FortiClient:FAQ

Aus Fortinet Wiki
Version vom 17. Juli 2014, 15:15 Uhr von Solivaan (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „FortiClient:FAQ Category:Fortinet __TOC__ == Vorwort == Diese FAQ's sind für Fortinet Systeme basierend auf OS 4 MR3 sowie 5.0/5.2. Zu Test-Zwecken st…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

FortiClient:FAQ

Vorwort

Diese FAQ's sind für Fortinet Systeme basierend auf OS 4 MR3 sowie 5.0/5.2. Zu Test-Zwecken stand eine Fortigate 60C/D zur Verfügung!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                    COMCEPT NET SWITZERLAND.                       *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
 schriftliche Zustimmung von der ComCept Net gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

FortiClient

Welche Versionen von FortiClient gibt es und wie unterscheiden sich diese?

Der Forticlient ist die Software basierende Lösung von Fortinet für Client2Site VPN. Dabei unterscheiden wir:

       FortiOS V4.0 MR3
       
       Forticlient Lite         SSL VPN; Kostenlos
       Forticlient              SSL VPN; IPSec; Kostenlos (Siehe nachfolgende Tabelle)
       Forticlient Premium      SSL VPN; IPSec (Siehe nachfolgende Tabelle)
       
       Datei:Fortinet-67.jpg

Eine weitere Uebersicht im Gesamten bietet folgende Tabelle:

       Datei:Fortinet-329.jpg

Für FortiOS 5.0 gilt folgendes:

       FortiOS V5.0
       
       Grundsätzlich kann jede Variante des Client eingesetzt werden "free of charge". Die Limitierung umfasst
       den "manageable" Client (Früher Premium) dh. der Antivirus, IPS etc. umfasst. Dieser Client der nun neu
       "FortiClient Endpoint Security" heiss kann auf jedem Device mit max. 10 User eingesetzt werden Benötigt 
       man mehr User Verbindungen muss eine einmalige Lizenz gekauft werden (None Stackable):
       
       Fortinet-335.jpg
       
       Der FortiClient FortiOS 5.0 verfügt über folgende Features (Uebersicht der vers. Betriebssysteme):
       
       Fortinet-811.jpg

Für FortiOS 5.2 gilt folgendes:

       FortiOS V5.2
       
       Grundsätzlich kann jede Variante des Client eingesetzt werden "free of charge". Die Limitierung umfasst
       den "manageable" Client (Früher Premium) dh. einzelne UTM Features etc. umfasst. Dieser Client der nun neu
       "FortiClient Endpoint Security" heiss kann auf jedem Device mit max. 10 User eingesetzt werden Benötigt 
       man mehr User Verbindungen muss eine einmalige Lizenz gekauft werden (None Stackable):
       
       Fortinet-1098.jpg
       
       Der FortiClient FortiOS 5.2 verfügt über folgende Features:
       
       Fortinet-1099.jpg

Nachfolgend ein FAQ Dokument das Aufschluss gibt über verschiedene Fragen:

       Datei:FortiClient 5.0 FAQ.pdf
       Datei:FortiClient 5.2 FAQ.pdf
       
       Nachfolgend eine Präsentation die auf die verschiedenen Features eingeht sowie die Unteschiede aufzeigt
       zwischen V4.3 sowie der neuen V5.0:
       
       Datei:FortiClient-V5-R5.pptx
       Datei:FortiClient-5.0.5-Sales Presentation.pptx
       
       Nachfolgend ein FortiClient v5.0 Upgrade Guide den es sich lohnt reinzuschauen:
       
       Datei:FortiClient-5.0-Upgrade-Guide.pdf
       
       Die Software des "FortiClient Endpoint Security" kann über folgende Seite für die vers. Betriebssystem
       wie Windows, MacOSx, IOS, Android runtergeladen werden:
       
       http://www.forticlient.com

Um welche Version des FortiClient handelt es sich wenn ich diesen über das Mgmt. Web Interface der FortiGate runterlade?

Wenn man unter FortiOS 5.0.5 oder höher (ink.. 5.2) den FortiGuard Service aktiviert resp. dieser erreichbar ist, kann der FortiClient über das Dashboard der FortiGate direkt runtergeladen werden:

       System > Dashboard > Status > License Information > FortiClient Software > [Wähle Mac und/oder Windows)

Diese Version ist eine Online Version und wird direkt aus dem FortiDistribution Service geladen. Sprich die Version die hier geladen wird ist basierend auf dem "FortiClientOnlineInstaller". Dies bedeutet der "FortiClientOnlineInstaller" ist ein .exe File das benutzt wird um das effektive Package aus der Cloud (Fortinet Distribution Service) runterzuladen. Dieses Package das runtergeladen wird steht als Ganzes nicht zur Verfügung und kann nur über den "FortiClientOnlineInstaller" runtergeladen werden (ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.7/):

         NOTE Dieser Link ist nicht direkt zugänglich dh. um zu diesen Links zu gelangen logge dich auf
              https://support.fortinet.com ein und wähle im unteren Bereich "Firmware Images". Danach im 
              Scrollbalken wähle "FortiClient" danach gehe auf den "Download Button". Nun wähle das entsprechende
              Betriebssystem zB "Windows" usw.

