Schlagwort-Archive: FortiGate

FortiClient SSL-VPN Failed

Failed to establish the VPN connection. This may be caused by a mismatch in the TLS version. Please check the TLS version settings in the Advanced of the Internet options. (-5029)

Beim FortiClient kann der aufbau einer SSL-VPN Verbindung zur FortiGate folgende Warnung ausgeben.

Symptom

Ursache

Das mittlerweile veraltete kryptografische Protokoll TLS 1.0 ist ab FortiOS 6.0 per default nicht mehr aktiviert. Es wird empfohlen mindestens TLS 1.1 (Cipher Suites) für Authentifizierung und Datenverschlüsselung  zu verwenden. Wir sind derzeit bei TLS 1.3, das von der IETF (Internet Engineering Task Force) genehmigt wurde.

Lösung

Möchte man ältere Clients weiter verwenden, die man im verlauf einer Migration über Update Rollout erst später mit TLS 1.2 oder höher einsatzbereit hat, kann auf der FortiGate das TLS 1.0 aktiviert werden.

Überprüfen der aktuellen TLS Einstellung, aus der FortiGate Console mit CLI Command:

Im CLI die Cipher Suite TLS 1.0 aktivieren.


Auch kann beim Client die TLS Version aus dem Windows Snapin (inetcpl) Internet Option angepasst werden.

+ R und der Eingabe von inetcpl.cpl

Im Fenster Eigenschaften von Internet – Erweitert, die TLS Version 1.0, 1.1 und 1.2 aktivieren.

Weitere Problemlösungen

Bei älteren Windows Versionen, oder bei Router mit PPPoE Internet Anbindung, können Fehler beim aufbau von SSL-VPN Verbindungen wie folgt behoben werden.

Es erscheint im FortiClient die Fehlermeldung:

Unable to establish the VPN connection. The VPN server may be unreachable (-5)

Dazu überprüft man die MTU grösse der Netzwerkschnittstellen, mit folgendem Befehl aus einer geöffneten Eingabeaufforderung

Die Ausgabe kann in etwa wie folgt aussehen:

Die MTU Size überprüfen und ggf. auf 1400 anpassen. In einer als Administrator geöffneten Eingabeaufforderung, mit ausführen von netsh.

Alternativ dazu Regedit aufrufen und zu folgendem Schlüssel navigieren.

unter dem entsprechenden Interface mit der passenden IP Adresse, hier {222e135b-d09c-47a3-9236-63a041a02ea6} den Schlüssel MTU mit Wert 578 Hexadecimal ändern.

Nach einem Computer neustart kann die SSL-VPN Verbindung aufgebaut werden.

FortiGate Rackmount IT

FortiGate subnet overlapping remapping

Bei einer Site-to-Site-VPN-Konfiguration kann es oft vorkommen, dass die privaten IPv4 Subnet-Adressen an jedem terminierten Ende die selben sind. Das Problem kann durch Remapping der privaten IPv4-Adressen mithilfe von virtuellen IP-Adressen (VIP) gelöst werden.

Durch VIPs können Computer in dessen überlappenden privaten Subnets jeweils einen anderen IP-Adressbereich zugewiesen werden, die Subnets können transparent verwendet werden. Die FortiGate Appliance bildet die VIP-Adressen zu den ursprünglichen Adressen um. Dies bedeutet, wenn PC1 eine Sitzung mit PC2 bei 10.31.101.10 beginnt, leitet FortiGate_2 die Sitzung zu PC2, dieser tatsächliche die IP-Adresse 10.11.101.10 besitzt.

Abbildung zeigt – Finance Netzwerk VIP ist 10.21.101.0/24 und das HR-Netzwerk hat 10.31.101.0/24.

Überlappende Subnetze Beispiel
Überlappende Subnetze Beispiel

Konfiguration einer Route-basierten VPN Lösung:

Eine IPsec Phase 1 und Phase 2 erstellen, wie du es normalerweise für ein Route-basierten VPN tun würdest. In diesem Beispiel wird die resultierende IPsec-Schnittstelle mit IPsec_FGT1_2_FGT2 bezeichnet.

Konfigurieren des virtuellen IP (VIP) Mapping, unter Policy & Objects > Virtual IPs > Create New

New Virtual IP
New Virtual IP

Konfiguriere eine outbound Policy auf beiden FortiGate, unter Policy & Objects > IPv4 Policy > Create New, Lasse den Policy Type auf Firewall und die Policy Subtype als Adresse:

Policy outbound
Policy outbound

Konfigurieren der inbound Policy:

Policy inbound
Policy inbound

Konfigurieren der Static Route:

Static Route
Static Route

Wiederhole diesen Vorgang auf beiden FortiGate, FGT1 und FGT2, unter berücksichtigung der entsprechenden Subnets, 10.21.101.0/24 und 10.31.101.0/24.