finchen961988
Goto Top

FortiClient IPSEC VPN (Kaspelung des Clients)

Sehr geehrtes Forum,

ich habe eine Frage oder Problem und suche schon seit Tagen nach einer Lösung!

Folgendes IST habe ich:

Jetzt Checkpint Perimter FW und Sophos SegmenteriungsFW.
APEX ONE mit Firewall als Virensoftware auf Clients.
Roadwarrior (Berater mit Notebook) bauen einen VPN - Tunnel zur Checkpoint auf und der gesamt Internetverkehr über Tunnel und Clients können dann nicht mehr in das umliegende Netzwerk gucken.

Was SOLL:

Die Checkpoint und Sophos laufen aus und es wird gegen eine Fortigate getauscht, der Kunde wünscht sich nun, dass wenn die Roadwarrior unterwegs sind und der Tunnel aufgebaut ist, sollen die Notebooks im Prinzip komplett in einer Blase laufen, keine Kommunikation in das lokale Netz. Der Internetverkehr geht schon über den Tunnel!

Mein Problem, ich finde keine Lösung den Client bei aufgebauten VPN so abzukapseln wie der Kunde das wünscht, weder mit dem ApexOne noch mit dem FortiClient!

Mit dem Checkpoint Client scheint das zu gehen!

Habt Ihr so etwas schon mal gelöst?


MFG

Content-Key: 665416

Url: https://administrator.de/contentid/665416

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: aqui
aqui 06.04.2021 um 09:56:43 Uhr
Goto Top
Warum erstellt du nicht einfach mit der Firewall eine Regel die das Client VPN Netz vom interne Netz/Netzen trennt und nur die Kommunikation ins Internet erlaubt ?! Ein simpler Einzeiler im Klicki Bunti Setup des FW Regelwerkes und die Anforderung ist gelöst.
Mitglied: Finchen961988
Finchen961988 06.04.2021 um 10:33:18 Uhr
Goto Top
Naja,

ich glaube falsch geschrieben oder verstanden!

Der Raodwarrior sitzt ja bei einem Kunden, es ist gewünscht, dass der RoadWarrior per VPN an die Ressourcen der Firma und über VPN ins Internet kommt, aber bei dem Kunden, bei dem der Roadwarrior sitzt, dort keine Ressuorcen von dem Netzwerk sieht.
Mitglied: Finchen961988
Finchen961988 06.04.2021 um 10:34:47 Uhr
Goto Top
Sprich,

sobald der VPN da ist, soll um das Notebook eine Blase sein, sodass der User zwar an das Firmennetzwerk kommt und über VPN surfen kann, aber das Netzwerk von den Kunden (Drucker usw.) nicht sieht!
Mitglied: aqui
aqui 06.04.2021 um 10:41:11 Uhr
Goto Top
aber bei dem Kunden, bei dem der Roadwarrior sitzt, dort keine Ressuorcen von dem Netzwerk sieht.
Das hast du in der Tat dann falsch beschrieben. face-sad
OK, das erreicht man mit einem Gateway Redirect. Die Firewall injiziert dann eine Default Route in den Client die alles in den Tunnel routet. Zudem muss sie ein Blocking der lokalen Firewall aktivieren was den LAN Port nur für den VPN Traffic freigibt alles andere aber blockt. Das klappt in der Regel nicht mit den Onboard Clients sondern nur mit den Hersteller VPN Clients. Ob Fortinet das kann bzw. supportet sollte ein Anruf bei deren Produkt Hotline klären oder...der Blick ins Handbuch.
Mitglied: Finchen961988
Finchen961988 06.04.2021 um 10:54:43 Uhr
Goto Top
Ja,

der Fortinet Support.... da habe ich Lust drauf, dann werde ich dem mal auf die Nerven gehen!
Mitglied: Ausserwoeger
Ausserwoeger 06.04.2021 um 11:54:10 Uhr
Goto Top
Hi

Bei Fortinet nennt sich das Split-tunnel.Bei einem Dial Up IPsec VPN.

Hier der Artikel dazu:

https://kb.fortinet.com/kb/documentLink.do?externalID=FD48945

LG
Mitglied: Pitbullracer
Pitbullracer 06.04.2021 um 21:18:10 Uhr
Goto Top
Moin,

wenn ich Dich richtig verstehe, wäre das eher VPN before Logon.
Das geht glaube ich nur mit dem kostenpflichtigen VPN Client.
Dazu am besten einmal Euren Partner befragen, der die HW geliefert hat, der sollte das da hoc beantworten können.