Sieht man sich die Release Notes zB der Version 5.0.7/5.2 genauer an so fällt einem folgendes auf:

       In den Release Notes wird folgendes File beschrieben:
       
       • FortiClientOnlineInstaller_5.0.7.0333: Minimal installer for 32-bit and 64-bit Windows. This
         file downloads and installs the latest FortiClient file from the public FDS.
       
       • FortiClientOnlineInstaller_5.2.0.0591: Minimal installer for 32bit and and 64-bit Windows.

Dabei handelt es sich genau um das File das über den FortiDistribution Service. Bei diesem File handelt es sich um ein "Minimal installer" oder besser gesagt "VPN only" Installation File. Nichts desto trotz empfehlen wir die übliche Vorgehensweise für die Installation dh. manueller Download über offizielle Download Seite (Login wird benötigt):

       https://support.fortinet.com/Download/FirmwareImages.aspx 
         FortiOS 5.0
       • FortiClientSetup_5.0.7.0333.exe: Standard installer for 32-bit Windows.
       • FortiClientSetup_5.0.7.0333.zip: A zip package containing FortiClient.msi and language
         transforms for 32-bit Windows. Some properties of the MSI package can be customized
         with FortiClient Configurator tool.
         
       • FortiClientSetup_5.0.7.0333_x64.exe: Standard installer for 64-bit Windows.
       • FortiClientSetup_5.0.7.0333_x64.zip: A zip package containing FortiClient.msi and language
         transforms for 64-bit Windows. Some properties of the MSI package can be customized
         with FortiClient Configurator tool.
         
       • FortiClientTools_5.0.7.0333.zip: A zip package containing miscellaneous tools including the
         FortiClient Configurator tool and VPN Automation files.
         FortiOS 5.2
       • FortiClientSetup_5.2.0.0591.exe : Standard installer for Microsoft Windows (32-bit).
       
       • FortiClientSetup_5.2.0.0591.zip : A zip package containing FortiClient.msi and language transforms for Microsoft Windows
         (32-bit). Some properties of the MSI package can be customized with FortiClient Configurator tool.
       
       • FortiClientSetup_5.2.0.0591_x64.exe: Standard installer for Microsoft Windows (64-bit).
       
       • FortiClientSetup_5.2.0.0591_x64.zip: A zip package containing FortiClient.msi and language transforms for Microsoft Windows
         (64-bit). Some properties of the MSI package can be customized with FortiClient Configurator tool.
       
       • FortiClientTools_5.2.0.0591.zip: A zip package containing miscellaneous tools including the FortiClient Configurator tool and
         VPN Automation files.
       
         NOTE Neu kann der FortiClient 5.2 im Setup als "VPN-Only" ausgeführt werden dies bedeutet wenn "VPN-Only" benötigt
              wird unter FortiClient 5.2 kann dies direkt über das "Setup" bewerkstelligt werden. Somit muss der FortiClient
              5.2 für "VPN-Only" nicht mehr anhand der Licens Packetiert werden. Im Setup stehen zwei Optionen zur Verfügung: 
              
              - Alle Endpoint Security und VPN Komponenten werden installiert
              - VPN Only wird installiert (IPSec/SSL)

Soll der FortiClient 5.0.x sowie 5.2 dennoch Packetiert werden kann dies anhand des Packets "FortiClientTools" durchgeführt werden. Weitere Informationen siehe nachfolgenden Artikel:

       Fortigate:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F

Nachträglich kann der Client sofern gewünscht anhand des folgenden Artikels "customized" werden:

       Fortigate:FAQ#Kann_ich_die_Konfiguration_des_FortiClient_.22vorkonfigurieren.22_und_zur_Verf.C3.BCgung_stellen_.28Distribution.29.3F

Danach kann dem Enduser ein vollständiges File zur Verfügung gestellt werden, dass dieser manuell installieren kann oder über GroupPolicy verteilen kann.

Wie wird ein Client2Site IPSec VPN unter FortiOS 5.0 konfiguriert für FortiClient, iOS und Android?

