hansdampf06
Goto Top

Keine Verbindung mit FortiClient (IPSec VPN) zur FortiGate

Hallochen allerseits!

Ich habe hier ein Problem bei der Einrichtung der VPN-Verbindung mit dem FortiClient, Version 5.0.3 und der FortiGate 60D (FortiOS 5.0).

Der FortiClient soll sich über IPSec VPN bei der FortiGate ins interne Netzwerk einwählen. Um dies auf der FortiGate einzurichten, habe ich mich an die auf www.forticlient.com vorhandene Videoanleitung gehalten. Diese entspricht auch der im entsprechenden Handbuch beschriebenen automatischen Konfiguration. Folglich müsste die Verbindung auf Anhieb klappen. Dennoch komme ich nicht weiter, weil nach der Einrichtung auf der FortiGate und dem FortiClient keine Verbindung aufgebaut werden kann.

Der FortiClient ist auf einem PC mit Windows 8 64bit installiert.
Gebe ich auf der FortiGate den externen Anschluss wan1 für FCT-Access frei, kann sich der FortiClient ohne VPN registrieren und updaten. Das spricht dafür, dass die Verbindung zwischen beiden als solche grundsätzlich funktioniert und der FortiClient die FortiGate erreichen und mir ihr kommunizieren kann.

Die Kontrolle der Parameter im Web-Interface der FortiGate erscheint ordnungsgemäß. Jedenfalls sind Konfigurationsfehler nicht erkennbar. Beim FortiClient werden die Angaben für die VPN-Verbindung über den FCT-Access realisiert, so dass diese ebenso stimmen sollten. Aber auch eine parallele manuelle Konfiguration des FortiClient für eine VPN-Verbindung mit den wenigen erforderlichen Angaben führt zu keinem anderen Ergebnis. Weitere Eingriffs-/Manipulationsmöglichkeiten durch mich bestehen somit regulär nicht.

Weshalb etabliert sich dennoch keine Verbindung? Kennt jemand dieses Problem und kann mir bei der Lösung behilflich sein?

Danke im Voraus.
HansDampf06

Content-Key: 207954

Url: https://administrator.de/contentid/207954

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: eumel1979
eumel1979 13.06.2013 um 11:47:31 Uhr
Goto Top
Hi,

ich habe gerade auch arge Probleme mit dem Forticlient. Allerdings nur bei Windows 8. Klappt es generell auf einem anderen Client mit z.B. Win7?

Gruß Eumel
Mitglied: aqui
aqui 13.06.2013 aktualisiert um 12:16:07 Uhr
Goto Top
Befindet sich der Client ggf. in einem mobilen Netzwerk (GSM/UMTS) ??
Wenn ja bekommt er dort öffentliche IP Adressen oder RFC 1918 IPs (Private IP Adressen)
Bei letzterem macht der Provider zentrales NAT und dann kannst du nur mit aktiviertem NAT Traversal diese NAT Firewall überwinden. "Normales" IPsec wird da dann geblockt !

Im Zweifel installier einen kostenlosen Wireshark Sniffer auf dem Rechner und sieh dir den VPN Verbindungsaufbau an ! Da weisst du dann im Handumdrehen wo das Problem ist !
Mitglied: HansDampf06
HansDampf06 13.06.2013 um 13:54:49 Uhr
Goto Top
@eumel1979:

Habe soeben auf einem WinXPSP3 den FortiClient installiert und es ist dasselbe Problem.

Bevor ich die Einstellungen nach Anleitung vorgenommen hatte, hatte ich händisch eine VPN-Verbindung konfiguriert. Dort bestand schon das Problem mit dem FortiClient. Aber ich konnte mich mit FEC IPSec Client problemlos verbinden. Den FEC IPSec Client muss ich in der jetzigen Konfiguration noch ausprobieren.

@aqui:

Der PC befindet sich in diesem Teststadium unmittelbar vor der FortiGate (wan1) im selben Netzwerkbereich. Daher sind weder das Internet noch Provider mit denkbaren Fehlerquellen dazwischen. Die IP-Adressen des PC und der FortiGate sind statisch.

NAT traversal wird / ist bei der FortiGate enabled.

Gemäß Deiner Anregung habe ich aber das Event-Log des FortiClient geprüft. Dort finden sich bei jedem Verbindungsversuch folgende Einträge:

13.6.2013 13:45:14 Bitte beachten VPN id=96566 msg="negotionation information, loc_ip=180.6.71.203 loc_port=500 rem_ip=10.119.8.11 rem_port=500 out_if=0 vpn_tunnel=FC-VPN action=negotiate init=local mode=aggressive stage=1 dir=outbound status=success Initiator: sent 10.119.8.11 aggressive mode message #1 (OK)" vpntunnel=FC-VPN
13.6.2013 13:45:26 Warnung VPN id=96561 msg="locip=180.6.71.203 locport=500 remip=10.119.8.11 remport=500 outif=0 vpntunnel=FC-VPN status=negotiate_error No response from the peer, phase1 retransmit reaches maximum count..." vpntunnel=FC-VPN

Dem kann entnommen werden, dass sich der FortiClient die VPN-Daten herunterlädt (oder hat sie durch die Registrierung schon) und zutreffend verwendet. Das erscheint o.k. Aber der Peer der FortiGate reagiert nicht. Was läuft dort nicht oder falsch?
Mitglied: HansDampf06
HansDampf06 13.06.2013 um 14:34:29 Uhr
Goto Top
@eumel1979:

Nunmehr der Test mit dem FEC IPSec Client. Funktioniert! Indes konnte ich folgende Beobachtung machen.

