Schlagwort-Archive: SSL-VPN – Virtual Privat Network

Als SSL-VPN bezeichnet man Systeme, die den Transport privater Daten über öffentliche Netzwerke ermöglichen und als Verschlüsselungsprotokoll TLS verwenden.

Credential or ssl vpn configuration is wrong

FortiClient Fehler: Credential or ssl vpn configuration is wrong (-7200)

Bei dem Versuch mit dem FortiClient eine SSL-VPN Verbindung auf einem Windows Server 2016 oder 2019 zu starten, kann es sein das die Fehlermeldung „Credential or ssl vpn configuration is wrong (-7200)“ erscheint. Die Ursache für den Abbruch bei der Initialisierung der Verbindung zum Endpunkt liegt in der Verschlüsselung, diese in den Einstellungen der Internetoptionen zu finden ist.

Gemäss Fortinet-Support werden die Einstellungen aus den Internetoptionen übernommen. Die Internetoptionen der Systemsteuerung kann über den Internet Explorer (IE) geöffnet werden, oder mit dem direkten Aufruf von inetcpl.cpl.

Windows-Logo + R

Mit drücken der Tasten Win + R und der Eingabe inetcpl.cpl mit OK ausführen.

inetcpl.cpl Ausführen
Systemsteuerung Netzwerk und Internet Einstellungen zuruecksetzen

Wähle das Register Erweitert.

TLS 1.0 verwenden deaktivieren (wird nicht mehr unterstützt)

Klicke auf die Schaltfläche Zurücksetzen… Erscheint die Schaltfläche bei Internet Explorer-Einstellungen zurücksetzen nicht, weiter gehen zum nächten Schritt.

Klicke auf die Option Persönliche Einstellungen löschen

Klicke auf Zurücksetzen

Website zu Vertrauenswürdige Sites hinzufügen

Die SSL-VPN Gateway URL zu den vertrauenswürdigen Sites (Trusted Sites) hinzuzufügen. Normalerweise ist der SSL-VPN Gateway die FortiGate am Endpunkt.

Internetoptionen Sicherheit Trusted Sites

In den Internetoptionen zum Register Sicherheit gehen und bei Vertauenswürdige Sites die Schaltfläche Sites klicken. Mit der Schaltfläche Hinzufügen die URL https://sslvpn_gateway:10443 hier als Platzhalter.

Hinweis: Hier wurde das Fortinet Standardzertifikat für SSL VPN verwendet – die Verwendung eines validierten gültigen Zertifikates wird jedoch keinen Unterschied machen.

Weiter muss unter Zertifikate der SSL-Status gelöscht werden, dazu geht man zum Register Inhalt und klickt auf die Schaltfläche SSL-Status löschen.

Internetoptionen SSL-Status löschen

Die SSL VPN Verbindung sollte nun mit dem FortiClient Version 6 oder neuer, auf einem Windows Server 2016 oder neuer, und Windows 10 möglich sein.

FortiClient VPN Post Login Script

FortiClient SSL VPN aus CLI und Scripts ausführen

Dieser Artikel beschreibt die Verwendung des FortiClient SSL VPN über die Windows Befehlszeile, und der Anwendung aus Batch-Scripts. Der zur FortiGate gehörende FortiClient ist zu jedem gängigen Betriebssystem verfügbar, und kann aus dem Fortinet Support Bereich heruntergeladen werden. Zu dem hier verwendeten FortiClient 6.4.2.1580 für Windows, kommen zusätzlich die FortiClientTools 6.0.9.0277 zum Einsatz.

FortiClient VPN
FortiClient VPN

Nachdem der FortiClient Installiert ist, lässt man die VPN Konfiguration leer. Nun werden die FortiClientTools in ein Verzeichnis entpackt, von Interesse ist der Ordner Inhalt von SSLVPNcmdline, hier die Datei FortiSSLVPNclient.exe zu finden ist, dazu die Microsoft Visual C++ Redistributable mfc140.dll, msvcp140.dll, vcruntime140.dll Laufzeitkomponenten.

Inhalt von SSLVPNcmdline FortiClientTools_6.0.9.0277.zip.

Ausführen von FortiSSLVPNclient.exe öffnet das GUI.