Unter FortiOS 5.0 werden Verbindungen basierend auf Client2Site IPSec VPN anhand eines "VPN Wizard's" erstellt/konfiguriert. Im "VPN Wizard's" hat man die Möglichkeit die Art der Verbindung (Device zB iOS, Android) zu wählen. Die Vorgehensweise der Konfiguration ist für jede Art einer Verbindung sei es iOS und/oder Android etc. die Gleiche. Für unser Beispiel unter FortiOS 5.0 gehen wir von folgender Situation aus:

                         ____________                  _________________________
       193.193.135.66/29|            | 192.168.1.99   |                         |
       ----- WAN 1 -----|  Fortigate |------ LAN -----| LAN Env. 192.168.1.0/24 |
                        |____________|                |_________________________|
       Erstellung eines User's
       
       User & Device > User > User Definition > Create New
       
       Fortinet-1199.jpg
       
       Fortinet-1200.jpg
       
       Fortinet-1201.jpg
       
       Fortinet-1202.jpg
       
       Fortinet-1203.jpg
       Erstellung einer Gruppe und hinzufügen des User's
       
       User & Device > User > User Groups > Create New
       
       Fortinet-1204.jpg
       
       Fortinet-1205.jpg
       Erstellung eines Adress Objekt's für IP-Pool
       
       Policy & Objects > Adresses > Addresses > Create New
       
       Fortinet-1218.jpg
       
       Fortinet-1219.jpg
       
       NOTE Der IP-Pool Range stellt ein DHCP Server dar. Nach erfolgreicher Authentifizierung des IPSec VPN Client's
            wird diesem eine IP Adresse aus diesem Range zugewiesen!
       Erstellung eines Adress Objekt's für Internal/LAN
       
       Policy & Objects > Adresses > Addresses > Create New
       
       Fortinet-1218.jpg
       
       Fortinet-1220.jpg
       Erstellung Phase-1/2 FortiClient Windows
       
       VPN > IPSec > Auto Key (IKE) > Create VPN Wizard
       
       Fortinet-1221.jpg
       
       NOTE Der vergebene Name der Verbindung steht im Zusammenhang mit den möglichen gleichzeitigen IPSec VPN Tunnel. Es wird
            empfohlen nicht mehr als 12 Zeichen zu benutzen (100 gleichzeitige IPSec VPN Tunnel). Mehr detailierte Informationen
            dazu siehe nachfolgender Artikel:
            
            Fortigate:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F
       
       Fortinet-1222.jpg
       
       Fortinet-1223.jpg
       
       Fortinet-1224.jpg
       
       NOTE Im normal Fall ist der Punkt "Split Tunneling" zu definieren denn wenn dies nicht durchgeführt wird gilt bei einer
            erfolgreichen IPSec VPN Verbindung, dass sämtlicher Traffic durch den Tunnel geroutet wird. Deshalb sollte die Split 
            Tunneling Funktion aktiviert werden ausser aus Security Gründen wird darauf verzichtet. Weitere Informationen dazu
            siehe nachfolgenden Artikel:
            
            Fortigate:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F
       
       Fortinet-1225.jpg
       Erstellung einer Firewall Policy Incoming
       
       Policy > Policy > Policy > Create New
       
       Fortinet-1226.jpg
       
       Fortinet-1227.jpg
       
       Datei:Fortinet-1228.jpg
       
       NOTE In der Firewall Policy sollte die Position "NAT" (Source NAT) nicht aktiviert werden "Use Destination Interface Address". 
            Der IP-Pool der definiert wird in der Phase-1 muss -wenn NAT deaktiviert ist- im internen Netz geroutet werden. Ist dies 
            nicht der Fall kommt zwar die  Verbindung zu stande, jedoch der FortiClient kann keine Resource angehen da dieser IP-Pool 
            (DHCP) -aus dem der FortiClient eine Adresse bezieht- nicht im Internal/LAN geroutet ist. Wird "NAT" aktiviert wird 
            "sämtlicher" Traffic betreffend Source des FortiClientj's translated auf die IP des Internen Interface's (unser Beispiel 
            die Destination). Somit kann der einzelne FortiClient mit der ihm zugewiesene IP nicht mehr einzel identifiziert werden 
            da alle FortiClient's als Source die gleiche IP ausweisen.
       Erstellung einer Firewall Policy Outgoing
       
       Policy > Policy > Policy > Create New
       
       NOTE Diese Firewall Policy Rule für Outgoing ist "optional". Dies bedeutet: Diese Firewall Policy Rule wird Hauptsächlich benutzt
            um Support auf dem FortiClient zu leisten. Dies bedeutet: Ist die IP des FortiClient -die dem FortiClient über den definierten
            IP-Pool zugewiesen wurde- kann anhand dieser Outgoing Firewall Policy auf den FortiClient zB über RDP zugegriffen werden!
       
