FortiClient IPSEC VPN (Kaspelung des Clients)

Mitglied: Finchen961988

Finchen961988 (Level 2) - Jetzt verbinden

06.04.2021 um 08:26 Uhr, 489 Aufrufe, 12 Kommentare

Sehr geehrtes Forum,

ich habe eine Frage oder Problem und suche schon seit Tagen nach einer Lösung!

Folgendes IST habe ich:

Jetzt Checkpint Perimter FW und Sophos SegmenteriungsFW.
APEX ONE mit Firewall als Virensoftware auf Clients.
Roadwarrior (Berater mit Notebook) bauen einen VPN - Tunnel zur Checkpoint auf und der gesamt Internetverkehr über Tunnel und Clients können dann nicht mehr in das umliegende Netzwerk gucken.

Was SOLL:

Die Checkpoint und Sophos laufen aus und es wird gegen eine Fortigate getauscht, der Kunde wünscht sich nun, dass wenn die Roadwarrior unterwegs sind und der Tunnel aufgebaut ist, sollen die Notebooks im Prinzip komplett in einer Blase laufen, keine Kommunikation in das lokale Netz. Der Internetverkehr geht schon über den Tunnel!

Mein Problem, ich finde keine Lösung den Client bei aufgebauten VPN so abzukapseln wie der Kunde das wünscht, weder mit dem ApexOne noch mit dem FortiClient!

Mit dem Checkpoint Client scheint das zu gehen!

Habt Ihr so etwas schon mal gelöst?



MFG
Mitglied: aqui
06.04.2021 um 09:56 Uhr
Warum erstellt du nicht einfach mit der Firewall eine Regel die das Client VPN Netz vom interne Netz/Netzen trennt und nur die Kommunikation ins Internet erlaubt ?! Ein simpler Einzeiler im Klicki Bunti Setup des FW Regelwerkes und die Anforderung ist gelöst.
Bitte warten ..
Mitglied: Finchen961988
06.04.2021 um 10:33 Uhr
Naja,

ich glaube falsch geschrieben oder verstanden!

Der Raodwarrior sitzt ja bei einem Kunden, es ist gewünscht, dass der RoadWarrior per VPN an die Ressourcen der Firma und über VPN ins Internet kommt, aber bei dem Kunden, bei dem der Roadwarrior sitzt, dort keine Ressuorcen von dem Netzwerk sieht.
Bitte warten ..
Mitglied: Finchen961988
06.04.2021 um 10:34 Uhr
Sprich,

sobald der VPN da ist, soll um das Notebook eine Blase sein, sodass der User zwar an das Firmennetzwerk kommt und über VPN surfen kann, aber das Netzwerk von den Kunden (Drucker usw.) nicht sieht!
Bitte warten ..
Mitglied: aqui
06.04.2021 um 10:41 Uhr
aber bei dem Kunden, bei dem der Roadwarrior sitzt, dort keine Ressuorcen von dem Netzwerk sieht.
Das hast du in der Tat dann falsch beschrieben. :-( face-sad
OK, das erreicht man mit einem Gateway Redirect. Die Firewall injiziert dann eine Default Route in den Client die alles in den Tunnel routet. Zudem muss sie ein Blocking der lokalen Firewall aktivieren was den LAN Port nur für den VPN Traffic freigibt alles andere aber blockt. Das klappt in der Regel nicht mit den Onboard Clients sondern nur mit den Hersteller VPN Clients. Ob Fortinet das kann bzw. supportet sollte ein Anruf bei deren Produkt Hotline klären oder...der Blick ins Handbuch.
Bitte warten ..
Mitglied: Finchen961988
06.04.2021 um 10:54 Uhr
Ja,

der Fortinet Support.... da habe ich Lust drauf, dann werde ich dem mal auf die Nerven gehen!
Bitte warten ..
Mitglied: Ausserwoeger
06.04.2021 um 11:54 Uhr
Hi

Bei Fortinet nennt sich das Split-tunnel.Bei einem Dial Up IPsec VPN.

