
        zwischen V4.3 sowie der neuen V5.0:
       
        [[Datei:FortiClient-V5-R5.pptx]]
        [[Datei:FortiClient-5.0.5-Sales_Presentation.pptx]]
        [[Datei:FortiClient-5.2.0-Sales_Presentation.pptx]]
       
        Nachfolgend ein FortiClient v5.0 Upgrade Guide den es sich lohnt reinzuschauen:
       
        [[Datei:FortiClient-5.0-Upgrade-Guide.pdf]]
       
        Die Software des "FortiClient Endpoint Security" kann über folgende Seite für die vers. Betriebssystem
        wie Windows, MacOSx, IOS, Android runtergeladen werden:
       
        http://www.forticlient.com


=== Kann ich unter FortiOS 5.2 einen FortiClient 4 MR3 und/oder 5.0 im "VPN-Only" Mode benutzen? ===


Ausgehend davon, dass der FortiClient 4 MR3 sowie 5.0 im "VPN-Only" Mode ist können diese Versionen unter FortiOS 5.2 eingesetzt werden. Weitere Informationen zum "VPN-Only" Mode siehe nachfolgneden Artikel:
* [[Datei:FortiClient-XML-Reference-72.pdf]] [[Datei:FortiOS_72.svg|15px|link=]] <small>7.2.4</small>
* [[Datei:FortiClient-XML-Reference-74.pdf]] [[Datei:FortiOS_74.svg|15px|link=]] <small>7.4.0</small>


        [[FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F]]


Fortinet führt im FAQ Dokumnet für den FortiClient 5.2 die Antwort folgendermassen auf:
<big>'''FortiClient mit EMS'''</big>
* [[Datei:FortiClient_EMS-AdminGuide-74.pdf]] [[Datei:FortiOS_74.svg|15px|link=]] <small>7.4.0</small>
* [[Datei:FortiClient_EMS-QuickStart-74.pdf]] [[Datei:FortiOS_74.svg|15px|link=]] <small>7.4.0</small>
* [[Datei:FortiClient_EMS-ReleaseNotes-7.4.0.pdf]] [[Datei:FortiOS_74.svg|15px|link=]]
* [[Datei:FortiClient_EMS-UpgradePath-Matrix-7.4.0.pdf]]
* [[Datei:FortiClient_EMS-LizenzGuide-74.pdf]] [[Datei:FortiOS_74.svg|15px|link=]] <small>7.4.0</small>
* [[Datei:FortiClient_EMS-CompatibilityMatrix-74.pdf]] [[Datei:FortiOS_74.svg|15px|link=]] <small>7.4.0</small>
* [[Datei:FortiClient_EMS-Install-MigrationGuide-74.pdf]] [[Datei:FortiOS_74.svg|15px|link=]] <small>7.4.0</small>
----
<small>add 04.06.2024 - 4Tinu</small>


        "IPSec and SSL VPN connection from FortiClient 4 MR3 and 5.0 should still work with FortiOS 5.2"
= FortiClient EMS =
=== Gibt es die Möglichkeit FortiClient's Zentral über einen Server zu Verteilen/Verwalten? ===


Basierend auf dieser Antwort hat man keine Gewährleistung, dass der FortiClient 4 MR3 sowie FortiOS 5.0 ohne Probleme unter FortiOS 5.2 eingesetzt werden kann. Wir empfehlen ein Upgrade auf den FortiClient 5.2 sofern FortiOS 5.2 eingesetzt wird. Das FAQ Dokument für FortiClient 5.2 findet man im nachfolgenden Artikel:
Seit FortiOS 5.0 gibt es die Möglichkeit die FortiClients über die FortiGate zu verwalten. Dies bedeutet: Wird die Endpoint Security Version des FortiClient installiert dh. inkl. UTM Features können diese Clients über die FortiGate verwaltet werden anhand UTM Profiles etc. Für diese Art der Verwaltung der FortiClients über eine FortiGate stehen auf jedem Device "free of charge" Lizenzen zur Verfügung. Möchte man mehr FortiClients über eine FortiGate verwalten muss eine entsprechende "pre-pertual" Lizenz (Jährliche Erneuerung) erworben werden, die es ermöglicht eine max. Anzahl FortiClients auf dem jeweiligen Devices zu verwalten. Dies bedeutet: Es exitieren für FortiOS 5.0 sowie 5.2 keine User Lizenzen für die Devices sondern nur max. mögliche Lizenz für einen Device. Weitere Informationen betreffend dieser Möglichkeit und Lizenzen siehe nachfolgenden Artikel:


         [[FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F]]
         [[FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F]]


=== Unter FortiOS 5.2 kann für eine Client2Site IPSec VPN Verbindung keine "static route" im Web Mgmt. konfiguieren werden? ===
Ende September 2015 hat Fortinet die Möglichkeit der Verwaltung der FortiClients erweitert dh. FortiClient-EMS (FortiClient Enterprise Management Server). Diese Möglichkeit basieret auf einem Windows Server 2012, 2012 R2 sowie 2008 R2 System über dieses die FortiClients verwaltet werden können. Dieses FortiClient-EMS System ist für grosse Umgebungen gedacht. Die Server Anforderungen sind wie folgt beschrieben:


Unter FortiOS 5.0.x ist die Konfiguration einer Client2Site VPN Verbindung sei es für Windows, IOS, Android in 3 Schritten zu vollziehen dh.:
        [[Datei:Fortinet-1591.jpg]]


        Schritt 1: Erstelle eine Phase 1 sowie 2 manuell oder anhand des "Client Wizards"
Die Möglichkeiten die das FortiClient-EMS System umfassen sind nachfolgend in einer Kurzübersicht augelistet (Initial Release 1.0.0):
        Schritt 2: Erstelle für den IP Pool Range eine statische Route und definiere für diesen das IPSec Interface Name Phase 1
        Schritt 3: Anhand des IPSec Interface Name Phase 1 erstelle die nötigen Firewall Policy


Wenn nun unter FortiOS 5.2 eine Client2Site IPSec VPN basierende Verbindung manuell und/oder über ein Template erstellt wird und man nachträglich eine statische Route für den "IP Pool Range" erstellen möchte, fällt einem auf das dies nicht mehr möglich ist. Der Grund dafür ist, dass das entsprechende IPSec Interface mit dem Namen der Phase 1 nicht mehr über Web Mgmt. Interface ausgewählt werden kann. Wenn man sich das auf CLI anschaut wird man feststellen, dass das/die IPSec Interface/s unter dem Kommando "set device" nicht mehr erscheinen. Dies bedeutet: diese können nicht mehr für ein Dial-up (Client2Site) unter FortiOS 5.2.x innerhalb einer statischen Routing Eintrags konfiguriert werden:
        - Remote Verteilung/Installation der Software des FortiClients auf Windows PC's
        - Updates von Profiles (Antivirus, WebFilter usw.) für die Endpoint User unabhängig der Lokation
        - Verwaltung der Registration der FortiClients wie Registrierung, De-Registrierung sowie blocken einer Registrierung
        - Verwalten der Endpoints wie zB Status, System informationen und Signature Informationen
        - Verwalten der Versionen des FortiClient Endpoint Security


      # config router static
Der FortiClient-EMS unterstützt basierend auf "FortiClient 5.2.4" und höher die Verwaltung von Windows basierenden Systemen, MacOSx, Android sowie IOS Systeme. Der FortiClient-EMS Server wird User basierend lizensiert (Packete a 100 User). Dabei gilt 1 Registrierter User = 1 Lizenz. Es steht per Standard eine Trial Lizenz zur Verfügung. Dies bedeutet: Wird ein FortiClient-EMS System installiert so beinhaltet das Produkt eine Trial Lizenz für 60 Tage und 20'000 User. Nach Ablauf der 60 Tage reduziert sich die User Anzahl auf 10. Für eine Installation stehen nachfolgende Dokument zur Verfügung die Auskunft geben wie das Produkt installiert und konfiguriert wird:
      # edit 1  
==== EMS Client 1.0.x ====
      # det dst [IP Pool Range mit Subnet]
      # set device [Interface der IPsec VPN Verbindung Phase 1]
      # end


Nun die Route für einen statischen Routing Eintrag ist unter FortiOS 5.2 überflüssig da unter 5.2 sobald eine Phase 1 erstellt wird mit der entsprechenden "IP Pool Range" Definition im Hintergrund für den VPN Deamon ein "automatischer" Eintrag erstellt wird. Diese "automatische" Routing Einträge sind über den Routing Monitor nicht mehr ersichtlich da diese nicht im Layer 3 existieren (Routing Monitor) sondern im Layer 4 innerhalb des VPN Deamons. Um den Routing Eintrag innerhalb des VPN Deamons zu kontrollieren kann folgender Befehl durchgeführt werden:
{| class="wikitable" style="width:50%"
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Windows Release Notes
|-
|
* [[Datei:forticlient-1.0.0-ems-release-notes.pdf]]
* [[Datei:forticlient-1.0.1-ems-release-notes.pdf]]
* [[Datei:forticlient-1.0.2-ems-release-notes.pdf]]
* [[Datei:forticlient-1.0.3-ems-release-notes.pdf]]
* [[Datei:forticlient-1.0.4-ems-release-notes.pdf]]
* [[Datei:forticlient-1.0.5-ems-release-notes.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Chromebook Release Notes
|-
|
* [[Datei:forticlient-1.0.2-ems-forChromebook-release-notes.pdf]]
* [[Datei:forticlient-1.0.3-ems-forChromebook-release-notes.pdf]]
* [[Datei:forticlient-1.0.4-ems-forChromebook-release-notes.pdf]]
* [[Datei:forticlient-1.0.5-ems-forChromebook-release-notes.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Upgradepath
|-
|
* [[Datei:FortiClient-EMS-Upgradepath.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Quick Start Guide
|-
|
* [[Datei:FortiClient-EMS-1.0-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-1.0.2-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-1.0.3-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-1.0.4-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-1.0.5-QuickStart-Guide.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Chromebook Quick Start Guide
|-
|
* [[Datei:FortiClient-EMS-forChromebook-1.0-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-forChromebook-1.0.2-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-forChromebook-1.0.3-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-forChromebook-1.0.4-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-forChromebook-1.0.5-QuickStart-Guide.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Admin Guide
|-
|
* [[Datei:FortiClient_EMS_1.0_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS_1.0.1_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS_1.0.2_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS_1.0.3_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS_1.0.4_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS_1.0.5_Administration_Guide.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Chromebook Admin Guide
|-
|
* [[Datei:FortiClient-EMS-forChromebook-1.0-QuickStart-Guide.pdf]]
* [[Datei:FortiClient_EMS-forChromebook-1.0.2_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS-forChromebook-1.0.3_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS-forChromebook-1.0.4_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS-forChromebook-1.0.5_Administration_Guide.pdf]]
|-
|}