       Fortinet-1226.jpg
       
       Fortinet-1229.jpg
       Konfigurieren des Routings für IP-Pool
       
       Router > Static > Static Routes > Create New
       
       Fortinet-1230.jpg
       
       Fortinet-1231.jpg

Die Konfiguration ist abgeschlossen! Nun muss nur noch der entsprechende FortiClient installiert werden. Dieser sollte als "VPN-Only" installiert werden. In dieser Installation enthält diese Installation "nur" VPN Funktionalität dh. IPSec und/oder SSL-VPN. Weitere Informationen über "VPN-Onl" Installation sowie "SSL-VPN" siehe nachfolgenden Artikel:

       Fortigate:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F
       Fortigate:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.0_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F

Die IPSec VPN Verbindung eines FortiClient basiert ebenfalls IKE Phase-1/2. Aus diesem Grund kann bei Problemen der gleiche Debug Mode benutzt werden wie für eine IPSec Tunnel:

       Fortigate:FAQ#Wie_kann_ich_f.C3.BCr_ein_IPSec_VPN_f.C3.BCr_Phase-1_und.2Foder_2_ein_Debugging_ausf.C3.BChren.3F

Wenn der FortiClient nach erfolgreicher Anmeldung bestimmte Resourcen nicht erreichen kann ist es Sinnvoll diese Probleme anhand des Sniffer's zu überprüfen. Weitere Informationen zum "Sniffer" Mode siehe nachfolgenden Artikel:

       Fortigate:FAQ#Wie_benutze_ich_das_Sniffer_Kommando_.22diagnose_sniffer_packet.22.3F

Wie wird ein Client2Site IPSec VPN unter FortiOS 5.2 konfiguriert für FortiClient, iOS und Android?

Unter FortiOS 5.2 werden Verbindungen basierend auf Client2Site IPSec VPN anhand eines "VPN Wizard's" erstellt/konfiguriert. Im "VPN Wizard's" hat man die Möglichkeit die Art der Verbindung (Device zB iOS, Android) anhand von "Template's" (Vorlagen) zu wählen. Die Vorgehensweise der Konfiguration ist für jede Art einer Verbindung sei es iOS und/oder Android etc. die Gleiche. Für unser Beispiel unter FortiOS 5.2 gehen wir von folgender Situation aus:

                         ____________                  _________________________
       193.193.135.66/29|            | 192.168.1.99   |                         |
       ----- WAN 1 -----|  Fortigate |------ LAN -----| LAN Env. 192.168.1.0/24 |
                        |____________|                |_________________________|
       Erstellung eines User's
       
       User & Device > User > User Definition > Create New
       
       Fortinet-1199.jpg
       
       Fortinet-1200.jpg
       
       Fortinet-1201.jpg
       
       Fortinet-1202.jpg
       
       Fortinet-1203.jpg
       Erstellung einer Gruppe und hinzufügen des User's
       
       User & Device > User > User Groups > Create New
       
       Fortinet-1204.jpg
       
       Fortinet-1205.jpg
       Erstellung eines Adress Objekt's für IP-Pool
       
       NOTE Durch den Gebrauch des Wizards resp. des Template's im Hintergrund, wird ein entsprechendes IP-Pool
            Objekt automatisch erfasst das nachträglich unter folgender Position ersichtlich ist:
            
            Policy & Objects > Objects > Adresses > [Name der Phase-1/2_range]
       Erstellung eines Adress Objekt's für Internal/LAN
       
       Policy & Objects > Objects > Adresses
       
       Fortinet-1206.jpg
       
       Fortinet-1208.jpg
       Erstellung Phase-1/2 FortiClient Windows
       
       VPN > IPSec > Tunnels > Create New
       
       Fortinet-1209.jpg
       
       NOTE Die Meldung unter Name die in unserem Fall erscheint "10000 concurrent user(s)...." steht in Zusammenhang
            mit der Art und Weise wie im Hintergrund jeder Tunnel in der Phase-1/2 abgebildet wird dh. weitere Informationen
            dazu siehe nachfolgenden Artikel:
            
            Fortigate:FAQ#Spielt_die_Zeichenanzahl_des_Namens_f.C3.BCr_ein_IPSec_in_der_Phase-1_und.2Foder_2_eine_Rolle.3F
       
       Fortinet-1210.jpg
       
       NOTE Im normal Fall ist der Punkt "Split Tunneling" zu definieren denn wenn dies nicht durchgeführt wird gilt bei einer
            erfolgreichen IPSec VPN Verbindung, dass sämtlicher Traffic durch den Tunnel geroutet wird. Deshalb sollte die Split 
            Tunneling Funktion aktiviert werden ausser aus Security Gründen wird darauf verzichtet. Weitere Informationen dazu
            siehe nachfolgenden Artikel:
            
            Fortigate:FAQ#Was_bedeutet_im_Client2Site_VPN_Bereich_der_Konfigurationspunkt_.22Split_Tunneling.22.3F
       
       Fortinet-1211.jpg
       
       Fortinet-1212.jpg
       
       Fortinet-1213.jpg
       Erstellung einer Firewall Policy Incoming
       
       Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Rule]
       
       NOTE Durch den Gebrauch des Wizards resp. des Template's im Hintergrund, wird eine entsprechende Firewall Policy
            automatisch konfiguriert. Diese sollte dementsprechend modifiziert/kontrolliert werden!
       