Viele Grüße
Mitglied: Ausserwoeger
Ausserwoeger 07.04.2021 um 13:30:27 Uhr
Goto Top
Zitat von @Pitbullracer:
Das geht glaube ich nur mit dem kostenpflichtigen VPN Client.

Bei Fortinet ist der VPN Client Gratis und der kann das Ja. Man muss bei Fortinet nix bezahlen für VPN da geht es nur nach Leistung der Firewall. Sprich man muss sich je mahr VPN verbindungen man hat eine Leistungstärkere Firewall kaufen.

LG
Mitglied: HansDampf06
HansDampf06 07.04.2021 um 17:36:15 Uhr
Goto Top
Sowohl

Zitat von @Ausserwoeger:

Bei Fortinet nennt sich das Split-tunnel.Bei einem Dial Up IPsec VPN.

Hier der Artikel dazu:

https://kb.fortinet.com/kb/documentLink.do?externalID=FD48945


als auch

Zitat von @Pitbullracer:

wenn ich Dich richtig verstehe, wäre das eher VPN before Logon.
Das geht glaube ich nur mit dem kostenpflichtigen VPN Client.
Dazu am besten einmal Euren Partner befragen, der die HW geliefert hat, der sollte das da hoc beantworten können.


Aber wenn ich ganz ehrlich bin, funktioniert eine VPN-Verbindung mit dem FortiClient nur dann einigermaßen, wenn die SSL-Variante verwendet wird. IPSEC-VPN zu konfigurieren, ist nicht nur ein Graus, sondern eher vergeblich. Dabei helfen auch die KB-Artikel und sonstigen Anleitungen von Fortinet nur bedingt weiter. Im Hinblick auf "Ergonomie" ist Fortinet in der Tendenz unterirdisch.

Da sind andere VPN-Clients deutlich entspannter einzusetzen. Gute Erfahrungen bestehen beispielsweise mit dem BinTec VPN-Client (heißt heute wohl anders) und dem Shrew Soft VPN-Client. Beide Clients werden ähnlich eingerichtet. Gerade das Split-Tunneling ist treffsicher konfigurierbar.
Beispielsweise können beim dem Shrew Soft VPN-Client (leider seit längerem nicht mehr weiterentwickelt; funktioniert aber problemfrei auf Windows 8.1) unterschiedliche Konfigurationen im VPN Access Manager abgelegt werden. Parallel dazu kann für die gewünschte Verbindung ein Verknüpfungslink in das Startmenu gelegt werden. Dann genügt ein Mausklick und die VPN-Verbindung wird zügig aufgebaut. Einziger "Nachteil": In dem Verknüpfungslink muss das Passwort mit angegeben werden, soll das nicht jedes Mal erneut einzugeben sein, was bei Multiusergeräten problematisch sein könnte.

Im Übrigen hat aqui völlig Recht:


Warum erstellt du nicht einfach mit der Firewall eine Regel die das Client VPN Netz vom interne Netz/Netzen trennt und nur die Kommunikation ins Internet erlaubt ?! Ein simpler Einzeiler im Klicki Bunti Setup des FW Regelwerkes und die Anforderung ist gelöst.


Genau so einfach ist das, weil jeder eingerichtete VPN-Zugang ein virtuelles Interface auf dem WAN-Interface aufsetzend hinzufügt und weil bei den Firewall-Regeln die Quell-/Zielinterfaces anzugeben sind. Die Regeln können sogar nach Benutzern differenzieren, wenn es denn sein soll. Insgesamt ist das im FortiOS-Webinterface relativ schnell zusammengeklickt.

Viele Grüße
HansDampf06
Mitglied: Ausserwoeger
Ausserwoeger 07.04.2021 aktualisiert um 17:54:55 Uhr
Goto Top
Zitat von @HansDampf06:
Aber wenn ich ganz ehrlich bin, funktioniert eine VPN-Verbindung mit dem FortiClient nur dann einigermaßen, wenn die SSL-Variante verwendet wird. IPSEC-VPN zu konfigurieren, ist nicht nur ein Graus, sondern eher vergeblich. Dabei helfen auch die KB-Artikel und sonstigen Anleitungen von Fortinet nur bedingt weiter. Im Hinblick auf "Ergonomie" ist Fortinet in der Tendenz unterirdisch.

