A modern SASE környezetek egyik legfontosabb kihívása, hogy a távoli felhasználók bárhonnan, bármilyen hálózatról stabilan és biztonságosan tudjanak csatlakozni a vállalati erőforrásokhoz. A gyakorlatban azonban sok hotel WiFi, vendéghálózat, mobilinternet vagy proxy mögötti vállalati hálózat korlátozza az IPsec VPN-ek által használt UDP forgalmat.
A FortiSASE erre kínál megoldást az IPsec over TCP funkcióval, amely lehetővé teszi, hogy a FortiClient kliens TCP-alapú kapcsolaton keresztül építsen fel IPsec VPN tunnelt a FortiSASE felhőhöz.
A funkció különösen fontos azoknál a szervezeteknél, amelyek:
- SSL VPN-ről IPsec alapú távoli hozzáférésre migrálnak
- Zero Trust és SASE architektúrát használnak
- sok roaming- vagy távoli felhasználót támogatnak
- korlátozott hálózati környezetekben működnek
- olyan országban is rendelkeznek SASE kliensekkel, ahol országos szinten korlátozzák az IPsec VPN-t a hagyományos UDP 500 / 4500-as portokon
A Fortinet hivatalos dokumentációja szerint a funkció FortiClient 7.4.5 vagy újabb verzióval támogatott.
https://docs.fortinet.com/document/fortisase/latest/feature-administration-guide/360393/settings
Mi az IPsec over TCP?
Az IPsec VPN hagyományosan UDP alapú kommunikációt használ, tipikusan UDP 500 és UDP 4500 portokon. Ezeket azonban bizonyos hálózatok blokkolják vagy instabilan kezelik.
A FortiSASE IPsec over TCP funkciója során:
- az IKE és ESP forgalom TCP kapcsolaton keresztül kerül továbbításra
- a kommunikáció TCP 443 porton működhet
- a kliens automatikusan fallback módba válthat UDP-ről TCP-re
A Fortinet dokumentáció szerint az Auto mód először UDP encapsulationt próbál használni, majd szükség esetén TCP-re vált.
A támogatott encapsulation módok:
- UDP – hagyományos IPsec működés
- Auto – automatikus UDP → TCP fallback
Hogyan működik FortiSASE környezetben?
FortiSASE esetén a FortiClient kliens a FortiSASE Cloud Security Tunnel szolgáltatáshoz kapcsolódik. Ha a hálózat engedi az UDP forgalmat, a kapcsolat hagyományos IPsec módban épül fel. Ha viszont az UDP blokkolt, a kliens TCP encapsulationra válthat.
FortiSASE konfiguráció
A funkció a FortiSASE adminisztrációs felületén érhető el:
Endpoint Profiles → Global Connection Settings
A Fortinet dokumentáció szerint:
- Windows és macOS endpointok támogatottak
- FortiClient 7.4.5 vagy újabb szükséges
- FortiSASE 26.x szükséges
- IKEv2 támogatott
FortiSASE IPsec over TCP – stabil VPN kapcsolat korlátozott hálózati környezetekben
Összegzés
A FortiSASE IPsec over TCP funkciója jelentősen javítja a távoli hozzáférés megbízhatóságát korlátozott hálózati környezetekben. Bár teljesítmény szempontjából az UDP továbbra is optimálisabb, a TCP encapsulation kritikus fallback mechanizmust biztosít modern SASE architektúrákban.
A Fortinet jelenlegi ajánlása alapján a legjobb gyakorlat az Auto encapsulation mód használata, amely intelligensen választ UDP és TCP között az aktuális hálózati környezet alapján.
Szerző:
Csere István | Presales- / Rendszermérnök – HRP Europe Kft.