Hier der Artikel dazu:

https://kb.fortinet.com/kb/documentLink.do?externalID=FD48945

LG
Bitte warten ..
Mitglied: Pitbullracer
06.04.2021 um 21:18 Uhr
Moin,

wenn ich Dich richtig verstehe, wäre das eher VPN before Logon.
Das geht glaube ich nur mit dem kostenpflichtigen VPN Client.
Dazu am besten einmal Euren Partner befragen, der die HW geliefert hat, der sollte das da hoc beantworten können.

Viele Grüße
Bitte warten ..
Mitglied: Ausserwoeger
07.04.2021 um 13:30 Uhr
Zitat von @Pitbullracer:
Das geht glaube ich nur mit dem kostenpflichtigen VPN Client.

Bei Fortinet ist der VPN Client Gratis und der kann das Ja. Man muss bei Fortinet nix bezahlen für VPN da geht es nur nach Leistung der Firewall. Sprich man muss sich je mahr VPN verbindungen man hat eine Leistungstärkere Firewall kaufen.

LG
Bitte warten ..
Mitglied: HansDampf06
07.04.2021 um 17:36 Uhr
Sowohl

Zitat von @Ausserwoeger:

Bei Fortinet nennt sich das Split-tunnel.Bei einem Dial Up IPsec VPN.

Hier der Artikel dazu:

https://kb.fortinet.com/kb/documentLink.do?externalID=FD48945


als auch

Zitat von @Pitbullracer:

wenn ich Dich richtig verstehe, wäre das eher VPN before Logon.
Das geht glaube ich nur mit dem kostenpflichtigen VPN Client.
Dazu am besten einmal Euren Partner befragen, der die HW geliefert hat, der sollte das da hoc beantworten können.


Aber wenn ich ganz ehrlich bin, funktioniert eine VPN-Verbindung mit dem FortiClient nur dann einigermaßen, wenn die SSL-Variante verwendet wird. IPSEC-VPN zu konfigurieren, ist nicht nur ein Graus, sondern eher vergeblich. Dabei helfen auch die KB-Artikel und sonstigen Anleitungen von Fortinet nur bedingt weiter. Im Hinblick auf "Ergonomie" ist Fortinet in der Tendenz unterirdisch.

Da sind andere VPN-Clients deutlich entspannter einzusetzen. Gute Erfahrungen bestehen beispielsweise mit dem BinTec VPN-Client (heißt heute wohl anders) und dem Shrew Soft VPN-Client. Beide Clients werden ähnlich eingerichtet. Gerade das Split-Tunneling ist treffsicher konfigurierbar.
Beispielsweise können beim dem Shrew Soft VPN-Client (leider seit längerem nicht mehr weiterentwickelt; funktioniert aber problemfrei auf Windows 8.1) unterschiedliche Konfigurationen im VPN Access Manager abgelegt werden. Parallel dazu kann für die gewünschte Verbindung ein Verknüpfungslink in das Startmenu gelegt werden. Dann genügt ein Mausklick und die VPN-Verbindung wird zügig aufgebaut. Einziger "Nachteil": In dem Verknüpfungslink muss das Passwort mit angegeben werden, soll das nicht jedes Mal erneut einzugeben sein, was bei Multiusergeräten problematisch sein könnte.

Im Übrigen hat aqui völlig Recht:


Warum erstellt du nicht einfach mit der Firewall eine Regel die das Client VPN Netz vom interne Netz/Netzen trennt und nur die Kommunikation ins Internet erlaubt ?! Ein simpler Einzeiler im Klicki Bunti Setup des FW Regelwerkes und die Anforderung ist gelöst.


Genau so einfach ist das, weil jeder eingerichtete VPN-Zugang ein virtuelles Interface auf dem WAN-Interface aufsetzend hinzufügt und weil bei den Firewall-Regeln die Quell-/Zielinterfaces anzugeben sind. Die Regeln können sogar nach Benutzern differenzieren, wenn es denn sein soll. Insgesamt ist das im FortiOS-Webinterface relativ schnell zusammengeklickt.