Stelle ich im FEC IPSec Client die Daten für Phase 1 und Phase 2 so ein wie auf der FortiGate, funktioniert es problemlos. Server lässt sich anpingen und Outlook verbindet sich gleichsam mit Exchange. So soll es sein!
Ich habe auch zwei verschiedene Datenvarianten probiert. Funktioniert!

Stelle ich für beide Werte den "automatischen Modus" ein, funktioniert es nicht.

Das könnte darauf hindeuten, dass sich der FortiClient in einem gleichsam automatischen Modus befinden könnte, was aber irgendwie nicht einleuchten will. Denn nach der Funktionsbeschreibung loggt sich der FortiClient zuerst auf der FortiGate ein und holt sich die IPSec-Daten. Erst danach beginnt er mit dem Verbindungsaufbau über IPSec. Darauf deuten auch die beiden Log-Einträge hin, weil er das nur wissen kann, wenn er sich die Daten zuvor von der FortiGate holt. Warum es dann aber nicht funktioniert, ist schleierhaft.

Gruß HansDampf
Mitglied: Dirmhirn
Dirmhirn 13.06.2013 um 17:02:35 Uhr
Goto Top
HI!

Wieso nimmst du nicht SSL VPN?

sg Dirm
Mitglied: HansDampf06
HansDampf06 16.06.2013 um 11:16:13 Uhr
Goto Top
@Dirmhirn:

Aus zwei Gründen:

1. Der Wechsel auf ein anderes VPN-Verfahren ist für mich keine Problemlösung, sondern ein schlichtes Ausweichen. Wie nachfolgend ersichtlich, lässt sich das Problem auch lösen.
2. Habe ich seit Jahren IPSec im Einsatz, wodurch mir die Details sehr vertraut sind. Zudem kann ich die Funktion mit dem anderen genannte Client sehr gut überprüfen, weil bei diesem Client die Einstellungen am VPN-Einwahlpunkt sehr gut nachvollzogen werden können. Andernfalls wäre die bestehende Problemlag kaum vernünftig handhabbar.

@aqui:

Danke! Du hast mich mit dem Tipp der Verwendung eines Sniffers auf die richtige Fährte gebracht.

Durch die Verwendung des Sniffers mit dem FortiClient und dem FEC IPSec Client konnte ich erkennen, dass im ersteren Fall eine falsche IP als Einwahlpunkt angesprochen wird. Das liegt augenscheinlich an Folgendem:

Wird der VPN-Peer auf der FortiGate eingerichtet, soll ein IP-Bereich für die VPN-Clients angegeben werden. Parallel dazu richtet die FortiGate unter dem VPN-Interface einen Tunnelendpunkt ein. Dort wiederum können eine "IP" und eine "Remote IP" angegeben werden. Hier steht nach der automatischen Konfiguration "169.254.1.1", was mit dem IP-Bereich für die VPN-Clients und dem wahren Einwahlpunkt nicht übereinstimmt. Deshalb habe ich die "IP" auf einen Wert aus dem IP-Bereich der VPN-Clients geändert und für die "Remote IP" die IP des VPN-Interfaces, hier wan1, angegeben.

Das scheint aber nur ein Teilaspekt zu sein. Anfänglich konnten sich die FortiClients noch nicht auf der FortiGate registrieren. Nachdem ich die entsprechende Videoanleitung nachvollzogen hatte klappte das und der eingerichtete VPN-Peer wurde in die Konfiguration des FortiClient übertragen. Und siehe da: Nichts mit der "Remote IP" als Einwahlpunkt, sondern die "IP" wird propagiert. Wird nun auf dem FortiClient der VPN-Zugang manuell mit einem gesonderten Eintrag konfiguriert und die "Remote IP" als Einwahlpunkt konfiguriert, funktioniert auch die VPN-Einwahl und die Verbindung wird sauber aufgebaut. Das klappt sowohl unter Windows XP SP3 als auch Windows 8 anstandslos.
Genauso funktioniert dann der weitergehende Schritt der Einwahl von extern über Portforwarding des zwischen Internet und FortiGate befindlichen Routers. Dafür müssen nur der Port 500 (ip-sec) und die Protokolle AH und ESP auf wan1 der FortiGate weitergeleitet werden.

ERGEBNIS: Problem gelöst! face-smile Und damit wieder einen Schritt weiter bei den gewissen Eigenwilligkeiten des FortiOS.

@eumel1979:

Vielleicht ist die Frage der erfolgreichen Registrierung der FortiClients auf der FortiGate ein Lösungsansatz für deine bestehenden Probleme.