       Fortinet-1214.jpg
       
       Fortinet-1215.jpg
       
       NOTE In der Firewall Policy wir die Position "NAT" (Source NAT) aktiviert auf "Use Destination Interface Address". Dies 
            sollte deaktiviert werden. Die Position "NAT" wird durch den Wizard resp. das Template aktiviert aus folgenden Grund: 
            Der IP-Pool der definiert wird in der Phase-1 muss -wenn NAT deaktiviert ist- im internen Netz geroutet werden. Ist dies 
            nicht der Fall kommt zwar die  Verbindung zu stande, jedoch der FortiClient kann keine Resource angehen da dieser IP-Pool 
            (DHCP) -aus dem der FortiClient eine Adresse bezieht- nicht im Internal/LAN geroutet ist. Wird "NAT" aktiviert wird 
            "sämtlicher" Traffic betreffend Source des FortiClientj's translated auf die IP des Internen Interface's (unser Beispiel 
            die Destination). Somit kann der einzelne FortiClient mit der ihm zugewiesene IP nicht mehr einzel identifiziert werden 
            da alle FortiClient's als Source die gleiche IP ausweisen.
       Erstellung einer Firewall Policy Outgoing
       
       Policy & Objects > Policy > IPv4 > Create New
       
       NOTE Diese Firewall Policy Rule für Outgoing ist "optional". Dies bedeutet: Diese Firewall Policy Rule wird Hauptsächlich benutzt
            um Support auf dem FortiClient zu leisten. Dies bedeutet: Ist die IP des FortiClient -die dem FortiClient über den definierten
            IP-Pool zugewiesen wurde- kann anhand dieser Outgoing Firewall Policy auf den FortiClient zB über RDP zugegriffen werden!
               
       Fortinet-1216.jpg
       
       Fortinet-1217.jpg
       Konfigurieren des Routings für IP-Pool
       
       Router > Static > Static Routes > Create New
       
       Fortinet-1230.jpg
       
       Fortinet-1231.jpg

Die Konfiguration ist abgeschlossen! Nun muss nur noch der entsprechende FortiClient installiert werden. Dieser sollte als "VPN-Only" installiert werden. In dieser Installation enthält diese Installation "nur" VPN Funktionalität dh. IPSec und/oder SSL-VPN. Weitere Informationen über "VPN-Onl" Installation sowie "SSL-VPN" siehe nachfolgenden Artikel:

       Fortigate:FAQ#Wie_kann_ich_ein_FortiClient_Endpoint_Security_Software_Package_mit_VPN_.28IPSec.2FSSL-VPN.29_only_erstellen.3F
       Fortigate:FAQ#Wie_konfiguriere_ich_unter_FortiOS_5.2_ein_SSL-VPN_Portal.2FTunnel_auf_einer_Fortigate.3F

Die IPSec VPN Verbindung eines FortiClient basiert ebenfalls IKE Phase-1/2. Aus diesem Grund kann bei Problemen der gleiche Debug Mode benutzt werden wie für eine IPSec Tunnel:

       Fortigate:FAQ#Wie_kann_ich_f.C3.BCr_ein_IPSec_VPN_f.C3.BCr_Phase-1_und.2Foder_2_ein_Debugging_ausf.C3.BChren.3F

Wenn der FortiClient nach erfolgreicher Anmeldung bestimmte Resourcen nicht erreichen kann ist es Sinnvoll diese Probleme anhand des Sniffer's zu überprüfen. Weitere Informationen zum "Sniffer" Mode siehe nachfolgenden Artikel:

       Fortigate:FAQ#Wie_benutze_ich_das_Sniffer_Kommando_.22diagnose_sniffer_packet.22.3F

Kann ich die Konfiguration des FortiClient "vorkonfigurieren" und zur Verfügung stellen (Distribution)?

Dies ist möglich und wird anhand eines "xml" Files durchgeführt. Dieses "xml" File kann über die FortiGate zur Verfügung gestellt werden (bis 100D 10 User inkl.; zusätzliche User müssen lizensiert werden). Nachfolgendes Dokument gibt Ausfkunft über die vers. Konfigurations Möglichkeiten im diesem "xml" File:

       Datei:Forticlient-xml-ref-50.pdf
       Datei:Forticlient-xml-ref-504.pdf
       Datei:Forticlient-xml-ref-505.pdf
       Datei:Forticlient-xml-ref-506.pdf
       Datei:Forticlient-xml-ref-507.pdf

Nachfolgend die "Administration Guide" des FortiClient für FortiOS 5.0/5.2:

       FortiOS 5.0
       Datei:Forticlient-admin-503.pdf           (Für Windows und Mac OSX)
       Datei:Forticlient-admin-505.pdf           (Für Windows und Mac OSX)
       Datei:Forticlient-admin-506.pdf           (Für Windows und Mac OSX)
       Datei:Forticlient-admin-507.pdf           (Für Windows und Mac OSX)
       FortiOS 5.2
       Datei:Forticlient-admin-520.pdf           (Für Windows und Mac OSX)

Wie aktiviere ich eine FortiClient Endpoint Security License (License File)?