        # diagnose vpn ike routes list
==== EMS Client 1.2.x ====
{| class="wikitable" style="width:50%"
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Windows Release Notes
|-
|
* [[Datei:forticlient-1.2.0-ems-release-notes.pdf]]
* [[Datei:forticlient-1.2.1-ems-release-notes.pdf]]
* [[Datei:forticlient-1.2.2-ems-release-notes.pdf]]
* [[Datei:forticlient-1.2.3-ems-release-notes.pdf]]
* [[Datei:forticlient-1.2.4-ems-release-notes.pdf]]
* [[Datei:FortiClient-1.2.5-EMS-Release-Notes.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Chromebook Release Notes
|-
|
* [[Datei:forticlient-1.2.0-ems-forChromebook-release-notes.pdf]]
* [[Datei:forticlient-1.2.1-ems-forChromebook-release-notes.pdf]]
* [[Datei:forticlient-1.2.2-ems-forChromebook-release-notes.pdf]]
* [[Datei:forticlient-1.2.3-ems-forChromebook-release-notes.pdf]]
* [[Datei:forticlient-1.2.4-ems-forChromebook-release-notes.pdf]]
* [[Datei:FortiClient-1.2.5-EMS-forChromebook-Release-Notes.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Upgradepath
|-
|
* [[Datei:FortiClient-EMS-Upgradepath.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Quick Start Guide
|-
|
* [[Datei:FortiClient-EMS-1.2.0-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-1.2.1-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-1.2.2-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-1.2.3-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-1.2.4-QuickStart-Guide.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Chromebook Quick Start Guide
|-
|
* [[Datei:FortiClient-EMS-forChromebook-1.2.0-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-forChromebook-1.2.1-QuickStart-Guide.pdf]]       
* [[Datei:FortiClient-EMS-forChromebook-1.2.2-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-forChromebook-1.2.3-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-forChromebook-1.2.4-QuickStart-Guide.pdf]]
* [[Datei:FortiClient-EMS-forChromebook-1.2.5-QuickStart-Guide.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Admin Guide
|-
|
* [[Datei:FortiClient_EMS_1.2.0_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS_1.2.1_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS_1.2.2_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS_1.2.3_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS_1.2.4_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS_1.2.5_Administration_Guide.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Chromebook Admin Guide
|-
|
* [[Datei:FortiClient_EMS-forChromebook-1.2.0_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS-forChromebook-1.2.1_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS-forChromebook-1.2.2_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS-forChromebook-1.2.3_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS-forChromebook-1.2.4_Administration_Guide.pdf]]
* [[Datei:FortiClient_EMS-forChromebook-1.2.5_Administration_Guide.pdf]]
|-
|}


Das vorhergehende Kommando "diagnose vpn ike routes list" zeigt nur Routing Einträge im VPN Deamon für Dial-up VPN's (Client2Site) und nicht für "Site2Site" VPN's. Ebenfalls werden die entsprechenden Routing Einträge für Dial-up nur dann angezeigt wenn eine aktive Verbindung eines Dial-up existiert. Dies bedeutet: Ist im Moment der Ueberprüfung kein Client verbunden werden diese Routing Einträge die über "diagnose vpn ike routes list" angezeigt werden sollte nicht angezeigt.
==== EMS Client 6.0.x ====


=== Um welche Version des FortiClient handelt es sich wenn ich diesen über das Mgmt. Web Interface der FortiGate runterlade? ===
{| class="wikitable" style="width:50%"
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Windows Release Notes
|-
|
* [[Datei:FortiClient-EMS-ReleaseNotes-6.0.0.pdf]]
* [[Datei:FortiClient-EMS-ReleaseNotes-6.0.1.pdf]]
* [[Datei:FortiClient-EMS-ReleaseNotes-6.0.2.pdf]]
* [[Datei:FortiClient-EMS-ReleaseNotes-6.0.3.pdf]]
* [[Datei:FortiClient-EMS-ReleaseNotes-6.0.4.pdf]]
* [[Datei:FortiClient-EMS-ReleaseNotes-6.0.5.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Upgradepath
|-
|
* [[Datei:FortiClient-EMS-Upgradepath.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Quick Start Guide
|-
|
* [[Datei:FortiClient-EMS-QuickStartGuide-6.0.0.pdf]]
* [[Datei:FortiClient-EMS-QuickStartGuide-6.0.1.pdf]]
* [[Datei:FortiClient-EMS-QuickStartGuide-6.0.2.pdf]]
* [[Datei:FortiClient-EMS-QuickStartGuide-6.0.3.pdf]]
* [[Datei:FortiClient-EMS-QuickStartGuide-6.0.4.pdf]]
* [[Datei:FortiClient-EMS-QuickStartGuide-6.0.5.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Forti EMS Client Admin Guide
|-
|
* [[Datei:FortiClient-EMS-Admin-6.0.0.pdf]]
* [[Datei:FortiClient-EMS-Admin-6.0.1.pdf]]
* [[Datei:FortiClient-EMS-Admin-6.0.2.pdf]]
* [[Datei:FortiClient-EMS-Admin-6.0.3.pdf]]
* [[Datei:FortiClient-EMS-Admin-6.0.4.pdf]]
* [[Datei:FortiClient-EMS-Admin-6.0.5.pdf]]
|-
|}


Wenn man unter FortiOS 5.0.5 oder höher (ink.. 5.2) den FortiGuard Service aktiviert resp. dieser erreichbar ist, kann der FortiClient über das Dashboard der FortiGate direkt runtergeladen werden:
==== Micro FortiGuard Server ====
{| class="wikitable" style="width:50%"
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Microsoft FortiGuard Server Release Notes
|-
|
* [[Datei:FortiClient-MIcroFortiguardServer-ReleaseNotes-6.0.0.pdf]]
* [[Datei:FortiClient-MicroFortiguardServer-ReleaseNotes-6.0.3.pdf]]
|-
! style="background-color: #c4dc92; text-align:left;width:100%"| Microsoft FortiGuard Server Install Guide
|-
|
* [[Datei:FortiClient-MicroFortiguardServer-InstallGuide-6.0.0.pdf]]
|- 
! style="background-color: #c4dc92; text-align:left;width:100%"| Microsoft FortiGuard Server Admin Guide
|-
|
* [[Datei:FortiClient-MicroFortiguardServer-Admin-60.pdf]]
|-
|}


        System > Dashboard > Status > License Information > FortiClient Software > [Wähle Mac und/oder Windows)
<!--
=== EMS File Schulung ===


Diese Version ist eine Online Version und wird direkt aus dem FortiDistribution Service geladen. Sprich die Version die hier geladen wird ist basierend auf dem "FortiClientOnlineInstaller". Dies bedeutet der "FortiClientOnlineInstaller" ist ein .exe File das benutzt wird um das effektive Package aus der Cloud (Fortinet Distribution Service) runterzuladen. Dieses Package das runtergeladen wird steht als Ganzes nicht zur Verfügung und kann nur über den "FortiClientOnlineInstaller" runtergeladen werden (ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.7/):
[[Datei:FortiEMS.zip]]
-->


          '''NOTE''' Dieser Link ist nicht direkt zugänglich dh. um zu diesen Links zu gelangen logge dich auf
=== Wie wird der EMS Server auf der FortiGate aktiviert? ===
              https://support.fortinet.com ein und wähle im unteren Bereich "Firmware Images". Danach im
[[Datei:FortiOS_64.svg|50px|link=]] [[Datei:FortiOS_70.svg|50px|link=]]
              Scrollbalken wähle "FortiClient" danach gehe auf den "Download Button". Nun wähle das entsprechende
              Betriebssystem zB "Windows" usw.


Sieht man sich die Release Notes zB der Version 5.0.7/5.2 genauer an so fällt einem folgendes auf:
Der EMS Server muss auf der FortiGate in der Security Fabric konfiguriert werden. Dabei ist zu beachten, wenn die FortiGate mit VDOM betrieben wird, dass der Fabric Connector in GLOBAL konfiguriert wird:


        '''In den Release Notes wird folgendes File beschrieben:'''
'''Konfiguration auf der FortiGate:'''
       
{| class="wikitable" style="width:800px"
        • FortiClientOnlineInstaller_5.0.7.0333: Minimal installer for 32-bit and 64-bit Windows. This
|- style="background:#89E871"
          file downloads and installs the latest FortiClient file from the public FDS.
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui: FORTIGATE'''
       
|-
        • FortiClientOnlineInstaller_5.2.0.0591: Minimal installer for 32bit and and 64-bit Windows.
|
Menu ''Security Fabric --> Fabric Connectors --> Create New --> FortiClient EMS auswählen
[[Datei:Fortinet-2899.jpg|550px|link=]]
* Name des EMS Servers angeben (wird so in der Fabric dann angezeigt)
* IP Adresse des EMS Servers eingeben
* Port angeben mit welcher die FortiGate zum EMS Server kommuniziert. Default ist tcp443. Beachte, wenn noch Firewalls dazwischen liegen, die Kommunikation freizuschalten.
* ''Scnhronize firewall addresss'' aktivieren, damit die Objekte vom EMS Server auch auf der FortiGate verfügbar sind. (Dies spart das erfassen von Objekten auf der FortiGate und ist daher sehr nützlich)
[[Datei:Fortinet-2893.jpg|550px|link=]]
Nun kommt der Hinweis, dass die FortiGate auf dem EMS Server noch nicht autorisiert ist. Folgende Meldung kann weggeklickt werden:
[[Datei:Fortinet-2900.jpg|550px|link=]]


Dabei handelt es sich genau um das File das über den FortiDistribution Service. Bei diesem File handelt es sich um ein "Minimal installer" oder besser gesagt "VPN only" Installation File. Nichts desto trotz empfehlen wir die übliche Vorgehensweise für die Installation dh. manueller Download über offizielle Download Seite (Login wird benötigt):
Wir sehen dann beim Fabric Conector dass der EMS Server down ist. Dies wird behoben, nachdem auf dem EMS Server die FortiGate autorisiert wird.
[[Datei:Fortinet-2901.jpg|350px|link=]]]]
|}


        https://support.fortinet.com/Download/FirmwareImages.aspx
'''Konfiguration auf dem EMS Server:'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui: EMS Server'''
|-
|
Loge dich nun auf dem EMS Server ein. Um die FortiGate zu sehen muss du über das Menu ''Administration --> Fabric Devices'' gehen:
[[Datei:Fortinet-2894.jpg|750px|link=]]
Es erscheinen die FortiGates, welche diesen EMS Server als Connector konfiguriert haben:
[[Datei:Fortinet-2895.jpg|750px|link=]]
Klicke auf das gelbe Fragezeichen um die FortiGate zu autorisieren.
[[Datei:Fortinet-2896.jpg|750px|link=]]
Nun musst du wieder zurück auf die FortiGate gehen.
|}


          '''FortiOS 5.0'''
'''Konfiguration auf der FortiGate:'''
        • FortiClientSetup_5.0.7.0333.exe: Standard installer for 32-bit Windows.
{| class="wikitable" style="width:800px"
        • FortiClientSetup_5.0.7.0333.zip: A zip package containing FortiClient.msi and language
|- style="background:#89E871"
          transforms for 32-bit Windows. Some properties of the MSI package can be customized
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui: FORTIGATE'''
          with FortiClient Configurator tool.
|-  
         
|
        • FortiClientSetup_5.0.7.0333_x64.exe: Standard installer for 64-bit Windows.
Gehe zurück zum EMS Connector, du bekommst diese Meldung am Rand. Bestätige diese mit aply:
        • FortiClientSetup_5.0.7.0333_x64.zip: A zip package containing FortiClient.msi and language
[[Datei:Fortinet-2897.jpg|550px|link=]]
          transforms for 64-bit Windows. Some properties of the MSI package can be customized
Nun solltest du folgendes Bild vor dir haben:
          with FortiClient Configurator tool.
[[Datei:Fortinet-2898.jpg|350px|link=]]
         
Der Connector wird jetzt auch Grün angezeigt:
        • FortiClientTools_5.0.7.0333.zip: A zip package containing miscellaneous tools including the
[[Datei:Fortinet-2902.jpg|350px|link=]]
          FortiClient Configurator tool and VPN Automation files.
|}


          '''FortiOS 5.2'''
<!-- Referenz: https://kb.fortinet.com/kb/documentLink.do?externalID=FD48419 -->
        • FortiClientSetup_5.2.0.0591.exe : Standard installer for Microsoft Windows (32-bit).
       
        • FortiClientSetup_5.2.0.0591.zip : A zip package containing FortiClient.msi and language transforms for Microsoft Windows
          (32-bit). Some properties of the MSI package can be customized with FortiClient Configurator tool.
       
        • FortiClientSetup_5.2.0.0591_x64.exe: Standard installer for Microsoft Windows (64-bit).
       
        • FortiClientSetup_5.2.0.0591_x64.zip: A zip package containing FortiClient.msi and language transforms for Microsoft Windows
          (64-bit). Some properties of the MSI package can be customized with FortiClient Configurator tool.
       
        • FortiClientTools_5.2.0.0591.zip: A zip package containing miscellaneous tools including the FortiClient Configurator tool and
          VPN Automation files.
       