Da sind andere VPN-Clients deutlich entspannter einzusetzen. Gute Erfahrungen bestehen beispielsweise mit dem BinTec VPN-Client (heißt heute wohl anders) und dem Shrew Soft VPN-Client. Beide Clients werden ähnlich eingerichtet. Gerade das Split-Tunneling ist treffsicher konfigurierbar.
Beispielsweise können beim dem Shrew Soft VPN-Client (leider seit längerem nicht mehr weiterentwickelt; funktioniert aber problemfrei auf Windows 8.1) unterschiedliche Konfigurationen im VPN Access Manager abgelegt werden. Parallel dazu kann für die gewünschte Verbindung ein Verknüpfungslink in das Startmenu gelegt werden. Dann genügt ein Mausklick und die VPN-Verbindung wird zügig aufgebaut. Einziger "Nachteil": In dem Verknüpfungslink muss das Passwort mit angegeben werden, soll das nicht jedes Mal erneut einzugeben sein, was bei Multiusergeräten problematisch sein könnte.


Hi

Ich hatte nie Probleme mit den IPSEC Variante ? Mein Kunde nutzt 150 Dail in VPN Clients über IPSEC und alles geht ohne Probleme.
Beim Forticlient muss ich auch nur die Konfiguration einspielen und Benutzername und passwort eingeben diese kann ich Speichern oder auch nicht und mit einem Klick bin ich verbunden.
Ich kann auch mehrere Verbindungen in einem Foticlient hinterlegt haben und Per Dropdown menü die VPN Verbindung auswählen die ich aufbauen möchte.

Auch das vorbereiten so einer konfig ist nicht sehr schwer man muss nur das gleiche auswählen das man auf der Fortigate eingestellt hat.

Ist aber wohl Geschmacksache was man verwenden möchte.

PS: Man ist ja nicht an den Forticlient gebunden man kann auch eine VPN verbindung einrichten die man mit den Onloard VPN Clients die in IOS oder MACOS enthalten sind aufbauen kann. Man kann sich auch für Windows einen Cisco oder NCP Client kaufen und mit diesem die Verbindung zur Firewall herstellen.

LG
Mitglied: HansDampf06
HansDampf06 07.04.2021 um 21:41:31 Uhr
Goto Top
Zitat von @Ausserwoeger:

Auch das vorbereiten so einer konfig ist nicht sehr schwer man muss nur das gleiche auswählen das man auf der Fortigate eingestellt hat.


Freilich! Auch ist es beim FortiClient eigentlich sehr einfach die Config-Datei einmal nach Maßgabe der Einstellungen in der FortiGate zu kreieren und sie dann auf alle entsprechenden Clients zu replizieren. Das ist kein Hexenwerk, weiß Gott nicht!

Aber was nutzt das, wenn der FortiClient und die FortiGate in der konkreten Situation dennoch nicht richtig miteinander wollen, obschon der FortiClient genau derjenige ist, den die FortiGate zentral bereitstellt. Ich hatte bei IPSEC jedenfalls nicht nachvollziehbare Probleme, und zwar auch dann, wenn über den Assistenten des Webeinterfaces der FortiGate eine Standardkonfiguration nach Fortinet-Anleitung gewählt wurde. Bei der "automatisierten" Übernahme durch den FortiClient erwiesen sich die übernommenen Einstellungen schon als nicht konsistent. Manuelle Korrekturen blieben ohne Effekt ... Wie dem auch sei ist es letztlich für mich belanglos, weil jedenfalls mit alternativen Clients eine IPSEC-Verbindung problemfrei und funktionssicher konfiguriert werden kann. Und das war und ist für mich allein entscheidend: verlässlicher Betrieb.

Wenn es hingegen bei anderen super funktioniert, umso besser! Dann kann der TO das sicherlich ebenso Fortinet-homogen umsetzen und wird zufrieden sein - so soll es am Ende ja auch sein!

Viele Grüße
HansDampf06
Mitglied: Ausserwoeger
Lösung Ausserwoeger 08.04.2021 aktualisiert um 08:46:37 Uhr
Goto Top
Zitat von @HansDampf06:

Freilich! Auch ist es beim FortiClient eigentlich sehr einfach die Config-Datei einmal nach Maßgabe der Einstellungen in der FortiGate zu kreieren und sie dann auf alle entsprechenden Clients zu replizieren. Das ist kein Hexenwerk, weiß Gott nicht!

Aber was nutzt das, wenn der FortiClient und die FortiGate in der konkreten Situation dennoch nicht richtig miteinander wollen, obschon der FortiClient genau derjenige ist, den die FortiGate zentral bereitstellt. Ich hatte bei IPSEC jedenfalls nicht nachvollziehbare Probleme, und zwar auch dann, wenn über den Assistenten des Webeinterfaces der FortiGate eine Standardkonfiguration nach Fortinet-Anleitung gewählt wurde. Bei der "automatisierten" Übernahme durch den FortiClient erwiesen sich die übernommenen Einstellungen schon als nicht konsistent.