Wenn man eine FortiClient Endpoint Security License ordered (Abhängig von der Art des Devices resp. Grösse) wird ein License Zertificat zugestellt (File). Diese Licesne Zertifikat beinhaltet einen "Activation Code" und sieht folgendermassen aus:

       Fortinet-845.jpg
       
       NOTE Informationen betreffend den Versionen des FortiClient Endpoint Security (FortiOS 5) und dessen
            Lizenzen findet man unter folgenden Artikel:
            
            Fortigate:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F

Dieser Activation Code muss auf der entsprechenden FortiGate unter folgender Position eingegeben werden:

       - Erstelle eine Verbindung auf das Mgmt. Gui der entsprechenden FortiGate.
       - Unter folgender Position (FortiOS 5.0.2 oder höher) gebe den entsprechenden Activation Code ein:
         
         System > Dashboard > Status > License Information
         
         Fortinet-846.jpg
         
         NOTE Die FortiGate auf der der Activation Code eingegeben wird MUSS über Internet Verbindung resp. 
              Verbindung (Port 53 oder 8888) in die FortiCloud verfügen da in der FortiCloud eine Verfizierung
              des Activation Code durchgeführt wird!
       
       - Nach der erfolgreichen Aktivierung kann das entsprechende License File über den Support Account in der
         die FortiGate mit Ihrer Serien Nummer registriert ist heruntergeladen werden. Logge dich zu diesem Zweck
         im entsprechenden Support Account ein und wähle Menüpunkt "Manage/View Products". Danach wähle den 
         entsprechenden Device (Serien Nummer) und nun kann das License File heruntergeladen werden!

Wie kann ich ein FortiClient Endpoint Security Software Package mit VPN (IPSec/SSL-VPN) only erstellen?

Unter FortiOS 5.0 ist der FortiClient Endpoint Security ein Software Package das etliche Funktionen enthält dh. IPSec, SSL-VPN, Antivirus, Firewall, URL WebFilter, IPS usw. Möchte man den FortiClient Endpoint Security mit den Funktionen im Gesamten dh. Antivirus, Firewall usw. nutzen, muss dieser Lizensiert werden (10 User free) da dieser FortiClient Endpoint Security mit seinen Funktionen über die FortiGate verwaltet wird. Zusätzliche User müssen lizensiert werden. Weitere Informationen dazu siehe folgender Artikel Abschnitt FortiOS 5:

      Fortigate:FAQ#Welche_Versionen_von_FortiClient_gibt_es_und_wie_unterscheiden_sich_diese.3F

Möchte man nun diesen FortiClient Endpoint Security zwar nutzen jedoch "nur" mit seiner IPSec und/oder VPN-SSL Funktion kann zwar das "orginale" Package installiert werden um nachträglich alle anderen Features zu deaktivieren, jedoch ist das nicht ein zu empfehlender/gangbarer Weg. Somit steht man vor der Aufgabe das orginale Software Package so zu manipulieren das Schlussendlich nur noch die gewünschten Funktionen für eine Installation zur Verfügung stehen dh IPSec und/oder VPN-SSL. Dieses beiden Funktionen IPSec und/oder VPN-SSL müssen nicht lizensiert werden und stehen ohne Limitierunge vollumfänglich auf einer FortiGate zur Verfügung. Um das orginale Software Package zu modifizieren kann folgendes durchgeführt werden:

      NOTE Neu kann der FortiClient 5.2 im Setup als "VPN-Only" ausgeführt werden dies bedeutet wenn "VPN-Only" benötigt
           wird unter FortiClient 5.2 kann dies direkt über das "Setup" bewerkstelligt werden. Somit muss der FortiClient
           5.2 für "VPN-Only" nicht mehr anhand der Licens Packetiert werden. Im Setup stehen zwei Optionen zur Verfügung: 
           
           - Alle Endpoint Security und VPN Komponenten werden installiert
           - VPN Only wird installiert (IPSec/SSL)
           
           Soll der FortiClient dennoch anhand des Packages "FortiClientTools" Packetiert werden so muss man berücksichtigen,
           das die FortiOS 5.0 License - die für das Packetierung nötig ist - nicht mehr gültig ist. 
       • Freeware Tool für Packetierung zB Orca (Funktioniert ohne Lizenz eines FortiClient Endpoint Security)
       • FortiClientTools für die Packetierung (Funktioniert nur mit einer entsprechenden Lizenz)
       Freeware Tool "Orca" (MSI Table Editor)
       
       - Lade das Tool "Orca" von folgenden Link herunter: http://www.softpedia.com/get/Authoring-tools/Setup-creators/Orca.shtml
       
       - Danach installiere "Orca.msi" (Typical) und starte das Tool!
       
