Har for tidligere versjoner av Fortigate og FortiClient plundret mye med og få satt opp brannmur og klient riktig. Med x antall parametre som må stemme overens så er det mye som kan gå galt.
Med versjon 3.0 av Fortigate OS'et og FortiClient så ble det mye enklere. Med utgangspunkt i veiledningen fra Fortinet så har jeg kokt ned oppsettet til 10 punkt!
Automagisk henviser til at en på FortiClienten kun trenger brukernavn og passord for å få opp VPN. Ingen knoting med settinger på fase 1 og 2...
"oppringt" henviser til at en ikke setter begrensning på hvor (hvilken lokal ipadresse) klienten er.
<Oppdatert>
Fant omsider ut hvordan en fikk til Split Tunneling(Lokalt internett fungerer også når tunnelen er oppe) på FortiClienten. Dvs. siden det er automagisk konfigurasjon, så er det på fortigaten en må endre instillingene. Se punkt 2b.
</Oppdatert>
Ove B-)
Konfigurering av Fortigate:
1. Finn neste ledige firewall policy nummer. Erstatt <NesteLedigePolicyNo> i skriptet under
1b. Erstatt <NavnPåExternalInterface> og <NavnPåInternalInterface>med navnet på external & internal interface(Bruker og være external/wan1 og internal)
2. En må ha lagt inn lokalt lan i en adresse. Erstatt <LokaltLanNavn> i skriptet under.
2b. For å slå på Split Tunneling på FortiClienten så må <LokaltNett> erstattes med Fortigatens lokale subnett. Ønsker en ikke Split Tunneling så fjern hele linja.
3. Kjør skriptet under mot Fortigaten. Enkleste måte er og logge på web-grensesnittet og så lime inn skriptet i consoll vinduet.(krever en ganske ny versjon av 3.0)
4. Gå inn og sett preshared key på fase1 for FortiClient_Autoconfig_P1
5. Flytt brannmurregelen før all - all regelen.
6. Opprett lokale brukere og legg de til i gruppen FortiClient_Autoconfig_UG
Konfigurering av FortiClient:
1. Installer FortiClient. NB: Om du kun er ute etter VPN så velg Custom installasjon og velg vekk alt unntatt IPSec VPN.
2. Legg til en VPN regel med Configuration = Automatic og Policy Server = Fortigates ekstern ip.
3. Koble til VPN.
4. Logg på med brukernavn og passord. Voila:-)
<Script Start>
config user group
edit "FortiClient_Autoconfig_UG"
set profile "scan"
next
end
config vpn ipsec phase1
edit "FortiClient_Autoconfig_P1"
set type dynamic
set interface "<NavnPåExternalInterface>"
set nattraversal enable
set proposal 3des-sha1 3des-md5
next
end
config vpn ipsec phase2
edit "FortiClient_Autoconfig_P2"
set pfs enable
set phase1name "FortiClient_Autoconfig_P1"
set proposal 3des-sha1 3des-md5
set replay enable
set src-subnet <LokaltNett> 255.255.255.0
next
end
config vpn ipsec forticlient
edit "FortiClient_Autoconfig_PS"
set phase2name "FortiClient_Autoconfig_P2"
set usergroupname "FortiClient_Autoconfig_UG"
next
end
config firewall policy
edit <NesteLedigePolicyNo>
set srcintf "<NavnPåInternalInterface>"
set dstintf "<NavnPåExternalInterface>"
set srcaddr "<LokaltLanNavn>"
set dstaddr "all"
set action ipsec
set schedule "always"
set service "ANY"
set profile-status enable
set profile "scan"
set inbound enable
set outbound enable
set vpntunnel "FortiClient_Autoconfig_P1"
next
end
<Script End>
Ove B-) |