          '''NOTE''' Neu kann der FortiClient 5.2 im Setup als "VPN-Only" ausgeführt werden dies bedeutet wenn "VPN-Only" benötigt
              wird unter FortiClient 5.2 kann dies direkt über das "Setup" bewerkstelligt werden. Somit muss der FortiClient
              5.2 für "VPN-Only" nicht mehr anhand der Licens Packetiert werden. Im Setup stehen zwei Optionen zur Verfügung:
             
              - Alle Endpoint Security und VPN Komponenten werden installiert
              - VPN Only wird installiert (IPSec/SSL)


Soll der FortiClient 5.0.x sowie 5.2 dennoch Packetiert werden kann dies anhand des Packets "FortiClientTools" durchgeführt werden. Weitere Informationen siehe nachfolgenden Artikel:
=== Wie kann ich ein Zertifikat vom EMS Server auf die FortiGate einlesen?===
[[Datei:FortiOS_64.svg|50px|link=]] [[Datei:FortiOS_70.svg|50px|link=]]


        [[FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F]]
Beim registrieren des EMS Servers kann es vorkommen, dass auf der FortiGate beim Zertifikat der Hinweis ''Not authorized'' erscheint.
[[Datei:Fortinet-2903.jpg|350px|link=]]
Wenn man auf 'Autorize'' klickt kommt dann folgende Fehlermeldung:
[[Datei:Fortinet-2900.jpg|350px|link=]]
Das bedeudet, die FortiGate hat nicht das Zertifikat des EMS Servers im Inventory und wir müssen es manuell in die FortiGate importieren. Um das Zertifikat zu erhalten müssen wir uns auf den den Windowsserver einloggen auf welchem der EMS Server installiert ist.


Nachträglich kann der Client sofern gewünscht anhand des folgenden Artikels "customized" werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration Windows Server:'''
|-
|
Die Zertifikate findet mann am einfachsten in dem man ein Eingabe Fenster öffnet. Gib dazu im Suchfeld CMD ein.


        [[FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F]]
Wenn sich das schwarze Fenster geöffnet hat kannst du <code> certlm </code> eingeben und schon öffnet sich das Zertifikats Verwaltungs Center:
[[Datei:Fortinet-2918.jpg|750px|link=]]


Danach kann dem Enduser ein vollständiges File zur Verfügung gestellt werden, dass dieser manuell installieren kann oder über GroupPolicy verteilen kann.
Nun muss das entpsprechende EMS Zertifikat gefunden werden. Daüf auf ''Vertrauenswürdige Stammzertifizierungsstelle --> Zertifikate'' Suche das FortiClient Enterprise Management Server Zertifikat
[[Datei:Fortinet-2904.jpg|750px|link=]]
Rechtsklick auf das Zertifikat und zum Exportieren auf ''Alle Aufgaben --> Exportieren...'' klicken
[[Datei:Fortinet-2905.jpg|750px|link=]]
Es öffnet sich der Export Wizard:
[[Datei:Fortinet-2906.jpg|550px|link=]]
Wähle ''Base-64-codiert X.509(.CER) aus:
[[Datei:Fortinet-2907.jpg|550px|link=]]
Gib an wohin das Zertifikat exportiert werden soll. Der Pfad muss von der FortiGate aus erreichbar sein.
[[Datei:Fortinet-2908.jpg|550px|link=]]
Nun kannst du mit Fertig stellen den Export abschliessen
[[Datei:Fortinet-2909.jpg|550px|link=]]


[[Datei:Fortinet-2910.jpg|350px|link=]]
|}


=== Gibt es einen FortiClient für IOS und/oder Android Devices und welche Funktionen unterstützten diese ===
'''Zertifikat auf die FortiGate imporiteren:'''<br>
Loge dich auf die FortiGate ein.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Damit ein Zertifikat impotiert werden kann, muss im WebGui das Feature erst noch aktiviert werden. Gehe dafür über das Menu ''System --> Feature Visibility'' und aktiviere das Feature ''Certificates''
[[Datei:Fortinet-2911.jpg|350px|link=]]
Nun wird das Zertifikat importiert. Dafür auf das Menu ''System-->Certificates'' und dann auf ''Import''
[[Datei:Fortinet-2912.jpg|550px|link=]]
Wähle ''CA Certificate'' aus
[[Datei:Fortinet-2913.jpg|350px|link=]]
Wechsle beim Type auf ''File'' und gib den Pfad bei Upload an wo das Zertifikat abgelegt ist. (Datei welche du vorher vom Server exportiert hast). Mit OK wird der Import abgeschlossen.
[[Datei:Fortinet-2914.jpg|350px|link=]]
In der Zertifikat übersicht findest du jetzt das importierte Zertifikat:
[[Datei:Fortinet-2915.jpg|750px|link=]]
Jetzt kann mann wieder auf dem EMS Connector auf ''Authorize'' klicken.
[[Datei:Fortinet-2919.jpg|350px|link=]]
Wenn das Zertifikat erfolgreich importiert wurde sollte folgende Meldung erschein:
[[Datei:Fortinet-2897.jpg|550px|link=]]
Mit Accept bestätigen und der Fehler ist behoben.
[[Datei:Fortinet-2898.jpg|350px|link=]]
|}


Die beiden offiziellen Apps von Fortinet (FortiClient) für IPhone und/oder Android unterstützen in der 5.0 Version ausschliesslich das Browsen dh. wenn man verbunden ist mit dem APP kann der aufgebaute VPN Tunnel nur für das Browsen benutzt werden deshalb wird dieser Client auch "SSL proxy VPN connection agent" genannt (SSL-VPN). Neu unter FortiOS 5.2 unterstützt - im Gegensatz zu IOS - Android ebenfalls eine IPSec Verbindung. Will man eine klassische IPSec Verbindung anhand eines IOS Gerätes durchführen so ist das mit dem Cisco Client (Unity Client) möglich sowie mit der eingebauten VPN Funktion eines IPhones/IPad's. Nachfolgende Links geben weitere Auskunft über IPSec und/oder SSL-VPN für IOS und/oder Android Devices:
<!-- Referenz : https://docs.fortinet.com/document/fortigate/6.4.0/administration-guide/185333/forticlient-ems -->
=== Was tun wen das EMS-Zertifikat nicht mehr vertrauenswürdig mit der FortClient EMS Cloud ist? ===


        [[Fortigate:FAQ#Gibt_es_eine_M.C3.B6glichkeit_mit_einem_IPhone.2FIPad_.C3.BCber_IPSec_eine_Verbindung_aufzubauen_zu_einer_Fortigate.3F]]
In diesem Artikel beschreiben wir den Fall, in dem das Serverzertifikat für die FortiClient EMS Cloud-Instanz erneuert werden muss. Dabei wirst du als Administrator eine Warnmeldung auf der FortiGate erhalten, sobald das Zertifikat abläuft. Du wirst auch über Email vom FortiEMS Cloud Portal vor Informiert.
        [[Fortigate:FAQ#Wie_wird_unter_FortiOS_5.0_ein_IPSec_basierende_Site2Site_VPN_Verbindung_aufgebaut_.28Interface_Based.29.3F]]


        [[Fortigate:FAQ#Gibt_es_f.C3.BCr_IOS_und_Android_einen_SSL_VPN_Client.3]]
Notifikation im WegGui auf der FortiGate:
[[Datei:fortinet-3321.jpg|350px|link=]]


Zusätzlich zeigen folgende Links wie eine IPSec/SSL Verbindung auf einer FortiGate zu konfigurieren ist:
[[Datei:fortinet-3320.jpg|550px|link=]]
Email Information von der FortiCloud:
[[Datei:fortinet-3325.jpg|550px|link=]]


        [[Fortigate:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.0_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F]]
Wie bereits in der obenstehenden Warnmeldung angezeigt, steht die Neuautorisation des FortiGate an. Allerdings könnte dieses Vorhaben aufgrund eines zwischengespeicherten Zertifikatseintrags auf der FortiGate fehlschlagen. Genauer gesagt, könnte es zu folgendem Fehler kommen: "Zertifikatseintrag auf dem FortiGate fehlschlagen".
        [[Fortigate:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.2_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F]]


        [[FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.0_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F]]
Wenn die erneute Autorisierung über die CLI erfolgt, kann der folgende Fehler auftreten:
        [[FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.2_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F]]
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
# execute fctems verify 1
Error in requesting EMS fabric connection: -4
issue in getting capabilities. Server certificate does not match previously configured EMS certificate.
Error (-1@_get_capabilities:439).


=== Wie wird ein Client2Site IPSec VPN unter FortiOS 5.0 konfiguriert für FortiClient, iOS und Android? ===
Command fail. Return code -9999
 
</pre>
Unter FortiOS 5.0 werden Verbindungen basierend auf Client2Site IPSec VPN anhand eines "VPN Wizard's" erstellt/konfiguriert. Im "VPN Wizard's" hat man die Möglichkeit die Art der Verbindung (Device zB iOS, Android) zu wählen. Die Vorgehensweise der Konfiguration ist für jede Art einer Verbindung sei es iOS und/oder Android etc. die Gleiche. Für unser Beispiel unter FortiOS 5.0 gehen wir von folgender Situation aus:
Mit dem CLI Befehl <code>   execute fctems unverify [EMS ID] </code> kann die Bestätigung des EMS Servers aufgehoben werden<br>
                          ____________                  _________________________
Um die ID zu erfahren kann mit dem Fragezeichen die LIste der eingetragenen EMS Dienste abgerufen werden:
        193.193.135.66/29|            | 192.168.1.99  |                        |
<pre style="background-color:#252269;color: #FFFFFF">
        ----- WAN 1 -----|  Fortigate |------ LAN -----| LAN Env. 192.168.1.0/24 |
# execute fctems unverify ?  
                        |____________|                |_________________________|
1 (EMS-FortiCloud-Also)
 
2 (EMS-msalem-lab-srv2019-0003)
        <big>'''Erstellung eines User's'''</big>
3 ()
       
4 ()
        User & Device > User > User Definition > Create New
5 ()
       
6 ()
        [[Datei:Fortinet-1199.jpg]]
7 ()
       
</pre>
        [[Datei:Fortinet-1200.jpg]]
In unserem Fall ist dies die ID 1
       
<pre style="background-color:#252269;color: #FFFFFF">
        [[Datei:Fortinet-1201.jpg]]
# execute fctems unverify 1
       
FortiClient EMS certificate successfully unverified.
        [[Datei:Fortinet-1202.jpg]]
</pre>
       
|}
        [[Datei:Fortinet-1203.jpg]]
Nun kann der EMS Server im WebGui wieder authentifiziert werden über den Authorifizierungs Button.  
 
{| class="wikitable" style="width:850px"
        <big>'''Erstellung einer Gruppe und hinzufügen des User's'''</big>
|- style="background:#89E871"
       
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
        User & Device > User > User Groups > Create New
|-  
       
|
        [[Datei:Fortinet-1204.jpg]]
Menu ''Security Fabric -> Fabric Connectors -> FortiClient EMS -> edit''
       
Im Fenster müsste ein Hinweis für das neue gültige Zertifikat kommen. Dieses gilt es zu bestätigen indem der Button ''Accept'' angewählt wird.
        [[Datei:Fortinet-1205.jpg]]
  [[Datei:fortinet-3322.jpg|550px|link=]]
 
Als ich dies durchgeführt habe ist folgende Meldung im Status danach erschienen:  
        <big>'''Erstellung eines Adress Objekt's für IP-Pool'''</big>
[[Datei:fortinet-3323.jpg|550px|link=]]
       
Ich habe dann das Menu neu geladen, dannach war die Verbindung grün und auf ''connectet''
        Policy & Objects > Adresses > Addresses > Create New
[[Datei:fortinet-3324.jpg|550px|link=]]
       
|}
        [[Datei:Fortinet-1218.jpg]]
----
       
<small>add 04.09.2023 - 4Tinu</small>
        [[Datei:Fortinet-1219.jpg]]
<!--Referenz: https://community.fortinet.com/t5/FortiGate/Technical-Tip-EMS-Certificate-is-not-trusted-with-FortClient-EMS/ta-p/269845 -->
       
        '''NOTE''' Der IP-Pool Range stellt ein DHCP Server dar. Nach erfolgreicher Authentifizierung des IPSec VPN Client's
            wird diesem eine IP Adresse aus diesem Range zugewiesen!
 