       - Lade die entsprechenden orginal FortiClient Endpoint Security Package herunter (Beispiel: Link FortiClient Endpoint Security 5.0.5):
       
         ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5/FortiClientSetup_5.0.5.0308_x64.zip
         ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5/FortiClientSetup_5.0.5.0308.zip
         
         NOTE Diese Links sind nicht mehr direkt zugänglich dh. um zu diesen Links zu gelangen logge dich auf
              https://support.fortinet.com ein und wähle im unteren Bereich "Firmware Images". Danach im 
              Scrollbalken wähle "FortiClient" danach gehe auf den "Download Button". Nun wähle das entsprechende
              Betriebssystem zB "Windows" usw.
       
       - Entpacke nun die zip Files in ein temporaeres Verzeichnis zB C:\tmp.
       
       - Wähle im Orca Tool "File > Open" und wähle das temporaere Verzeichnis C\tmp resp. das File "FortiClient.msi" (32bit Version). 
         Dieses befindet sich im Verzeichnis C:\tmp\FortiClientSetup_5.0.5.0308 (32bit Version).
       
       - Auf der rechten Seite werden nun im Orca Tool die Tables aufgelistet. Suche die Position "FeatureComponents".
       
       - Wenn die Position "FeatureComponents" angewählt wird so werden die dazugehörigen Features auf der rechten Seite aufgelistet.
       
       - Lösche nun alle Features/Zeilen ausser: "Feature_Basic, Feature_VPN und Feature_SSLVPN"
       
       - Danach gehe auf "save" und das Packet resp. das File "FortiClient.msi" kann nur anhand einer Installation getestet werden!
       FortiClientTools
       
       - Vorraussetzung für diesen Vorgang ist eine FortiClient Endpoint Security "License File" (zB für Devices bis 90D ALSO Art. Nr. 16503101E)! Nähere Informationen dazu siehe Artikel:
         
         Fortigate:FAQ#Wie_aktiviere_ich_eine_FortiClient_Endpoint_Security_License_.28License_File.29.3F
         
       - Im Downloadverzeichnis des jeweiligen FortiClient zB "ftp://support.fortinet.com/FortiClient/Windows/v5.00/5.0/5.0.5" steht ebenfalls
         das Tool "FortiClientTools_5.0.5.0308.zip" zur Verfügung. Dieses Package enthält die nötigen Tools sowie die nötige Dokumentation um
         ein entsprechendes Package zu erstellen. Um das FortiClientTool zu benützen muss jedoch eine Lizenz für FortiClient Endpoint Security
         erworben werden. Das entsprechende Lizenz File muss bei der Generierung des Packages angegeben weden. Dies bedeutet möchte man ein 
         VPN only (IPSec und/oder VPN-SSL) Package erzeugen wäre die Vorgehensweise folgende:
         
       - Entpacke das File "FortiClientTools_5.0.5.0308.zip" in ein temporaeres Verzeichnis.
       
       - Im entpackten zip File befindet sich ein Verzeichnis "FortiClientConfigurator". Wechsle in dieses Verzeichnis.
       
       - Starte das Tool "FortiClientConfiguratorGUI.exe". Es erscheint eine Meldung um die entsprechende Lizenz zu laden:
         
         Gebe das entsprechende License File an:
         
         Fortinet-847.jpg
         
         Gehe mit "Skip" weiter:
         
         Fortinet-848.jpg
         
         Wähle "VPN Only":
         
         Fortinet-849.jpg
         
         Der Vorgang ist abgeschlossen gehe auf "Fertig stellen":
         
         Fortinet-850.jpg
         
         NOTE Vor dem Fertigstellen wird im "Console output...." folgendes als Information angezeigt:
              
              ------------------------------------------------------------------ Console output.... ------------------------------------------------------------------
              
              Executing:
              
              	 -m "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient.msi"   --               
              
              CUSTOMIZATIONKEY "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\License\EFCT102001369600.lic" -i VPN
              
              Configuration complete.
              
              The files needed for Active Directory deployment are located here:
              
                 C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient_packaged\ActiveDirectory\
              
              The files needed for manual distribution are located here:
              
                 C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x86\FortiClient_packaged\ManualDistribution\
              
              You must test the packages to confirm they install correctly before
              deploying them to production.
              
              Executing:
              
              	 -m "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient.msi"   --CUSTOMIZATIONKEY "C:\Daten\Dat Fortinet\Forti-IPSec-VPN\License\EFCT102001369600.lic" -i VPN
              
              Configuration complete.
              