Viele Grüße
HansDampf06
Bitte warten ..
Mitglied: Ausserwoeger
07.04.2021, aktualisiert um 17:54 Uhr
Zitat von @HansDampf06:
Aber wenn ich ganz ehrlich bin, funktioniert eine VPN-Verbindung mit dem FortiClient nur dann einigermaßen, wenn die SSL-Variante verwendet wird. IPSEC-VPN zu konfigurieren, ist nicht nur ein Graus, sondern eher vergeblich. Dabei helfen auch die KB-Artikel und sonstigen Anleitungen von Fortinet nur bedingt weiter. Im Hinblick auf "Ergonomie" ist Fortinet in der Tendenz unterirdisch.

Da sind andere VPN-Clients deutlich entspannter einzusetzen. Gute Erfahrungen bestehen beispielsweise mit dem BinTec VPN-Client (heißt heute wohl anders) und dem Shrew Soft VPN-Client. Beide Clients werden ähnlich eingerichtet. Gerade das Split-Tunneling ist treffsicher konfigurierbar.
Beispielsweise können beim dem Shrew Soft VPN-Client (leider seit längerem nicht mehr weiterentwickelt; funktioniert aber problemfrei auf Windows 8.1) unterschiedliche Konfigurationen im VPN Access Manager abgelegt werden. Parallel dazu kann für die gewünschte Verbindung ein Verknüpfungslink in das Startmenu gelegt werden. Dann genügt ein Mausklick und die VPN-Verbindung wird zügig aufgebaut. Einziger "Nachteil": In dem Verknüpfungslink muss das Passwort mit angegeben werden, soll das nicht jedes Mal erneut einzugeben sein, was bei Multiusergeräten problematisch sein könnte.


Hi

Ich hatte nie Probleme mit den IPSEC Variante ? Mein Kunde nutzt 150 Dail in VPN Clients über IPSEC und alles geht ohne Probleme.
Beim Forticlient muss ich auch nur die Konfiguration einspielen und Benutzername und passwort eingeben diese kann ich Speichern oder auch nicht und mit einem Klick bin ich verbunden.
Ich kann auch mehrere Verbindungen in einem Foticlient hinterlegt haben und Per Dropdown menü die VPN Verbindung auswählen die ich aufbauen möchte.

Auch das vorbereiten so einer konfig ist nicht sehr schwer man muss nur das gleiche auswählen das man auf der Fortigate eingestellt hat.

Ist aber wohl Geschmacksache was man verwenden möchte.

PS: Man ist ja nicht an den Forticlient gebunden man kann auch eine VPN verbindung einrichten die man mit den Onloard VPN Clients die in IOS oder MACOS enthalten sind aufbauen kann. Man kann sich auch für Windows einen Cisco oder NCP Client kaufen und mit diesem die Verbindung zur Firewall herstellen.

LG
Bitte warten ..
Mitglied: HansDampf06
07.04.2021 um 21:41 Uhr
Zitat von @Ausserwoeger:

Auch das vorbereiten so einer konfig ist nicht sehr schwer man muss nur das gleiche auswählen das man auf der Fortigate eingestellt hat.


Freilich! Auch ist es beim FortiClient eigentlich sehr einfach die Config-Datei einmal nach Maßgabe der Einstellungen in der FortiGate zu kreieren und sie dann auf alle entsprechenden Clients zu replizieren. Das ist kein Hexenwerk, weiß Gott nicht!

Aber was nutzt das, wenn der FortiClient und die FortiGate in der konkreten Situation dennoch nicht richtig miteinander wollen, obschon der FortiClient genau derjenige ist, den die FortiGate zentral bereitstellt. Ich hatte bei IPSEC jedenfalls nicht nachvollziehbare Probleme, und zwar auch dann, wenn über den Assistenten des Webeinterfaces der FortiGate eine Standardkonfiguration nach Fortinet-Anleitung gewählt wurde. Bei der "automatisierten" Übernahme durch den FortiClient erwiesen sich die übernommenen Einstellungen schon als nicht konsistent. Manuelle Korrekturen blieben ohne Effekt ... Wie dem auch sei ist es letztlich für mich belanglos, weil jedenfalls mit alternativen Clients eine IPSEC-Verbindung problemfrei und funktionssicher konfiguriert werden kann. Und das war und ist für mich allein entscheidend: verlässlicher Betrieb.

