¶ SSL-VPN Client installieren
Folgender Artikel erklärt Ihnen, wie Sie den SSL-VPN-Client (FortiClient) installieren und konfigurieren. Für die Verwendung des SSL-VPN lesen Sie bitte den Artikel VPN verwenden.
Falls Sie keinen Client installieren möchten können Sie auch direkt über unsere Weboberfläche das SSL-VPN verwenden. Folgen Sie hierzu auch dem Artikel VPN verwenden im Punkt "Weboberfläche". Dort befindet sich ebenfalls nochmals ein Downloadlink für den FortiClient. Achten Sie darauf, dass Sie keinen anderen Client verwenden können. Lediglich der in diesem Artikel beschriebene FortiClient ist mit diesem SSL-VPN kompatibel. Achten Sie außerdem darauf, stets eine aktuelle Version des FortiClients zu verwenden, um möglichen Kompatibilitätsproblemen vorzubeugen.
¶ Download
Um den SSL-VPN-Client (FortiClient) herunterzuladen klicken Sie hier das entsprechende Icon an.
 |
 |
 |
 |
 |
 |
|---|---|---|---|---|---|
| Windows | Apple | Redhat (.rpm) | Debian (.deb) | Android | iOS |
Alternativ navigieren Sie auf folgende Seite https://www.fortinet.com/de/support/product-downloads und scrollen Sie ans Ende der Seite und wählen Sie bei "FortiClient VPN" den richtigen Download-Button analog zu Ihrem Endgerät.
Achten Sie hierbei darauf, die FortiClient Version 7.0.3 oder neuer zu installieren.
¶ Installation
¶ Windows
Führen Sie anschließend das soeben heruntergeladene File aus und folgen Sie den Schritten des Installers. Dabei können Sie auch den Speicherort des Clients auswählen. Wir empfehlen hierbei den standardmäßig ausgewählten Speicherort (C:\Program Files\Fortinet\FortiClient). Sobald die Installation abgeschlossen ist, öffnen Sie den FortiClient, um die Konfiguration durchzuführen.
¶ Mac
Führen Sie ebenfalls das soeben heruntergeladene File aus und folgen Sie den Schritten des Installers.
¶ Linux
Unter Linux welchseln Sie zuerst im Terminal in Ihren Download-Ordner (cd /home/IhrUserName/Downloads) und installieren dann das soeben heruntergeladene Package:
- Debian: sudo apt install ./forticlient_vpn_X.X.X.XXXX_amd64.deb
- Red Hat: sudo rpm -i forticlient_vpn_X.X.X.XXXX_x86_64.rpm
Anschließend können Sie den FortiClient bereits starten, z.B. indem Sie unter Debian unter 'Activities' nach FortiClient suchen.
Achtung: Wenn es bei der Installation zu einer Fehlermeldung der Art "dpkg: dependency problems prevent configuration of forticlient" kommt, müssen noch zusätzliche Abhängigkeiten installiert werden. Das passiert über den Befehl:
apt-get -f install
¶ Konfiguration
Es gibt zwei Möglichkeiten die Konfiguration vorzunehmen. Entweder händisch per Eingabe oder über ein XML-File, dass Sie im nächsten Abschnitt herunterladen können. Hier werden beide Möglichkeiten beschrieben. Als ersten Schritt muss jedenfalls nach Öffnung des Programms eine Lizenzvereinbarung akzeptiert werden und ansschließend auf den Punkt "VPN konfigurieren" geklickt werden.
¶ Per XML-File
VPN:
XML-Config-File: Download
VPN2 (Redundanz-VPN):
XML-Config-File: Download
Verwenden Sie standardmäßig immer die Config für "VPN". "VPN2 (Redundanz-VPN)" nur dann verwenden, falls wir Wartungen durchführen oder das VPN ausgefallen sein sollte. Über Wartungen werden Sie als Kunde regelmäßig per E-Mail benachrichtigt. Ausfälle sind auf unserem Systemstatus einzusehen.
Klicken Sie auf VPN konfigurieren oder legen Sie eine neue Verbindung an, falls bereits eine existiert. Wählen Sie hierzu bei "VPN" den Punkt: "XML". Halten Sie das XML-Config-File bereit, welches Sie hier herunterladen können. Klicken Sie bei "VPN Configuration" auf den Button "Import XML Configuration" und wählen Sie im Dateidialog das entsprechende Config-File aus.
Eine Passworteingabe ist nicht erforderlich (lassen Sie dieses Feld frei). Klicken Sie anschließend auf "Importieren" und abschließend (falls die Applikation Sie nicht automatisch zur Startseite zurückleitet) auf "Sichern".
Auf der Startseite können Sie nun den "LiveDesign-VPN" auswählen und verwenden. Folgen Sie zur Verwendung dem Artikel: "VPN verwenden" im Abschnitt "FortiClient".
¶ Per Eingabe
- VPN: Hier gilt es den Punkt "SSL-VPN" auszuwählen.
- Verbindungsname: Dieser kann beliebig gewählt werden (Beispiel: LiveDesign-VPN), darf allerdings nicht freigelassen werden.
- Remote Gateway: Hier muss "vpn.livedesign.at" angegeben werden. Der zu verwendende Port ist 443.
- Enable Dual-stack IPv4/IPv6 address: Hier müssen Sie den Haken zu setzen, damit sowohl IPv4 als auch IPv6 Protokolle verwendet werden können.
Alle anderen Felder können leer gelassen werden bzw. müssen nicht verändert werden.