Hi

Nicht nachvollziebar gibt es eigendlich bei Fortigate nicht. Wenn du solche Probleme hast für die du keine erklärung hast würde ich dir empfehlen über die CLI das Debuging zu aktivieren und mit den entsprechenden Filtern sieht man gut wo das Problem liegt.
Ich hatte sowas noch nie und habe schon sehr viele VPN verbindungen gemacht.

Hier ein Paar befehle für das Debugging genaueres findest du auch noch im Netz.

Debugging einschränken auf IKE

diagnose debug application ike -1

Filter nach Phase1-Name (reicht manchmal nicht aus um alles andere auszublenden)

diag vpn ike log-filter name <Phase1 Name>

oder bei Site-to-Site Tunnel mit fixer IP besser nach Peer IP Adresse filtern

diag vpn ike log-filter dst-addr4 82.66.54.162

aktuelle Filter Einstellung anzeigen

diag vpn ike log-filter list

Dann Debugging aktivieren (erst jetzt, damit man in Ruhe tippen kann)

diag debug enable

Danach das Debugging wieder deaktivieren

diag debug disable

Filter löschen

diag vpn ike log-filter clear

Beispiele:

diagnose debug application ike -1
diag vpn ike log-filter name FW_Test
diag vpn ike log-filter dst-addr4 119.90.37.185
diag debug enable

diagnose debug application ike -1
diag vpn ike log-filter dst-addr4 119.90.37.185
diag debug enable

diagnose debug application ike -1
diag vpn ike log-filter dst-addr4 82.66.39.146
diag debug enable

diag sniffer packet any icmp4

in Policy
set np-acceleration disable

in VPN Phase1
set npu-offload disable

diag debug disable
diag vpn ike log-filter clear

get vpn ipsec tunnel summary

diagnose vpn ike gateway list name FW_Test

execute traceroute-options source 82.66.37.194
execute traceroute 39.24.121.96

diagnose sniffer packet any 'host 39.24.121.96 and port 500' 4 0 l

diagnose vpn ike log-filter dst-addr4 39.24.121.96
diagnose debug application ike -1
diagnose debug enable

diagnose vpn tunnel list name FW_Test

LG
Mitglied: Finchen961988
Finchen961988 18.04.2021 um 14:15:19 Uhr
Goto Top
Hey,

wir haben das ganze Thema nu gelöst!
Der Apex One hat es mit der Firewall geschafft es zu blokieren!

War nur zu ungeduldig!


Thema mit dem FortiClient:

Also IPSEC DAIL-IN bei vielen Kunden habe ich da Probleme, ein Besipiel:
Kunde ruft an im Februar im Home Office läuft, im März dann im Büro (die wechseln sich ab) und im April wieder HomeOffice, auf mal kein DailIN mehr.
Neuinstallation und Konfig kein Erfolg
Update kein Erfolg
Firewall mal upgedatet kein Erfolg

SSL VPN zack da!

Aussage von Fortinet Support, man weiß nicht woran das liegt.

Mir ist das aufgefallen bei Telekom VDSL 100 und höher, schaltet man auf den Anschluss im Router IPv6 ab geht es sporadisch über IPSEC


Danke für die viele Hilfe
Mitglied: HansDampf06
HansDampf06 19.04.2021 um 00:23:36 Uhr
Goto Top
So in etwa ist es mir auch ergangen ... Da ich aber eine funktionierende Ausweichmöglichkeit hatte/habe, habe ich in den FortiClient und in seine IPSec-Konfiguration keine weitere (vergebliche) Energie gesteckt. Dennoch ist es schön, wenn es jemand in seinem Bereich zum Laufen bringen kann - dafür gutes Gelingen.

Viele Grüße
HansDampf06
Mitglied: Ausserwoeger
Ausserwoeger 26.04.2021 um 08:33:51 Uhr
Goto Top
Hi

Interessant dann muss es wohl am Support meines Lieferanten liegen. Da scheint es wohl einen unterschied zwischen Österreich und Deutschland zu geben.

Ich würde die Firewalls immer über einen Fortinet Partner kaufen den von denen bekommt man auch guten support.
Für Österreich wäre das :

ARROW ECS INTERNET SECURITY AG
COREX EDV-Dienstleistungen GmbH
Exclusive Networks Austria GmbH

Für Deutschland:

ARROW ECS GmbH
Exclusive Networks Deutschland GmbH
Nuvias Deutschland GmbH

Ich habe bei allen 3 Östereichischen Händlern bereits gekauft und auch mit dem Support keine schlechten Erfahrungen gemacht.
Falls jemand Hilfe braucht würde ich mich auch dort zuerst melden.

LG