Wenn es hingegen bei anderen super funktioniert, umso besser! Dann kann der TO das sicherlich ebenso Fortinet-homogen umsetzen und wird zufrieden sein - so soll es am Ende ja auch sein!

Viele Grüße
HansDampf06
Bitte warten ..
Mitglied: Ausserwoeger
08.04.2021, aktualisiert um 08:46 Uhr
Zitat von @HansDampf06:

Freilich! Auch ist es beim FortiClient eigentlich sehr einfach die Config-Datei einmal nach Maßgabe der Einstellungen in der FortiGate zu kreieren und sie dann auf alle entsprechenden Clients zu replizieren. Das ist kein Hexenwerk, weiß Gott nicht!

Aber was nutzt das, wenn der FortiClient und die FortiGate in der konkreten Situation dennoch nicht richtig miteinander wollen, obschon der FortiClient genau derjenige ist, den die FortiGate zentral bereitstellt. Ich hatte bei IPSEC jedenfalls nicht nachvollziehbare Probleme, und zwar auch dann, wenn über den Assistenten des Webeinterfaces der FortiGate eine Standardkonfiguration nach Fortinet-Anleitung gewählt wurde. Bei der "automatisierten" Übernahme durch den FortiClient erwiesen sich die übernommenen Einstellungen schon als nicht konsistent.

Hi

Nicht nachvollziebar gibt es eigendlich bei Fortigate nicht. Wenn du solche Probleme hast für die du keine erklärung hast würde ich dir empfehlen über die CLI das Debuging zu aktivieren und mit den entsprechenden Filtern sieht man gut wo das Problem liegt.
Ich hatte sowas noch nie und habe schon sehr viele VPN verbindungen gemacht.

Hier ein Paar befehle für das Debugging genaueres findest du auch noch im Netz.

Debugging einschränken auf IKE

diagnose debug application ike -1

Filter nach Phase1-Name (reicht manchmal nicht aus um alles andere auszublenden)

diag vpn ike log-filter name <Phase1 Name>

oder bei Site-to-Site Tunnel mit fixer IP besser nach Peer IP Adresse filtern

diag vpn ike log-filter dst-addr4 82.66.54.162

aktuelle Filter Einstellung anzeigen

diag vpn ike log-filter list

Dann Debugging aktivieren (erst jetzt, damit man in Ruhe tippen kann)

diag debug enable

Danach das Debugging wieder deaktivieren

diag debug disable

Filter löschen

diag vpn ike log-filter clear

Beispiele:

diagnose debug application ike -1
diag vpn ike log-filter name FW_Test
diag vpn ike log-filter dst-addr4 119.90.37.185
diag debug enable

diagnose debug application ike -1
diag vpn ike log-filter dst-addr4 119.90.37.185
diag debug enable

diagnose debug application ike -1
diag vpn ike log-filter dst-addr4 82.66.39.146
diag debug enable

diag sniffer packet any icmp4

in Policy
set np-acceleration disable

in VPN Phase1
set npu-offload disable

diag debug disable
diag vpn ike log-filter clear

get vpn ipsec tunnel summary

diagnose vpn ike gateway list name FW_Test

execute traceroute-options source 82.66.37.194
execute traceroute 39.24.121.96

diagnose sniffer packet any 'host 39.24.121.96 and port 500' 4 0 l

diagnose vpn ike log-filter dst-addr4 39.24.121.96
diagnose debug application ike -1
diagnose debug enable

diagnose vpn tunnel list name FW_Test

LG
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 1 TagFrageFestplatten, SSD, Raid14 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 17 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...