        <big>'''Erstellung eines Adress Objekt's für Internal/LAN'''</big>
       
        Policy & Objects > Adresses > Addresses > Create New
       
        [[Datei:Fortinet-1218.jpg]]
       
        [[Datei:Fortinet-1220.jpg]]
 
        <big>'''Erstellung Phase-1/2 FortiClient Windows'''</big>
       
        VPN > IPSec > Auto Key (IKE) > Create VPN Wizard
       
        [[Datei:Fortinet-1221.jpg]]
       
        '''NOTE''' Der vergebene Name der Verbindung steht im Zusammenhang mit den möglichen gleichzeitigen IPSec VPN Tunnel. Es wird
            empfohlen nicht mehr als 12 Zeichen zu benutzen (100 gleichzeitige IPSec VPN Tunnel). Mehr detailierte Informationen
            dazu siehe nachfolgender Artikel:
           
            [[Fortigate:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F]]
       
        [[Datei:Fortinet-1222.jpg]]
       
        [[Datei:Fortinet-1223.jpg]]
       
        [[Datei:Fortinet-1224.jpg]]
       
        '''NOTE''' Im normal Fall ist der Punkt "Split Tunneling" zu definieren denn wenn dies nicht durchgeführt wird gilt bei einer
            erfolgreichen IPSec VPN Verbindung, dass sämtlicher Traffic durch den Tunnel geroutet wird. Deshalb sollte die Split
            Tunneling Funktion aktiviert werden ausser aus Security Gründen wird darauf verzichtet. Weitere Informationen dazu
            siehe nachfolgenden Artikel:
           
            [[FortiClient:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F]]
       
        [[Datei:Fortinet-1225.jpg]]
 
        <big>'''Erstellung einer Firewall Policy Incoming'''</big>
       
        Policy > Policy > Policy > Create New
       
        [[Datei:Fortinet-1226.jpg]]
       
        [[Datei:Fortinet-1227.jpg]]
       
        '''NOTE''' In der Firewall Policy sollte die Position "NAT" (Source NAT) nicht aktiviert werden "Use Destination Interface Address".
            Der IP-Pool der definiert wird in der Phase-1 muss -wenn NAT deaktiviert ist- im internen Netz geroutet werden. Ist dies
            nicht der Fall kommt zwar die  Verbindung zu stande, jedoch der FortiClient kann keine Resource angehen da dieser IP-Pool
            (DHCP) -aus dem der FortiClient eine Adresse bezieht- nicht im Internal/LAN geroutet ist. Wird "NAT" aktiviert wird
            "sämtlicher" Traffic betreffend Source des FortiClientj's translated auf die IP des Internen Interface's (unser Beispiel
            die Destination). Somit kann der einzelne FortiClient mit der ihm zugewiesene IP nicht mehr einzel identifiziert werden  
            da alle FortiClient's als Source die gleiche IP ausweisen.
 
        <big>'''Erstellung einer Firewall Policy Outgoing'''</big>
       
        Policy > Policy > Policy > Create New
       
        '''NOTE''' Diese Firewall Policy Rule für Outgoing ist "optional". Dies bedeutet: Diese Firewall Policy Rule wird Hauptsächlich benutzt
            um Support auf dem FortiClient zu leisten. Dies bedeutet: Ist die IP des FortiClient -die dem FortiClient über den definierten
            IP-Pool zugewiesen wurde- kann anhand dieser Outgoing Firewall Policy auf den FortiClient zB über RDP zugegriffen werden!
       
        [[Datei:Fortinet-1226.jpg]]
       
        [[Datei:Fortinet-1229.jpg]]
 
        <big>'''Konfigurieren des Routings für IP-Pool'''</big>
       
        Router > Static > Static Routes > Create New
       
        [[Datei:Fortinet-1230.jpg]]
       
        [[Datei:Fortinet-1231.jpg]]
 
Die Konfiguration ist abgeschlossen! Nun muss nur noch der entsprechende FortiClient installiert werden. Dieser sollte als "VPN-Only" installiert werden. In dieser Installation enthält diese Installation "nur" VPN Funktionalität dh. IPSec und/oder SSL-VPN. Weitere Informationen über "VPN-Only" Installation sowie "SSL-VPN" siehe nachfolgenden Artikel:
 
        [[FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F]]
        [[Fortigate:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.0_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F]]
 
Wenn IPSec auf iOS/Android eingesetzt werden möchte siehe nachfolgenden Artikel:
 
        [[Fortigate:FAQ#Gibt_es_f.C3.BCr_IPhone_und_Android_einen_SSL_VPN_Client.3F]]
 
Die IPSec VPN Verbindung eines FortiClient basiert ebenfalls IKE Phase-1/2. Aus diesem Grund kann bei Problemen der gleiche Debug Mode benutzt werden wie für eine IPSec Tunnel:
 
        [[Fortigate:FAQ#Wie_kann_ich_f.C3.BCr_ein_IPSec_VPN_f.C3.BCr_Phase-1_und.2Foder_2_ein_Debugging_ausf.C3.BChren.3F]]
 
Wenn der FortiClient nach erfolgreicher Anmeldung bestimmte Resourcen nicht erreichen kann ist es Sinnvoll diese Probleme anhand des Sniffer's zu überprüfen. Weitere Informationen zum "Sniffer" Mode siehe nachfolgenden Artikel:
 
        [[Fortigate:FAQ#Wie_benutze_ich_das_Sniffer_Kommando_.22diagnose_sniffer_packet.22.3F]]
 
=== Wie wird ein Client2Site IPSec VPN unter FortiOS 5.2 konfiguriert für FortiClient, iOS und Android? ===
 
Unter FortiOS 5.2 werden Verbindungen basierend auf Client2Site IPSec VPN anhand eines "VPN Wizard's" erstellt/konfiguriert. Im "VPN Wizard's" hat man die Möglichkeit die Art der Verbindung (Device zB iOS, Android) anhand von "Template's" (Vorlagen) zu wählen. Die Vorgehensweise der Konfiguration ist für jede Art einer Verbindung sei es iOS und/oder Android etc. die Gleiche. Für unser Beispiel unter FortiOS 5.2 gehen wir von folgender Situation aus:
 
                          ____________                  _________________________
        193.193.135.66/29|            | 192.168.1.99  |                        |
        ----- WAN 1 -----|  Fortigate |------ LAN -----| LAN Env. 192.168.1.0/24 |
                        |____________|                |_________________________|
 
        <big>'''Erstellung eines User's'''</big>
       
        User & Device > User > User Definition > Create New
       
        [[Datei:Fortinet-1199.jpg]]
       
        [[Datei:Fortinet-1200.jpg]]
       
        [[Datei:Fortinet-1201.jpg]]
       
        [[Datei:Fortinet-1202.jpg]]
       
        [[Datei:Fortinet-1203.jpg]]
 
        <big>'''Erstellung einer Gruppe und hinzufügen des User's'''</big>
       
        User & Device > User > User Groups > Create New
       
        [[Datei:Fortinet-1204.jpg]]
       
        [[Datei:Fortinet-1205.jpg]]
 
        <big>'''Erstellung eines Adress Objekt's für IP-Pool'''</big>
       
        '''NOTE''' Durch den Gebrauch des Wizards resp. des Template's im Hintergrund, wird ein entsprechendes IP-Pool
            Objekt automatisch erfasst das nachträglich unter folgender Position ersichtlich ist:
           
            Policy & Objects > Objects > Adresses > [Name der Phase-1/2_range]
 
        <big>'''Erstellung eines Adress Objekt's für Internal/LAN'''</big>
       
        Policy & Objects > Objects > Adresses
       
        [[Datei:Fortinet-1206.jpg]]
       
        [[Datei:Fortinet-1208.jpg]]
 
        <big>'''Erstellung Phase-1/2 FortiClient Windows'''</big>
       
        VPN > IPSec > Tunnels > Create New
       
        [[Datei:Fortinet-1209.jpg]]
       
        '''NOTE''' Die Meldung unter Name die in unserem Fall erscheint "10000 concurrent user(s)...." steht in Zusammenhang
            mit der Art und Weise wie im Hintergrund jeder Tunnel in der Phase-1/2 abgebildet wird dh. weitere Informationen
            dazu siehe nachfolgenden Artikel:
           
            [[Fortigate:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F]]
       
        [[Datei:Fortinet-1210.jpg]]
       
        '''NOTE''' Im normal Fall ist der Punkt "Split Tunneling" zu definieren denn wenn dies nicht durchgeführt wird gilt bei einer
            erfolgreichen IPSec VPN Verbindung, dass sämtlicher Traffic durch den Tunnel geroutet wird. Deshalb sollte die Split
            Tunneling Funktion aktiviert werden ausser aus Security Gründen wird darauf verzichtet. Weitere Informationen dazu
            siehe nachfolgenden Artikel:
           
            [[FortiClient:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F]]
       
        [[Datei:Fortinet-1211.jpg]]
       
        [[Datei:Fortinet-1212.jpg]]
       
        [[Datei:Fortinet-1213.jpg]]
 
        <big>'''Erstellung einer Firewall Policy Incoming'''</big>
       
        Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Rule]
       
        '''NOTE''' Durch den Gebrauch des Wizards resp. des Template's im Hintergrund, wird eine entsprechende Firewall Policy
            automatisch konfiguriert. Diese sollte dementsprechend modifiziert/kontrolliert werden!
       
        [[Datei:Fortinet-1214.jpg]]
       
        [[Datei:Fortinet-1215.jpg]]
       
        '''NOTE''' In der Firewall Policy wir die Position "NAT" (Source NAT) aktiviert auf "Use Destination Interface Address". Dies
            sollte deaktiviert werden. Die Position "NAT" wird durch den Wizard resp. das Template aktiviert aus folgenden Grund:
            Der IP-Pool der definiert wird in der Phase-1 muss -wenn NAT deaktiviert ist- im internen Netz geroutet werden. Ist dies
            nicht der Fall kommt zwar die  Verbindung zu stande, jedoch der FortiClient kann keine Resource angehen da dieser IP-Pool
            (DHCP) -aus dem der FortiClient eine Adresse bezieht- nicht im Internal/LAN geroutet ist. Wird "NAT" aktiviert wird
            "sämtlicher" Traffic betreffend Source des FortiClientj's translated auf die IP des Internen Interface's (unser Beispiel
            die Destination). Somit kann der einzelne FortiClient mit der ihm zugewiesene IP nicht mehr einzel identifiziert werden
            da alle FortiClient's als Source die gleiche IP ausweisen.
 
        <big>'''Erstellung einer Firewall Policy Outgoing'''</big>
       
        Policy & Objects > Policy > IPv4 > Create New
       
        '''NOTE''' Diese Firewall Policy Rule für Outgoing ist "optional". Dies bedeutet: Diese Firewall Policy Rule wird Hauptsächlich benutzt
            um Support auf dem FortiClient zu leisten. Dies bedeutet: Ist die IP des FortiClient -die dem FortiClient über den definierten
            IP-Pool zugewiesen wurde- kann anhand dieser Outgoing Firewall Policy auf den FortiClient zB über RDP zugegriffen werden!
               