Bei der Authentifizierung können Sie sich entscheiden, ob Sie das Login speichern möchten, also nicht jedesmal erneut eingeben möchten. In diesem Fall wählen Sie "Login speichern" und geben Sie zusätzlich Ihren Benutzernamen an. Andernfalls lassen Sie die Auswahl auf "Nachfragen beim Login".
Klicken Sie anschließend auf "Sichern".
Wiederholen Sie diesen Schritt nochmals für das Redundanz-VPN (VPN2), welches Sie verwenden können, falls sich das standardmäßige VPN in Wartung befindet oder es ausgefallen ist. Über Wartungen werden Sie als Kunde regelmäßig per E-Mail benachrichtigt. Ausfälle sind auf unserem Systemstatus einzusehen.
- VPN: Hier gilt es den Punkt "SSL-VPN" auszuwählen.
- Verbindungsname: Dieser kann beliebig gewählt werden (Beispiel: LiveDesign-VPN2), darf allerdings nicht freigelassen werden.
- Remote Gateway: Hier muss "vpn2.livedesign.at" angegeben werden. Der zu verwendende Port ist 443.
- Enable Dual-stack IPv4/IPv6 address: Hier müssen Sie den Haken zu setzen, damit sowohl IPv4 als auch IPv6 Protokolle verwendet werden können.
Sie können dann zwischen den beiden Verbindungen (VPN und VPN2) wählen. Wir möchten nochmals darauf hinweisen VPN2 nur im Falle eines Ausfalls oder einer Wartung zu verwenden.
Als letzten Konfigurationsschritt empfehlen wir DTLS zu aktivieren. Dies ist besonders hilfreich, wenn Sie besonders große Datenmengen übermitteln möchte, denn dann kann es sein, dass Ihnen der SSL-VPN zu langsam ist. Sie können DTLS aktivieren, um die Datenpakete per UDP und somit schneller zu übermitteln. Falls Sie eine langsame oder instabile Internetverbindung haben empfehlen wir allerdings das normale SSL-Setting.
Um DTLS zu aktivieren klicken Sie im FortiClient auf "Einstellungen" (Zahnradsymbol in der Menüleiste). Diese Funktion ist möglicherweise gesperrt. Sollten Sie nicht zu den Einstellungen gelangen müssen Sie vorher das "Padlock/Vorhängeschloss"-Symbol in der Menüleiste ganz rechts anklicken, um die Funktion zu entsperren.
In den Einstellungen setzen Sie anschließend den Haken bei "Bevorzugter DTLS Tunnel" im Reiter "VPN-Optionen".
Beachten Sie, dass die DTLS-Option unter Linux und Mac erst aber der Version 7.2.2 zur Verfügung steht!
¶ Linux Command line
Unter Linux ist es auch möglich auf die VPN-Funktionen über den CLI-Befehl fortivpn zuzugreifen:
- /opt/forticlient/fortivpn edit <my_vpn_name>
- /opt/forticlient/fortivpn list
- /opt/forticlient/fortivpn view <my_vpn_name>
- /opt/forticlient/fortivpn connect <my_vpn_name>
/opt/forticlient/fortivpn connect <my_vpn_name> --user=
/opt/forticlient/fortivpn connect <my_vpn_name> --user= --password
/opt/forticlient/fortivpn connect <my_vpn_name> --user= --password --save-password --always-up - /opt/forticlient/fortivpn status
- /opt/forticlient/fortivpn disconnect
- /opt/forticlient/fortivpn remove <my_vpn_name>
| Befehl | Beschreibung |
|---|---|
| edit <my_vpn_name> | Erstellen oder Bearbeiten einer VPN-Konfiguration. |
| list | Vorhandene VPN-Konfigurationen auflisten |
| view <my_vpn_name> | Details einer VPN-Konfiguration anzeigen |
| connect <my_vpn_name> | Stellt eine Verbindung zu einem konfigurierten VPN-Tunnel her. Verwenden Sie die Optionen --user=, --password, --save-password und --always-up, um den Benutzernamen und das Passwort anzugeben, das Passwort zu speichern oder den Tunnel so zu konfigurieren, dass er immer aktiv ist. |
| status | Zeigt den VPN-Status an |
| disconnect | Trennt die Verbindung zum VPN |
| remove <my_vpn_name> | Entfernt die Konfiguration des VPN-Tunnels |
Die Verwendung von DTLS kann unter Linux aktuell nur in der grafischen Oberfläche aktiviert werden!
Achtung: Unter Ubuntu ist es möglich, dass die Verbindung zum VPN über die command line nicht korrekt funktioniert, wenn gnome-keyring nicht konfiguriert ist.
Um gnome-keyring zu konfigurieren:
- Installieren Sie gnome-keyring
sudo apt install gnome-keyring - Initialisieren und entsperren Sie den Login-Keyring:
killall gnome-keyring-deamon
echo -n "ihr-anmelde-passwort" | gnome-keyring-daemon --unlock
¶ FAQ
Kann ich ein IPSec-VPN verwenden?
Für Client-Verbindungen bieten wir kein IPSec-VPN an. Dieses wird von uns nur für Verbindungen zwischen Firewall und Firewall eingesetzt. Sollten Sie ein solches VPN benötigen vereinbaren Sie sich bitte einen Termin mit uns (livedesign.at/contact.html).
Kann ich dies mit einem Dual-Stack verwenden?
Ja, setzen Sie hierzu beim Erstellen oder Editieren der VPN-Verbindung den Haken bei "Enable Dual-stack IPv4/IPv6 address".
Wird Single Sign On (SSO) unterstützt?
Nein, Single Sign On wird nicht unterstützt.