              The files needed for Active Directory deployment are located here:
              
                 C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient_packaged\ActiveDirectory\
              
              The files needed for manual distribution are located here:
              
                 C:\Daten\Dat Fortinet\Forti-IPSec-VPN\FortiClient-5.x\5.0.5\FortiClientTools_5.0.5.0308\FortiClientTools_5.0.5.0308\FortiClientConfigurator\x64\FortiClient_packaged\ManualDistribution\
              
              You must test the packages to confirm they install correctly before
              deploying them to production.
              
              ------------------------------------------------------------------ Console output.... ------------------------------------------------------------------               
         
       - Nun werden zwei Verzeichnisse für eine Distribution erstellt dh. "ActiveDirectory" und "ManualDistribution" gemäss den Angaben in der "Console ouput...."
         Information.
       NOTE Für MAC Installation ist der Vorgang anhand des Lizenz Files identisch jedoch benötigt man den FortiClientConfigurator
            für MAC!

Was bedeutet im Client2Site VPN Bereich der Konfigurationspunkt "Split Tunneling"?

Im Client2Site VPN IPSec Bereich sowie im VPN-SSL Bereich existiert der Konfigurationspunkt "Split Tunneling". Dieser Konfigurationspunkt "Split Tunneling" steuert auf der Client Seite die Packet dh. welche Packet die vom Client aus abgesetzt werden in den VPN Tunnel sei es IPSec und/oder VPN-SSL gesendet werden. Gesteuert wird diese Funktion durch einen Routing Eintrag. Dieser kann und wird nur dann erstellt wenn der Client sei es IPSec und/oder VPN-SSL mit Administratoren Rechte installiert wurde. Wurde der VPN Client nicht mit diesen Rechten installiert so kann der entsprechende Eintrag nicht erstellt werden. Die Erstellung dieses Routing Eintrages geschieht nach der erfolgreichen Authentifizierung des Client und wird von der FortiGate durch den Tunnel an den Client gesendet (unter normalen Umständen). Dies kann auf einem Windows Client mit folgenden Kommando kontrolliert werden:

       route print

Wenn eine erfolgreiche Authentifizierung durchgeführt werden und der Route Eintrag erstellt wurde so muss unterschieden werden zwischen folgenden Möglichkeiten:

       Routing Eintrag wurde erstellt anhand eines IP Ranges zB 192.168.1.0/24
       
       Split Tunneling wurde aktiviert und nur Packete betreffend dem Subnet das auf der FortiGate konfiguriert
       wurde und im Routing definiert wurde, werden in den VPN Tunnel gesendet!
       Routing Eintrag wurde erstellt anhand 0.0.0.0
       
       Dieser Routing Eintrag kommt einem Default Gateway gleich dh. sämtliche Packete werden in den VPN Tunnel
       gesendet und somit ist das "Split Tunneling" deaktiviert!
       NOTE Das "Split Tunneling" zB des FortiClient wird in der Phase 1 resp. im "Client Wizard" 
            definiert. Dies bedeutet wird "Split Tunneling" aktiviert "muss" ein entsprechendes
            Subnet definiert werden das unter normalen Umständen das LAN representiert! Das Gleiche
            gilt für SSL-VPN dh. das "Split Tunneling" wird im Portal definiert. Wobei ein "explizites"
            "Split Tunneling" auf Kommandozeile definiert wird. Nachfolgend die zwei Kommandos die
            für die Funktion/Definition benötigt werden:
            
            Fuer SSL-VPN Split Tunneling:
            
            # config firewall address
            # set name [Name des IPv 4 IP Pool zB "net-ip-pool-ssl-vpn-198.18.1.0-25"]
            # set type iprange
            # set visibility enable
            # set start-ip [198.18.1.1]
            # set end-ip [198.18.1.127]
            # next
            # set name [Name des IPv 4 LAN IP Range zB "net-lan-198.18.0.0-24"]
            # set type iprange
            # set visibility enable
            # set start-ip [198.18.0.1]
            # set end-ip [198.18.0.254]
            # end
            # end
            
            # config vpn ssl web portal
            # edit [Name des Profile zB "tunnel-acces-only"]
            # config widget
            # edit 4
            # set name Tunnel Mode 
            # set type tunnel 
            # set column two 
            # set collapse disable 
            # set split-tunneling enable 
            # set ip-pools  [Bestehendes Objekt für die IP Pool IP Range zB "net-ip-pool-ssl-vpn-198.18.1.0-25"]
            # set split-tunneling-routing-address [Bestehendes Objekt das die LAN Adresse darstellt zB "net-lan-198.18.0.0-24"]
            # next
            # end
            # end
            
            Fuer IPSec Split Tunneling:
            
            # config vpn ipsec phase1-interface 
            # edit [Name des Profile zB "fc-ipsec"]
            # set ipv4-start-ip 192.168.1.1
            # set ipv4-end-ip 192.168.1.254
            # set ipv4-netmask 255.255.255.0
            # set ipv4-split-include net-lan-198.18.0.0-24
            # end