        [[Datei:Fortinet-1216.jpg]]
       
        [[Datei:Fortinet-1217.jpg]]
 
        <big>'''Konfigurieren des Routings für IP-Pool'''</big>
       
        Router > Static > Static Routes > Create New
       
        [[Datei:Fortinet-1230.jpg]]
       
        [[Datei:Fortinet-1231.jpg]]
 
Die Konfiguration ist abgeschlossen! Nun muss nur noch der entsprechende FortiClient installiert werden. Dieser sollte als "VPN-Only" installiert werden. In dieser Installation enthält diese Installation "nur" VPN Funktionalität dh. IPSec und/oder SSL-VPN. Weitere Informationen über "VPN-Only" Installation sowie "SSL-VPN" siehe nachfolgenden Artikel:
 
        [[FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F]]
        [[Fortigate:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.2_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F]]
 
Wenn IPSec auf iOS/Android eingesetzt werden möchte siehe nachfolgenden Artikel:
 
        [[Fortigate:FAQ#Gibt_es_f.C3.BCr_IPhone_und_Android_einen_SSL_VPN_Client.3F]]
 
Die IPSec VPN Verbindung eines FortiClient basiert ebenfalls IKE Phase-1/2. Aus diesem Grund kann bei Problemen der gleiche Debug Mode benutzt werden wie für eine IPSec Tunnel:
 
        [[Fortigate:FAQ#Wie_kann_ich_f.C3.BCr_ein_IPSec_VPN_f.C3.BCr_Phase-1_und.2Foder_2_ein_Debugging_ausf.C3.BChren.3F]]
 
Wenn der FortiClient nach erfolgreicher Anmeldung bestimmte Resourcen nicht erreichen kann ist es Sinnvoll diese Probleme anhand des Sniffer's zu überprüfen. Weitere Informationen zum "Sniffer" Mode siehe nachfolgenden Artikel:
 
        [[Fortigate:FAQ#Wie_benutze_ich_das_Sniffer_Kommando_.22diagnose_sniffer_packet.22.3F]]
 
 
=== Kann ich mehrer Client2Site IPSec VPN (Dial-Up) auf "einer" FortiGate konfigurieren sei es für FortiClient, iOS und Android? ===
 
Wenn man auf einer FortiGate die Anforderungen hat mehrer Client2Site VPN's (Dial-Up IPSec Phase1 in Pre-Shared Key (PSK) Main Mode) zu konfigurieren läuft man in das Problem das "nur" immer das "erste" VPN in der Firewall Policy (top down first match wins) erkannt wird. Das Problem ist kein FortiGate Problem sondern stammt von der Art und Weise wie ein IPSec (IKE) im Main Mode mit PSK implementiert wird. Wenn ein zwei Client2Site VPN's auf die gleiche Public IP konfiguriert werden und ein IKE (TCP/UDP 500) PSK Main Mode Anfrage trifft auf die Firewall kann der IKE Service nicht erkennen welche Verbindung angesprochen wird. Dies bedeutet der IKE Service nimmt die Anfrage für den PSK Main Mode für "Alle" konfigurierten Client2Site VPN's an und läuft somit gezwungenermassen in eine Fehlermeldung da die Authentication des Preshared Secret (PSK) in der Phase1 in einer der Client2Site VPN's fehlschlägt. Unter "diagnose debug application ike -1" wird folgende Fehlermeldung angzeigt:
 
        log_id=0101023003 type=event subtype=ipsec pri=error loc_ip=aa.bb.cc.dd loc_port=500 rem_ip=ee.ff.gg.hh rem_port=500 out_if="wan1" vpn_tunnel="branchOffice" cookies=asd2345sdf4sdf345 action=negotiate status=negotiate_error msg="Negotiate SA Error: probable pre-shared secret mismatch"  
 
Wenn mehrere Client2Site VPN's resp. Dial-Up IPSec Phase1 existieren hat die Phase1 im PSK Main Mode keine Möglchkeit die Anfrage zur entsprechenden Phase1 zu zuweisen. Auch einer entsprechende Konfiguration einer "Source IP" in der Firewall Policy um auf die entsprechende Phase1 zu zeigen bringt kein Abhilfe denn in der Phase1 im PSK Main Mode werden "Alle" Source IP's gleich behandelt resp. verarbeitet/beantwortet. Es gibt somit keine Möglichkeit im PSK Main Mode ein spezifische Phase1 zu zuweisen. Technisch gesehen gilt in dieser Situation folgendes:
 
        1. Der PSK (Pre-shared Key) selber ist Teil der Kalkulation des Phase1 "root key's" (SKEYID)
        2. Dieser "root key" wird dann unterteilt/umgewandelt in zwei keys dh. "SKEYID_e sowie SKEYID_a. Diese zwei Key's werden in der Phase1 benutzt für Encryption und Authentcation.
         
          = Somit ergiebt sich für die Phase1: Die Key's SKEYID_e/a sind basierend auf dem PSK. Die daraus resultierende Fehlermeldung
            stammt also von der Antwort der falschen Phase1 und endet in einem "probable PSK mismatch" da IKE nicht möglich ist der
            entsprechenden Source die entsprechende Antwort zu senden.
 
Nun stellt sich die Frage kann man dennoch solch eine Konfiguration durchführen dh. mehrere Client2Site VPN's auf einer FortiGate? Die Vorraussetzungen sind korrekt konfigurierte Client2Site VPN's wie in nachfolgenden Artikeln beschrieben:
 
        [[FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.0_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F]]
        [[FortiClient:FAQ#Wie_wird_ein_Client2Site_IPSec_VPN_unter_FortiOS_5.2_konfiguriert_f.C3.BCr_FortiClient.2C_iOS_und_Android.3F]]
       
        '''NOTE''' In diesen Artikeln wird anhand des Client Wizards unter FortiOS 5.0 sowie anhand eines Templates unter FortiOS 5.2 eine
            Client2Site VPN (Dial-Up) im "Aggressive Mode" durchgeführt. Dies bedeutet: Dieser Aggressive Mode ist Voraussetzung um
            mehrere Client2Site VPN's auf einer FortiGate in der Phase1 zu erkennen. Zusätzlich zur obenerwähnten Konfiguration muss
            in jeder Phase1 eine unterschiedliche "Local ID" konfiguriert werden:
           
            VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Loacal ID
           
            Der Nachteil an dieser Konfiguration dh. "Aggressive Mode" sowie die Konfiguration der "Local ID" ist das diese Information
            im "Aggressive Mode" in "clear-text" der Phase1 übermittelt mit. Diese Uebermittlung in "clear-text" ist dann zuständig die
            korrekte Phase1 anzusprechen und die entsprechende Antwort betreffend "SKEYID_e/a" (root key) zu erhalten. Der zuständige
            Befehl der über Kommandozeile die entsprechende Local ID setzt ist:
           
            # config vpn ipsec phase1-interface
            # edit [Name der entsprechenden Phase1]
            # set mode aggressive
            # set localid [Name der ID]
            # end
 
Eine andere Möglichkeit ist im Main Mode nicht PSK (Pre-shared Key) sondern eine Zertifikat basierende Lösung dh. RSASIG zu benutzen. In dieser Konfiguration wird wird in der Phase1 folgendes Konfiguriert:
 
        VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Authentication Methode > RSA Signature
        VPN > IPSec > AutoKey (IKE) > [Name der entsprechenden Phase1 markieren] > Edit > Authentication Methode > Certificate Name > [Gebe das entsprechende Zertifikat an]
       
        '''NOTE''' Wenn Main Mode RSASIG benutzt wird werden keine Informationen über "clear-text" übermittelt. Dies bedeutet: In dieser Konfiguration
            wird die erste Main Mode Nachricht an IKE gesendet und IKE nimmt diese Nachricht in der Phase1 in eine Liste auf. Wenn nicht die
            korrekte Phase1 angesprochen wird spielt dies keine Rolle denn in diesem Mode spielen "SKEYID-a/e" keine Rolle da im Main Mode RSASIG
            diese Informationen auf dem "payload" (Zertifikat) basieren und nicht wie im Aggressive Mode auf dem PSK. Der "payload" basiert auf
            den Informationen die zwischen den Peer's ausgetauscht wird und der Diffie-Hellman Private Key der lokal auf jedem Peer existiert.
            Wenn die Informatione anhand des Zertifikat Informationen entschlüsselt wurden weiss der IKE "responder" resp. die FortiGate um welche
            Phase1 es sich handelt (ID). Erkannt wird die richtige Phases durch den DN des Zertifikates das auf dem Client konfiguriert ist. Um die
            RSASIG Konfiguration über Kommandozeile durchzuführen gebe folgendes ein:
           
            # config vpn ipsec phase1-interface
            # edit [Name der entsprechenden Phase1]
            # set mode main
            # set rsa-certificate
            # set authmethod rsa-signature
            # end
 
=== Kann ich die Konfiguration des FortiClient "vorkonfigurieren" und zur Verfügung stellen (Distribution)? ===
 
Dies ist möglich und wird anhand eines "xml" Files durchgeführt. Dieses "xml" File kann über die FortiGate zur Verfügung gestellt werden (bis 100D 10 User inkl.; zusätzliche User müssen lizensiert werden). Nachfolgendes Dokument gibt Ausfkunft über die vers. Konfigurations Möglichkeiten im diesem "xml" File:
 
        '''FortiOS 5.0'''
        [[Datei:forticlient-xml-ref-50.pdf]]
        [[Datei:forticlient-xml-ref-504.pdf]]
        [[Datei:forticlient-xml-ref-505.pdf]]
        [[Datei:forticlient-xml-ref-506.pdf]]
        [[Datei:forticlient-xml-ref-507.pdf]]
        [[Datei:forticlient-xml-ref-509.pdf]]
        [[Datei:forticlient-xml-ref-510.pdf]]
 
        '''FortiOS 5.2'''
        [[Datei:forticlient-xml-ref-521.pdf]]
        [[Datei:forticlient-xml-ref-523.pdf]]
 
Nachfolgend die "Administration Guide" des FortiClient für FortiOS 5.0/5.2:
 
        '''FortiOS 5.0'''
        [[Datei:forticlient-admin-503.pdf]]          (Für Windows und Mac OSX)
        [[Datei:forticlient-admin-505.pdf]]          (Für Windows und Mac OSX)
        [[Datei:forticlient-admin-506.pdf]]          (Für Windows und Mac OSX)
        [[Datei:forticlient-admin-507.pdf]]          (Für Windows und Mac OSX)
        [[Datei:forticlient-admin-509.pdf]]          (Für Windows und Mac OSX)
        [[Datei:forticlient-admin-510.pdf]]          (Für Windows und Mac OSX)
 
        '''FortiOS 5.2'''
        [[Datei:forticlient-admin-520.pdf]]          (Für Windows und Mac OSX)
        [[Datei:forticlient-admin-521.pdf]]          (Für Windows und Mac OSX)
        [[Datei:forticlient-admin-522.pdf]]          (Für Windows und Mac OSX)
        [[Datei:forticlient-admin-523.pdf]]          (Für Windows und Mac OSX)
 
=== Wie verhindere ich auf dem Client/Workstation die Registrierungsanfrage PopUps auf dem FortiClient GUI? ===
 
Sobald der FortiClient in Verbindung zu einer FortiGate mit aktivierter Endpoint Registration kommt, erhält er beim Betrieb mit der Default Konfiguration eine Registration-Request-Message. Diese kann verschieden verarbeitet werden:
 
          '''Manuell Request ablehnen:'''
          Manuelle Ablehnung des Requests übers GUI lokal auf dem Client/Workstation
 
          '''Automatisch Request ablehnen:'''
          Automatische Ablehnung des Requests. Dies geht nur wenn der FortiClient bereits bei einer anderen FortiGate registriert ist
          und die Deregistration ausgeschaltet ist. Die Konfiguration kann über die FortiClient-XML-Konfigurationsdatei vorgenommen
          werden. Details zum XML-Konfigurationsdatei Aufbau sind im FortiClient XML Referenzguide beschrieben. Siehe dazu nachfolgender
          Artikel:
         
          [[FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F]]
         
          Die im Artikel resp. im XML Refrence Dokument beschriebene Sektion <endpoint_controll></endpoint_controll> beinhaltet die nötigen Parameter:
         
          --------------- xml refrence ---------------
         
          <endpoint_control>
          ...
          <skip_confirmation>1</skip_confirmation>
          ...
          <disable_unregister>1</disable_unregister>
          ...
          <name>Encrypted user name</name>
          <registration_password>Passwort</registration_password>
          <addresses>Adress of the Fortigate to register to</addresses>
          ...
          </endpoint_control>
         
          --------------- xml refrence ---------------
         
          '''NOTE''' Mit <skip_confirmation>1</skip_confirmation> wird die automatische Registrierung an der in der Adressliste
                <addresses>...</addresses> angegebenen Fortigate forciert. Für die Registrierung werden der Username sowie
                das Passwort von <name></name> und <registration_password></registration_password> verwendet. Mit der Option
                <disable_unregister>1</disable_unregister> wird sichergestellt, das sich der Client nicht mehr deregistrieren
                kann. Dies führt Implizit dazu, dass sich der FortiClient auch an keinen neuen FortiGates regstrieren kann
                und somit allfällige Registration Requests automatisch ablehnt.
 
