skip to content
Proell Expert
Hallo und herzlich Wilkommen!

Hier bei Proell.expert finden Sie Ihren Experten!

Aktuell arbeite ich an einem Remote-Access f├╝r Clients f├╝r ein kleines Unternehmen.

Die Fortigate sitzt hinter einer Fritz-Box und auf diese soll ein VPN-Zugriff mit den Clients eingerichtet werden. Bei der Installation zeigten sich folgende Herausforderungen:

  • Nur IPv6 war nach au├čen erreichbar.
  • Die IP-Addresse ├Ąnderte sich t├Ąglich

 

F├╝r das dynamische DNS konnte ein Name mit folgenden Zeilen auf IPv6 eingerichtet werden:

config system ddns
    edit 1
        set ddns-server FortiGuardDDNS
        set server-type ipv6
        set ddns-domain "<name>.fortiddns.com"
        set use-public-ip enable
        set addr-type ipv6
        set monitor-interface "wan"
        set update-interval 180
    next
end

Es dauert etwas, bis der neue Name registriert ist und die IPv6-IP auch im DNS hinterlegt wird.

Bei der hinterlegten IP wird auch die IPv4-Addresse verwendet. Ung├╝nstig, wenn man VPN machen m├Âchte. Hierbei muss man an den Clients noch umstellen, dass diese den Tunnel nur per IPv6 er├Âffnen d├╝rfen.

Hierzu in den Netzwerkeinstellung zum jeweiligen VPN gehen und IPv4 deaktiveren.

Bei der Verbindung gabs dann den Fehler im Windows-Eventl-Log:

Der Benutzer "SYSTEM" hat eine Verbindung mit dem Namen "l2tpv6" gew├Ąhlt, die Verbindung konnte jedoch nicht hergestellt werden. Der durch den Fehler zur├╝ckgegebene Ursachencode lautet: 13801.

Da die Fortigate keine Probleme angezeigt hat, ist anzunehmen, dass Windows die Verbindung verhindert, da es sich um ein Self-Signed Zertifikat handelt, das im VPN zum Einsatz kommt. L├Âsung hierf├╝r ist Let's Encrypt, das mit der neuen Version bereits direkt aus der GUI heraus eingesetzt werden kann. Allerdings handelt es sich aber der aktuellen 7.0.2er Version um die Staging-Version - was das Problem nicht nachhaltig l├Âst.

Hier nicht den Fehler machen und ├╝ber die GUI das Zertifikat generieren sondern direkt ├╝ber die Konsole. Sind nur ein paar Kommandos:

config system acme
set interface wan
end

config vpn certificate local
edit acme
set enroll-protocol acme2
set acme-domain <host>.fortiddns.com
set acme-email "<emailaddresse>"
next

Man kann nun dieses Zertifikat auch f├╝r die GUI verwenden. Hierzu muss noch folgendes Kommando eingegeben werden:

config system global
    set admin-server-cert "acme-test"
end

 

 

 

up