FirtiClientTools
FortiClient SSLVPN

Wir entscheiden uns das unter Settings gespeicherte VPN Verbindungsprofil nicht zu nutzen, stattdessen wird die Verbindung aus dem CLI mit Parameter Übergabe ausgeführt.

Es bietet sich nun an, die VPN Verbindung mit Anmeldung und Netzlaufwerk mapping aus dem Script zu starten, die folgende Batchdatei soll dies ermöglichen.

Mit connect -h wird zum VPN Gateway verbunden, mit der IP Adresse und durch Doppelpunkt getrennt die Portnummer. Der Benutzer -u der sich beim Gateway anmelden soll und dem Passwort nach dem Doppelpunkt. Mit timeout wird 10 Sekunden gewartet, damit die VPN Verbindung steht, bevor das Netzlaufwerk gemappt wird, mglicherweise kann der Wert verkleinert werden, oder er muss erhöht werden.

In der Taskleiste das Symbol, über diesem mit Rechtsklick sich das Kontextmenü öffnet.

Die VPN Verbindung wird getrennt mit folgendem Script.

FortiSSLVPNclient Command Line Usage
Usage: FortiSSLVPNclient.exe [options] [args]

Quellenlink: Fortinet Knowledge Base

FortiClient ssl-vpn Failed

Failed to establish the VPN connection. This may be caused by a mismatch in the TLS version. Please check the TLS version settings in the Advanced of the Internet options. (-5029)

Beim FortiClient kann der aufbau einer SSL-VPN Verbindung zur FortiGate folgende Warnung ausgeben.

Symptom

Failed to establish the VPN connection. This may be caused by a mismatch in the TLS version. Please check the TLS version settings in the Advanced of the Internet options.

Ursache

Das mittlerweile veraltete kryptografische Protokoll TLS 1.0 ist ab FortiOS 6.0 per default nicht mehr aktiviert. Es wird empfohlen mindestens TLS 1.1 (Cipher Suites) für Authentifizierung und Datenverschlüsselung zu verwenden. Wir sind derzeit bei TLS 1.3, das von der IETF (Internet Engineering Task Force) genehmigt wurde.

Lösung

Möchte man ältere Clients weiter verwenden, die man im Verlauf einer Migration über Update Rollout erst später mit TLS 1.2 oder höher einsatzbereit hat, kann auf der FortiGate das TLS 1.0 aktiviert werden.

Überprüfen der aktuellen TLS Einstellung, aus der FortiGate Console mit CLI Command:

Im CLI die Cipher Suite TLS 1.0 aktivieren.


Auch kann beim Client die TLS Version aus dem Microsoft Windows Snapin (inetcpl.cpl) Internetoptionen angepasst werden.

Windows-Logo + R

Win + R und der Eingabe von inetcpl.cpl

inetcpl.cpl ausführen

Bei Internetoptionen im Registerabschnitt Erweitert die TLS Version 1.0 aktivieren.

Internetoptionen Erweitert TLS 1.0 verwenden

Weitere Problemlösungen

Bei älteren Windows Versionen, oder bei Router mit PPPoE Internet Anbindung, können Fehler beim aufbau von SSL-VPN Verbindungen wie folgt behoben werden.

Es erscheint im FortiClient die Fehlermeldung:

Unable to establish the VPN connection. The VPN server may be unreachable (-5)

Dazu überprüft man die MTU grösse der Netzwerkschnittstellen, mit folgendem Befehl aus einer geöffneten Eingabeaufforderung

Die Ausgabe kann in etwa wie folgt aussehen:

Die MTU Size überprüfen und ggf. auf 1400 anpassen. In einer als Administrator geöffneten Eingabeaufforderung, mit ausführen von netsh.

Alternativ dazu Regedit aufrufen und zu folgendem Schlüssel navigieren.

unter dem entsprechenden Interface mit der passenden IP Adresse, hier {222e135b-d09c-47a3-9236-63a041a02ea6} den Schlüssel MTU mit Wert 578 Hexadecimal ändern.

Regedit Interface mit der passenden IP Adresse

Nach einem Computer neustart kann die SSL-VPN Verbindung aufgebaut werden.