          '''Requests Automatisch annehmen:'''
          Ein andere Möglichkeit ist generelle Annahme der Registration-Requests. Dies führt dazu, dass sich der FortiClient
          jeweils automatisch an der anfragenden FortiGate registriert. Diese konfiguration kann ebenfalls über die
          FortiClient-XML-Konfigurationsdatei erreicht werden:
         
          --------------- xml refrence ---------------
         
          <endpoint_control>
          ...
          <silent_registration>1</silent_registration>
          ...
          </endpoint_control>
         
          --------------- xml refrence ---------------
         
          '''NOTE''' Mit der Option <silent_registration>1</silent_registration> werden vom FortiClient automatisch alle Request Messages
                angenommen.
 
=== Wie aktiviere ich eine FortiClient Endpoint Security License (License File)? ===
 
Wenn man eine FortiClient Endpoint Security License ordered (Abhängig von der Art des Devices resp. Grösse) wird ein License Zertificat zugestellt (File). Diese Licesne Zertifikat beinhaltet einen "Activation Code" und sieht folgendermassen aus:
 
        [[Datei:Fortinet-845.jpg]]
       
        '''NOTE''' Informationen betreffend den Versionen des FortiClient Endpoint Security (FortiOS 5) und dessen
            Lizenzen findet man unter folgenden Artikel:
           
            [[FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F]]
 
Dieser Activation Code muss auf der entsprechenden FortiGate unter folgender Position eingegeben werden:
 
        - Erstelle eine Verbindung auf das Mgmt. Gui der entsprechenden FortiGate.
        - Unter folgender Position (FortiOS 5.0.2 oder höher) gebe den entsprechenden Activation Code ein:
         
          System > Dashboard > Status > License Information
         
          [[Datei:Fortinet-846.jpg]]
         
          '''NOTE''' Die FortiGate auf der der Activation Code eingegeben wird MUSS über Internet Verbindung resp.
              Verbindung (Port 53 oder 8888) in die FortiCloud verfügen da in der FortiCloud eine Verfizierung
              des Activation Code durchgeführt wird!
       
        - Nach der erfolgreichen Aktivierung kann das entsprechende License File über den Support Account in der
          die FortiGate mit Ihrer Serien Nummer registriert ist heruntergeladen werden. Logge dich zu diesem Zweck
          im entsprechenden Support Account ein und wähle Menüpunkt "Manage/View Products". Danach wähle den
          entsprechenden Device (Serien Nummer) und nun kann das License File heruntergeladen werden!
 
=== Wie kann ich ein FortiClient Endpoint Security Software Package mit VPN (IPSec/SSL-VPN) only erstellen? ===
 
Unter FortiOS 5.0 ist der FortiClient Endpoint Security ein Software Package das etliche Funktionen enthält dh. IPSec, SSL-VPN, Antivirus, Firewall, URL WebFilter, IPS usw. Möchte man den FortiClient Endpoint Security mit den Funktionen im Gesamten dh. Antivirus, Firewall usw. nutzen, muss dieser Lizensiert werden (10 User free) da dieser FortiClient Endpoint Security mit seinen Funktionen über die FortiGate verwaltet wird. Zusätzliche User müssen lizensiert werden. Weitere Informationen dazu siehe folgender Artikel Abschnitt FortiOS 5:
 
      [[FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F]]
 
Möchte man nun diesen FortiClient Endpoint Security zwar nutzen jedoch "nur" mit seiner IPSec und/oder VPN-SSL Funktion kann zwar das "orginale" Package installiert werden um nachträglich alle anderen Features zu deaktivieren, jedoch ist das nicht ein zu empfehlender/gangbarer Weg. Somit steht man vor der Aufgabe das orginale Software Package so zu manipulieren das Schlussendlich nur noch die gewünschten Funktionen für eine Installation zur Verfügung stehen dh IPSec und/oder VPN-SSL. Dieses beiden Funktionen IPSec und/oder VPN-SSL müssen nicht lizensiert werden und stehen ohne Limitierunge vollumfänglich auf einer FortiGate zur Verfügung. Um das orginale Software Package zu modifizieren kann folgendes durchgeführt werden:
 
      '''NOTE''' Neu kann der FortiClient 5.2 im Setup als "VPN-Only" ausgeführt werden dies bedeutet wenn "VPN-Only" benötigt
            wird unter FortiClient 5.2 kann dies direkt über das "Setup" bewerkstelligt werden. Somit muss der FortiClient
            5.2 für "VPN-Only" nicht mehr anhand der Licens Packetiert werden. Im Setup stehen zwei Optionen zur Verfügung:
           
            - Alle Endpoint Security und VPN Komponenten werden installiert
            - VPN Only wird installiert (IPSec/SSL)
           
            Soll der FortiClient dennoch anhand des Packages "FortiClientTools" Packetiert werden so muss man berücksichtigen,
            das die FortiOS 5.0 License - die für das Packetierung nötig ist - nicht mehr gültig ist.
 
        • Freeware Tool für Packetierung zB Orca (Funktioniert ohne Lizenz eines FortiClient Endpoint Security)
        • FortiClientTools für die Packetierung (Funktioniert nur mit einer entsprechenden Lizenz)
 
        '''Freeware Tool "Orca" (MSI Table Editor)'''
       
        - Lade das Tool "Orca" von folgenden Link herunter: http://www.softpedia.com/get/Authoring-tools/Setup-creators/Orca.shtml
       
        - Danach installiere "Orca.msi" (Typical) und starte das Tool!
       
        - Lade die entsprechenden orginal FortiClient Endpoint Security Package herunter (Beispiel: Link FortiClient Endpoint Security 5.0.5):
       
          ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5/FortiClientSetup_5.0.5.0308_x64.zip
          ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5/FortiClientSetup_5.0.5.0308.zip
         
          '''NOTE''' Diese Links sind nicht mehr direkt zugänglich dh. um zu diesen Links zu gelangen logge dich auf
              https://support.fortinet.com ein und wähle im unteren Bereich "Firmware Images". Danach im
              Scrollbalken wähle "FortiClient" danach gehe auf den "Download Button". Nun wähle das entsprechende
              Betriebssystem zB "Windows" usw.
       
        - Entpacke nun die zip Files in ein temporaeres Verzeichnis zB C:\tmp.
       
        - Wähle im Orca Tool "File > Open" und wähle das temporaere Verzeichnis C\tmp resp. das File "FortiClient.msi" (32bit Version).
          Dieses befindet sich im Verzeichnis C:\tmp\FortiClientSetup_5.0.5.0308 (32bit Version).
       
        - Auf der rechten Seite werden nun im Orca Tool die Tables aufgelistet. Suche die Position "FeatureComponents".
       
        - Wenn die Position "FeatureComponents" angewählt wird so werden die dazugehörigen Features auf der rechten Seite aufgelistet.
       
        - Lösche nun alle Features/Zeilen ausser: "Feature_Basic, Feature_VPN und Feature_SSLVPN"
       
        - Danach gehe auf "save" und das Packet resp. das File "FortiClient.msi" kann nur anhand einer Installation getestet werden!
 
        '''FortiClientTools'''
       
        - Vorraussetzung für diesen Vorgang ist eine FortiClient Endpoint Security "License File" (zB für Devices bis 90D ALSO Art. Nr. [https://ivis.also.ch/ivis/mao/DefaultShort.aspx?view=ShopArtikelDetail&artikelNr=16503101E&tab=0| 16503101E])! Nähere Informationen dazu siehe Artikel:
         
          [[FortiClient:FAQ#Wie_aktiviere_ich_eine_FortiClient_Endpoint_Security_License_.28License_File.29.3F]]
         
        - Im Downloadverzeichnis des jeweiligen FortiClient zB "ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5" steht ebenfalls
          das Tool "FortiClientTools_5.0.5.0308.zip" zur Verfügung. Dieses Package enthält die nötigen Tools sowie die nötige Dokumentation um
          ein entsprechendes Package zu erstellen. Um das FortiClientTool zu benützen muss jedoch eine Lizenz für FortiClient Endpoint Security
          erworben werden. Das entsprechende Lizenz File muss bei der Generierung des Packages angegeben weden. Dies bedeutet möchte man ein
          VPN only (IPSec und/oder VPN-SSL) Package erzeugen wäre die Vorgehensweise folgende:
         
        - Entpacke das File "FortiClientTools_5.0.5.0308.zip" in ein temporaeres Verzeichnis.
       
        - Im entpackten zip File befindet sich ein Verzeichnis "FortiClientConfigurator". Wechsle in dieses Verzeichnis.
       
        - Starte das Tool "FortiClientConfiguratorGUI.exe". Es erscheint eine Meldung um die entsprechende Lizenz zu laden:
         
          Gebe das entsprechende License File an:
         
          [[Datei:Fortinet-847.jpg]]
         
          Gehe mit "Skip" weiter:
         
          [[Datei:Fortinet-848.jpg]]
         
          Wähle "VPN Only":
         
          [[Datei:Fortinet-849.jpg]]
         
          Der Vorgang ist abgeschlossen gehe auf "Fertig stellen":
         
          [[Datei:Fortinet-850.jpg]]
         
          '''NOTE''' Vor dem Fertigstellen wird im "Console output...." folgendes als Information angezeigt:
             
              ------------------------------------------------------------------ Console output.... ------------------------------------------------------------------
             
              Executing:
             
              -m "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient.msi"  --             
             
              CUSTOMIZATIONKEY "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\License\EFCT102001369600.lic" -i VPN
             
              Configuration complete.
             
              The files needed for Active Directory deployment are located here:
             
                  C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient_packaged\ActiveDirectory\
             
              The files needed for manual distribution are located here:
             
                  C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient_packaged\ManualDistribution\
             
              You must test the packages to confirm they install correctly before
              deploying them to production.
             
              Executing:
             
              -m "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient.msi"  --CUSTOMIZATIONKEY "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\License\EFCT102001369600.lic" -i VPN
             
              Configuration complete.
             
              The files needed for Active Directory deployment are located here:
             
                  C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient_packaged\ActiveDirectory\
             
              The files needed for manual distribution are located here:
             
                  C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient_packaged\ManualDistribution\
             
              You must test the packages to confirm they install correctly before
              deploying them to production.
             
              ------------------------------------------------------------------ Console output.... ------------------------------------------------------------------             
         
        - Nun werden zwei Verzeichnisse für eine Distribution erstellt dh. "ActiveDirectory" und "ManualDistribution" gemäss den Angaben in der "Console ouput...."
          Information.
 
        '''NOTE''' Für MAC Installation ist der Vorgang anhand des Lizenz Files identisch jedoch benötigt man den FortiClientConfigurator
            für MAC!
 
