A FortiOS 7.6.3 verziójától kezdődően a Fortinet bejelentette az SSL VPN tunnel mód támogatásának megszüntetését minden FortiGate eszközön.
A 7.6.x mellett több előző major verziójú OS-eket is támogat a Fortinet, akár a standard, akár a long term support keretei között. Ezeken az OS-eken az SSL VPN támogatott marad olyan megkötéssel, hogy bizonyos korábbi verzióknál a 2 GB-os és a desktop G eszközöknél az SSL VPN már korábban kivezetésre került.
Mi a HRP Europe-nál „előreszaladtunk”, hogy megnézzük, mi vár ránk a jövőben, vagy az early adopter-ekre már most.
Korábbi FortiOS verziókban az SSL VPN (tunnel- és web mód) teljesen eltávolításra került a csak 2 GB RAM-mal rendelkező modellekből és a desktop G modellekből, a FortiOS 7.6.3-tól kezdődően az SSL VPN tunnel mód minden modellből eltávolításra kerül. Az SSL-VPN web-mód (amelyet mostantól „Agentless VPN”-nek hívnak) továbbra is elérhető – de csak a 19”-os -rack méretű Fortigate modelleken (3 számjegyű Fortigate modellek) illetve a VM eszközökön.
Az egyik lehetséges irány az SSL VPN kapcsolatok ZTNA-ra történő migrálása, amikor a klienseinknek szükséges hozzáférést adni a FortiGate mögötti alkalmazásszerverekhez.
A 2 GB-s modellek esetén az SSL VPN fokozatosan került kivezetésre, így a kisebb modellek esetén már voltak workaround-ok, amik segítségével az SSL VPN kapcsolatainkat ZTNA-ra tudtuk migrálni. (Itt szűk keresztmetszet lehet, hogy a proxy funkciókat a 2 GB-os modellekből a FortiOS 7.4.4-től kezdődően kivezették, ami a ZTNA access proxy funkcionalitást is érintette. A ZTNA proxy funkciók FortiOS 7.4.4 felett a 4 GB-os modellektől elérhetőek. A FortiGate VM ez alól kivétel, de a 4 GB RAM javasolt.)
A másik irány a meglévő SSL VPN kapcsolatok IPSec VPN-re migrálása. Ez a távoli kliens csatlakozás mellett megoldást nyújthat olyan esetekre, amikor Fortigate és Fortigate közötti közvetlen SSL VPN kapcsolatokat kell konvertálni.
Az IPSec használata azonban a közbenső / szolgáltatói eszközök és beállítások további kérdéseket vetnek fel:
- ESP csomagok blokkolása
- UDP 500 és 4500 portok blokkolása
- CGNAT közbenső / szolgáltatói megoldás
A Fortinet mérnökei gondoltak a megoldásra, így a FortiOS 7.4.2 verziójától, illetve a FortiClient 7.4.0 verzióitól van lehetőségünk arra, hogy az IPSec kapcsolatokat TCP protokollon keresztül valósítsuk meg akár a TCP 443-as port használatával, ami a HTTPS protokoll standard kommunikációs portja, így a legtöbb eszközön nyitva van.
Az IPSec over TCP funkcióhoz IPSec IKEv2-t kell használnunk.
A site to site kialakítás lehetséges, az ESP packet-eket beágyazhatjuk a TCP header-ekbe.
Ez a megoldás lehetővé teszi, hogy az ESP csomagokhoz portszám legyen rendelve, ami lehetővé teszi azok áthaladását olyan szolgáltatói hálózatokon, ahol a közvetlen IPSec forgalmat blokkolják vagy problémákba ütközik a CGNAT miatt.
A FortiGate-en beállítható az is, hogy amennyiben az adott IPSec kapcsolatnál az UDP a fő irány, akkor a TCP kapcsolódás failback-ként működjön, azaz ha nem sikerül UDP-n keresztül felépíteni az IPSec kapcsolatot, akkor a TCP legyen a másodlagos irány.
A kliens csatlakozás IPSec over TCP-vel megvalósítható a FortiClient 7.4.0 verzióitól is, mind az EMS menedzselt változat, mind az ingyenes kliens esetén. (Az ingyenes kliens esetén a 7.4.3-as verziót teszteltük Windows-on, illetve MAC-en is. Az ingyenes MAC-es 7.4.3-as verziónál az IPSec over TCP beállításokat a konfigurációs XML fájl módosításával lehetett megvalósítani.)
IPSec over VPN kapcsolat FortiClient 7.4.3 menedzselt változattal.
Szerző:
Csere István | Presales- / Rendszermérnök – HRP Europe Kft.
Összegzés
A FortiOS 7.6.3-as verziótól megszűnik az SSL VPN tunnel mód támogatása minden FortiGate eszközön. Alternatívaként szóba jöhet a ZTNA, az IPSec VPN, illetve az IPSec over TCP megoldás, amivel site-to-site és client-to-site kapcsolat is kialakítható, ez utóbbi akár az ingyenes FortiClient VPN only verzióval is.
Amennyiben nem biztos abban, melyik megoldás lenne a legmegfelelőbb szervezete számára, forduljon hozzánk bizalommal – segítünk a legjobb alternatíva kiválasztásában, bevezetésében, valamint teljeskörű technikai támogatást is biztosítunk.