=== Gibt es eine Möglichkeit alle FortiClient's die auf einer FortiGate Registriert sind zu Deregistrieren? ===
 
Wenn eine IPSec Verbindung für den FortiClient erstellt wird fällt einem im Wizard die Position "Allow Endpoint Registration" auf. Diese Position bedeutet folgendes: Bei einer erstmaligen Verbindung des FortiClient wird dieser für die "Endpoint Funktion" registriert. Diese "Endpoint Funktion" beinhaltet das Management des "FortiClient Endpoint Security" über die FortiGate in allen Belangen wie Antivirus, IPS, WebFilter etc. In der CLI, für die entsprechende Verbindung, ist der folgender Befehl dazu zuständig:
 
        # config vpn ipsec phase1-interface
        # edit [Name der Phase1]
        # set fortilcient-enforcement [enable | disable]
        # end
 
Nun wurde dieser Befehl wissentlich oder unwissentlich aktiviert und die Liste der registrierten FortiClient's soll gelöscht resp. zurückgesetzt werden kann ab FortiOS 5.2.1 folgender Befehl benutzt werden:
 
        # diagnose endpoint registration deregister all
 
Dieses Kommando löscht sämtliche Informationen betreffend der Registrierung der FortiClient's auf einer FortiGate.
 
=== Wie kann ich die Registrierungsfunktion betreffend FortiClient Endpoint Security auf einer FortiGate manipulieren? ===
 
Wenn der FortiClient Endkpoint Security mit seinen UTM Features eingesetzt wird und dieser auf der FortiGate registriert ist kann diese Registration anhand folgenden Befehls manipuliert werden:
 
        # diagnose endpoint registration ?
       
        summary                                    Summary of FortiClient registrations.
        list                                        List FortiClients.
        cmdb-list                                  List FortiClients stored in CMDB.
        block                                      Block a FortiClient from registering.
        unblock                                    Unblock a previously blocked FortiClient.
        deregister                                  Deregister a registered FortiClient.
        sync-peer-list                              List registration sync peers.
        force-peer-resync                          force to resync registration with all peers.
        keepalive-timestamp                        List KeepAlive timestamps.
        recalculate-registered-forticlients        Re-calculate number of registered forticlients.
        forticlient-licence-key-expiration-check    Check the FortiClient registration licence expiration date.
        ssl-session-timeout                        Set the SSL session timeout.
        skip-forticlient-system-update              Skip the system update upon receiving KeepAlive from FortiClient.
 
=== Was bedeutet im Client2Site VPN Bereich der Konfigurationspunkt "Split Tunneling"? ===
 
Im Client2Site VPN IPSec Bereich sowie im VPN-SSL Bereich existiert der Konfigurationspunkt "Split Tunneling". Dieser Konfigurationspunkt "Split Tunneling" steuert auf der Client Seite die Packet dh. welche Packet die vom Client aus abgesetzt werden in den VPN Tunnel sei es IPSec und/oder VPN-SSL gesendet werden. Gesteuert wird diese Funktion durch einen Routing Eintrag. Dieser kann und wird nur dann erstellt wenn der Client sei es IPSec und/oder VPN-SSL mit Administratoren Rechte installiert wurde. Wurde der VPN Client nicht mit diesen Rechten installiert so kann der entsprechende Eintrag nicht erstellt werden. Die Erstellung dieses Routing Eintrages geschieht nach der erfolgreichen Authentifizierung des Client und wird von der FortiGate durch den Tunnel an den Client gesendet (unter normalen Umständen). Dies kann auf einem Windows Client mit folgenden Kommando kontrolliert werden:
 
        route print
 
Wenn eine erfolgreiche Authentifizierung durchgeführt werden und der Route Eintrag erstellt wurde so muss unterschieden werden zwischen folgenden Möglichkeiten:
 
        '''Routing Eintrag wurde erstellt anhand eines IP Ranges zB 192.168.1.0/24'''
       
        Split Tunneling wurde aktiviert und nur Packete betreffend dem Subnet das auf der FortiGate konfiguriert
        wurde und im Routing definiert wurde, werden in den VPN Tunnel gesendet!
 
        '''Routing Eintrag wurde erstellt anhand 0.0.0.0'''
       
        Dieser Routing Eintrag kommt einem Default Gateway gleich dh. sämtliche Packete werden in den VPN Tunnel
        gesendet und somit ist das "Split Tunneling" deaktiviert!
 
        '''NOTE''' Das "Split Tunneling" zB des FortiClient wird in der Phase 1 resp. im "Client Wizard"
            definiert. Dies bedeutet wird "Split Tunneling" aktiviert "muss" ein entsprechendes
            Subnet definiert werden das unter normalen Umständen das LAN representiert! Das Gleiche
            gilt für SSL-VPN dh. das "Split Tunneling" wird im Portal definiert. Wobei ein "explizites"
            "Split Tunneling" auf Kommandozeile definiert wird. Nachfolgend die zwei Kommandos die
            für die Funktion/Definition benötigt werden:
           
            '''Fuer SSL-VPN Split Tunneling:'''
           
            # config firewall address
            # set name [Name des IPv 4 IP Pool zB "net-ip-pool-ssl-vpn-198.18.1.0-25"]
            # set type iprange
            # set visibility enable
            # set start-ip [198.18.1.1]
            # set end-ip [198.18.1.127]
            # next
            # set name [Name des IPv 4 LAN IP Range zB "net-lan-198.18.0.0-24"]
            # set type iprange
            # set visibility enable
            # set start-ip [198.18.0.1]
            # set end-ip [198.18.0.254]
            # end
            # end
           
            # config vpn ssl web portal
            # edit [Name des Profile zB "tunnel-acces-only"]
            # config widget
            # edit 4
            # set name Tunnel Mode
            # set type tunnel
            # set column two
            # set collapse disable
            # set split-tunneling enable
            # set ip-pools  [Bestehendes Objekt für die IP Pool IP Range zB "net-ip-pool-ssl-vpn-198.18.1.0-25"]
            # set split-tunneling-routing-address [Bestehendes Objekt das die LAN Adresse darstellt zB "net-lan-198.18.0.0-24"]
            # next
            # end
            # end
           
            '''Fuer IPSec Split Tunneling:'''
           
            # config vpn ipsec phase1-interface
            # edit [Name des Profile zB "fc-ipsec"]
            # set ipv4-start-ip 192.168.1.1
            # set ipv4-end-ip 192.168.1.254
            # set ipv4-netmask 255.255.255.0
            # set ipv4-split-include net-lan-198.18.0.0-24
            # end
 
=== Wie muss ich einen FortiClient im Zusammenhang mit einem Cluster (HA) lizensieren? ===
 
Wenn ein FortiGate Cluster (HA) betrieben wird sei es im Active-Passive und/oder Active-Active muss der FortiClient sei es 5.0 und/oder 5.2 auf jedem Node lizensiert werden. Dies bedeutet es müssen zwei Lizenzen erworben sowie registiert und auf jedem Cluster Node eingespielt werden. Im Gegensatz zu der FortiGate Hardware bietet Fortinet für FortiClient's im Cluster keine Spezial Konditionen. Dies bedeutet die FortiClient Lizenz muss anhand der Standard Konditionen für eine Standalone Device für jeden Node im Cluster erworben werden. Weitere Auskunft über Spezial Konditionen im Zusammenhang mit einem Cluster (HA) siehe nachfolgenden Artikel:
 
        [[Fortigate:FAQ#Gibt_es_f.C3.BCr_Cluster_.28Hardware_und.2Foder_Virtuell.29_Spezielle_Konditionen_bei_Fortinet.3F]]
 
=== Wie kann ich für einen FortiClient ein Deployment (Verteilung) über ein Windows AD anhand  "Group Policy" (GPO) durchführen? ===
 
Wenn ein FortiClient über ein Active Directory anhand der "Group Policy" verteilt (Deployment) werden soll kann dies anhand des MSI Files des FortiClient durchgeführt werden. Die Voraussetzungen um dies durchzuführen ist ein entsprechendes MSI File sowie eine event. entsprechende Konfigurtion. Dies bedeutet:
 
        [[FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F |Kann ich die Konfiguration des FortiClient "vorkonfigurieren" und zur Verfügung stellen (Distribution)?]]
        [[FortiClient:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F |Wie kann ich ein FortiClient Endpoint Security Software Package mit VPN (IPSec/SSL-VPN) only erstellen?]]
 
Sind diese zwei Vorraussetzungen gegeben zeigt der "FortiClient Administration Guide" in der jeweiligen Version unter folgendem Abschitt eine Schritt für Schritt Anleitung:
 
        Kapitel: Provisioning FortiClient > [[FortiClient:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F |Deploy FortiClient using Microsoft Active Directory (AD) server]]
 
=== Was muss ich berücksichtigen wenn ich einen FortiClient mit Two-Factor Authentication über E-Mail benutze? ===
 
Wenn ein FortiClient (5.2) eingesetzt wird und für die Verbindung auf der FortiGate eine Two-Factor Authentication über "E-Mail" konfiguriert wurde, ist während der Authentifizierung der Zugriff auf den E-Mail Account nicht möglich. Dies bedeutet: Sobald der FortiClient auf einem Client gestartet wird und eine Verbindung zu einer FortiGate durchgeführt sowie die Authentifizierung gestartet wird (Security Association Comunication), werden sämtliche Verbindungen in das Internet während des Authentifizierungs Vorgangs unterbunden. Somit kann die Two-Factor Authentifizierung nicht korrekt ausgeführt werden da der Zugriff auf den E-Mail Account für um die Two-Factor Authentication Informationen zu erhalten unterbunden ist. Um den Zugriff in das Internet während diesem Zeitpunkt zu erlauben, muss in der Konfiguration des FortiClients dies ermöglicht werden. Die zuständige Konfiguration muss im Konfig File resp. xml File, das sich im Installations Ordner des FortiClients auf dem entsprechenden Client befindet, anhand folgender Option durchgeführt werden:
 
        '''Suche im xml File folgende Position:'''
       
        <ipsecvpn>
            <connections>
                <connection>
                    <ike_settings>
                        <implied_SPDO>
       
        '''NOTE''' Die Position "<implied_SPDO>" ist per Standard auf "0" gesetzt was wiederum bedeutet das während der
            Authentifizierung der Zugriff auf das Internet unterbunden wird. Setze diese Option auf "1" was den
            Zugriff erlaubt:
           
            <implied_SPDO>1</implied_SPDO>
 
Nach der Aenderung muss der FortiClient beendet sowie neu gestartet werden damit die neue Konfiguration aktiv wird!
 
=== Wie kann ich für ein SSL-VPN (Tunnel Mode) ein Registry Check konfigurieren (Host Check)? ===
 
Weitere Informationen siehe nachfolgender Artikel:
 
        [[Fortigate:FAQ#Wie_kann_ich_f.C3.BCr_ein_SSL-VPN_.28Web_Mode.2FTunnel_Mode.29_ein_Registry_Check_konfigurieren_.28Host_Check.29.3F]]

Aktuelle Version vom 4. Juni 2024, 11:28 Uhr

FortiClient:FAQ

Vorwort

Diese FAQ's sind für Fortinet Systeme basierend auf OS 4 MR3 sowie 5.0/5.2. Zu Test-Zwecken stand eine Fortigate 60C/D zur Verfügung!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Dokumentation

Dokumente FortiClient Version 7.0

FortiOS 70.svg

FortiClient 7.0 Windows Release Notes
FortiClient 7.0 Linux Release Notes
FortiClient 7.0 macOS Release Notes
FortiClient Upgrade Pfad
FortiClient Admin Guide 7.0
FortiClient EMS Admin Guide 7.0
FortiClient IOS User Guide 7.0
FortiClient Configurator Tool
FortiClient Rebranding Tool
FortiClient Compliance Guide

Dokumente FortiClient Version 7.4

FortiOS 74.svg

Whats New?

Release Notes:

Administration:




FortiClient mit EMS

add 04.06.2024 - 4Tinu

FortiClient EMS

Gibt es die Möglichkeit FortiClient's Zentral über einen Server zu Verteilen/Verwalten?

Seit FortiOS 5.0 gibt es die Möglichkeit die FortiClients über die FortiGate zu verwalten. Dies bedeutet: Wird die Endpoint Security Version des FortiClient installiert dh. inkl. UTM Features können diese Clients über die FortiGate verwaltet werden anhand UTM Profiles etc. Für diese Art der Verwaltung der FortiClients über eine FortiGate stehen auf jedem Device "free of charge" Lizenzen zur Verfügung. Möchte man mehr FortiClients über eine FortiGate verwalten muss eine entsprechende "pre-pertual" Lizenz (Jährliche Erneuerung) erworben werden, die es ermöglicht eine max. Anzahl FortiClients auf dem jeweiligen Devices zu verwalten. Dies bedeutet: Es exitieren für FortiOS 5.0 sowie 5.2 keine User Lizenzen für die Devices sondern nur max. mögliche Lizenz für einen Device. Weitere Informationen betreffend dieser Möglichkeit und Lizenzen siehe nachfolgenden Artikel: 

       FortiClient:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F

Ende September 2015 hat Fortinet die Möglichkeit der Verwaltung der FortiClients erweitert dh. FortiClient-EMS (FortiClient Enterprise Management Server). Diese Möglichkeit basieret auf einem Windows Server 2012, 2012 R2 sowie 2008 R2 System über dieses die FortiClients verwaltet werden können. Dieses FortiClient-EMS System ist für grosse Umgebungen gedacht. Die Server Anforderungen sind wie folgt beschrieben: 

       Fortinet-1591.jpg

Die Möglichkeiten die das FortiClient-EMS System umfassen sind nachfolgend in einer Kurzübersicht augelistet (Initial Release 1.0.0): 

       - Remote Verteilung/Installation der Software des FortiClients auf Windows PC's
       - Updates von Profiles (Antivirus, WebFilter usw.) für die Endpoint User unabhängig der Lokation 
       - Verwaltung der Registration der FortiClients wie Registrierung, De-Registrierung sowie blocken einer Registrierung
       - Verwalten der Endpoints wie zB Status, System informationen und Signature Informationen
       - Verwalten der Versionen des FortiClient Endpoint Security

Der FortiClient-EMS unterstützt basierend auf "FortiClient 5.2.4" und höher die Verwaltung von Windows basierenden Systemen, MacOSx, Android sowie IOS Systeme. Der FortiClient-EMS Server wird User basierend lizensiert (Packete a 100 User). Dabei gilt 1 Registrierter User = 1 Lizenz. Es steht per Standard eine Trial Lizenz zur Verfügung. Dies bedeutet: Wird ein FortiClient-EMS System installiert so beinhaltet das Produkt eine Trial Lizenz für 60 Tage und 20'000 User. Nach Ablauf der 60 Tage reduziert sich die User Anzahl auf 10. Für eine Installation stehen nachfolgende Dokument zur Verfügung die Auskunft geben wie das Produkt installiert und konfiguriert wird:

EMS Client 1.0.x

Forti EMS Client Windows Release Notes
Forti EMS Client Chromebook Release Notes
Forti EMS Client Upgradepath
Forti EMS Client Quick Start Guide
Forti EMS Client Chromebook Quick Start Guide
Forti EMS Client Admin Guide
Forti EMS Client Chromebook Admin Guide

EMS Client 1.2.x

Forti EMS Client Windows Release Notes
Forti EMS Client Chromebook Release Notes
Forti EMS Client Upgradepath
Forti EMS Client Quick Start Guide
Forti EMS Client Chromebook Quick Start Guide
Forti EMS Client Admin Guide
Forti EMS Client Chromebook Admin Guide

EMS Client 6.0.x

Forti EMS Client Windows Release Notes
Forti EMS Client Upgradepath
Forti EMS Client Quick Start Guide
Forti EMS Client Admin Guide

Micro FortiGuard Server

Microsoft FortiGuard Server Release Notes
Microsoft FortiGuard Server Install Guide
Microsoft FortiGuard Server Admin Guide


Wie wird der EMS Server auf der FortiGate aktiviert?

FortiOS 64.svg FortiOS 70.svg

Der EMS Server muss auf der FortiGate in der Security Fabric konfiguriert werden. Dabei ist zu beachten, wenn die FortiGate mit VDOM betrieben wird, dass der Fabric Connector in GLOBAL konfiguriert wird:

Konfiguration auf der FortiGate:

Config webgui.png Konfiguration über das WebGui: FORTIGATE

Menu Security Fabric --> Fabric Connectors --> Create New --> FortiClient EMS auswählen 

Fortinet-2899.jpg
  • Name des EMS Servers angeben (wird so in der Fabric dann angezeigt)
  • IP Adresse des EMS Servers eingeben
  • Port angeben mit welcher die FortiGate zum EMS Server kommuniziert. Default ist tcp443. Beachte, wenn noch Firewalls dazwischen liegen, die Kommunikation freizuschalten.
  • Scnhronize firewall addresss aktivieren, damit die Objekte vom EMS Server auch auf der FortiGate verfügbar sind. (Dies spart das erfassen von Objekten auf der FortiGate und ist daher sehr nützlich)
Fortinet-2893.jpg

Nun kommt der Hinweis, dass die FortiGate auf dem EMS Server noch nicht autorisiert ist. Folgende Meldung kann weggeklickt werden: 

Fortinet-2900.jpg

Wir sehen dann beim Fabric Conector dass der EMS Server down ist. Dies wird behoben, nachdem auf dem EMS Server die FortiGate autorisiert wird. 

Fortinet-2901.jpg]]

Konfiguration auf dem EMS Server:

Config webgui.png Konfiguration über das WebGui: EMS Server

Loge dich nun auf dem EMS Server ein. Um die FortiGate zu sehen muss du über das Menu Administration --> Fabric Devices gehen: 

Fortinet-2894.jpg

Es erscheinen die FortiGates, welche diesen EMS Server als Connector konfiguriert haben: 

Fortinet-2895.jpg

Klicke auf das gelbe Fragezeichen um die FortiGate zu autorisieren. 

Fortinet-2896.jpg

Nun musst du wieder zurück auf die FortiGate gehen.

Konfiguration auf der FortiGate:

Config webgui.png Konfiguration über das WebGui: FORTIGATE

Gehe zurück zum EMS Connector, du bekommst diese Meldung am Rand. Bestätige diese mit aply: 

Fortinet-2897.jpg

Nun solltest du folgendes Bild vor dir haben: 

Fortinet-2898.jpg

Der Connector wird jetzt auch Grün angezeigt: 

Fortinet-2902.jpg


Wie kann ich ein Zertifikat vom EMS Server auf die FortiGate einlesen?

FortiOS 64.svg FortiOS 70.svg

Beim registrieren des EMS Servers kann es vorkommen, dass auf der FortiGate beim Zertifikat der Hinweis Not authorized erscheint. 

Fortinet-2903.jpg

Wenn man auf 'Autorize klickt kommt dann folgende Fehlermeldung: 

Fortinet-2900.jpg

Das bedeudet, die FortiGate hat nicht das Zertifikat des EMS Servers im Inventory und wir müssen es manuell in die FortiGate importieren. Um das Zertifikat zu erhalten müssen wir uns auf den den Windowsserver einloggen auf welchem der EMS Server installiert ist.

Config webgui.png Konfiguration Windows Server:

Die Zertifikate findet mann am einfachsten in dem man ein Eingabe Fenster öffnet. Gib dazu im Suchfeld CMD ein.

Wenn sich das schwarze Fenster geöffnet hat kannst du certlm eingeben und schon öffnet sich das Zertifikats Verwaltungs Center: 

Fortinet-2918.jpg

Nun muss das entpsprechende EMS Zertifikat gefunden werden. Daüf auf Vertrauenswürdige Stammzertifizierungsstelle --> Zertifikate Suche das FortiClient Enterprise Management Server Zertifikat 

Fortinet-2904.jpg

Rechtsklick auf das Zertifikat und zum Exportieren auf Alle Aufgaben --> Exportieren... klicken 

Fortinet-2905.jpg

Es öffnet sich der Export Wizard: 

Fortinet-2906.jpg

Wähle Base-64-codiert X.509(.CER) aus: 

Fortinet-2907.jpg

Gib an wohin das Zertifikat exportiert werden soll. Der Pfad muss von der FortiGate aus erreichbar sein. 

Fortinet-2908.jpg

Nun kannst du mit Fertig stellen den Export abschliessen 

Fortinet-2909.jpg

Fortinet-2910.jpg

Zertifikat auf die FortiGate imporiteren:
Loge dich auf die FortiGate ein.

Config webgui.png Konfiguration über das WebGui:

Damit ein Zertifikat impotiert werden kann, muss im WebGui das Feature erst noch aktiviert werden. Gehe dafür über das Menu System --> Feature Visibility und aktiviere das Feature Certificates 

Fortinet-2911.jpg

Nun wird das Zertifikat importiert. Dafür auf das Menu System-->Certificates und dann auf Import 

Fortinet-2912.jpg

Wähle CA Certificate aus 

Fortinet-2913.jpg

Wechsle beim Type auf File und gib den Pfad bei Upload an wo das Zertifikat abgelegt ist. (Datei welche du vorher vom Server exportiert hast). Mit OK wird der Import abgeschlossen. 

Fortinet-2914.jpg

In der Zertifikat übersicht findest du jetzt das importierte Zertifikat: 

Fortinet-2915.jpg

Jetzt kann mann wieder auf dem EMS Connector auf Authorize klicken. 

Fortinet-2919.jpg

Wenn das Zertifikat erfolgreich importiert wurde sollte folgende Meldung erschein: 

Fortinet-2897.jpg

Mit Accept bestätigen und der Fehler ist behoben. 

Fortinet-2898.jpg

Was tun wen das EMS-Zertifikat nicht mehr vertrauenswürdig mit der FortClient EMS Cloud ist?

In diesem Artikel beschreiben wir den Fall, in dem das Serverzertifikat für die FortiClient EMS Cloud-Instanz erneuert werden muss. Dabei wirst du als Administrator eine Warnmeldung auf der FortiGate erhalten, sobald das Zertifikat abläuft. Du wirst auch über Email vom FortiEMS Cloud Portal vor Informiert.

Notifikation im WegGui auf der FortiGate: 

Fortinet-3321.jpg

Fortinet-3320.jpg

Email Information von der FortiCloud: 

Fortinet-3325.jpg

Wie bereits in der obenstehenden Warnmeldung angezeigt, steht die Neuautorisation des FortiGate an. Allerdings könnte dieses Vorhaben aufgrund eines zwischengespeicherten Zertifikatseintrags auf der FortiGate fehlschlagen. Genauer gesagt, könnte es zu folgendem Fehler kommen: "Zertifikatseintrag auf dem FortiGate fehlschlagen".

Wenn die erneute Autorisierung über die CLI erfolgt, kann der folgende Fehler auftreten:

Config cli.png Konfiguration über die CLI: 
 
# execute fctems verify 1
Error in requesting EMS fabric connection: -4
issue in getting capabilities. Server certificate does not match previously configured EMS certificate.
Error (-1@_get_capabilities:439).

Command fail. Return code -9999

Mit dem CLI Befehl execute fctems unverify [EMS ID] kann die Bestätigung des EMS Servers aufgehoben werden
Um die ID zu erfahren kann mit dem Fragezeichen die LIste der eingetragenen EMS Dienste abgerufen werden: 

 
# execute fctems unverify ? 
1 (EMS-FortiCloud-Also)
2 (EMS-msalem-lab-srv2019-0003)
3 ()
4 ()
5 ()
6 ()
7 ()

In unserem Fall ist dies die ID 1 

 
# execute fctems unverify 1
FortiClient EMS certificate successfully unverified.

Nun kann der EMS Server im WebGui wieder authentifiziert werden über den Authorifizierungs Button.

Config webgui.png Konfiguration über das WebGui:

Menu Security Fabric -> Fabric Connectors -> FortiClient EMS -> edit Im Fenster müsste ein Hinweis für das neue gültige Zertifikat kommen. Dieses gilt es zu bestätigen indem der Button Accept angewählt wird. 

Fortinet-3322.jpg

Als ich dies durchgeführt habe ist folgende Meldung im Status danach erschienen: 

Fortinet-3323.jpg

Ich habe dann das Menu neu geladen, dannach war die Verbindung grün und auf connectet 

Fortinet-3324.jpg

add 04.09.2023 - 4Tinu

Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=FortiClient:FAQ&oldid=38615