FortiGate VPN-Konfiguration: IPsec und SSL VPN – Leitfaden

Die FortiGate-VPN-Konfiguration umfasst IPsec-Site-to-Site-Tunnel für verschlüsselte Standortanbindung sowie SSL-VPN- oder ZTNA-Zugriff für Remote-Benutzer. Jeder Modus wird mit sicheren Verschlüsselungs-Proposals und passenden Firewall-Richtlinien definiert.

VPN-Typen auf FortiGate

FortiGate bietet vier zentrale VPN-Ansätze: IPsec Site-to-Site, IPsec Dialup (Remote-Benutzer), SSL VPN (Web- und Tunnelmodus) und ZTNA. Die Wahl hängt von der Art der Endpunkte und den Sicherheitsanforderungen ab.

Site-to-Site-IPsec verbindet zwei feste Standorte (z. B. Zentrale und Filiale) über einen dauerhaften verschlüsselten Tunnel. Dialup-IPsec und SSL VPN ermöglichen mobilen/Remote-Benutzern den Zugriff auf die Organisation.

ZTNA (Zero Trust Network Access) ist ein neuerer Ansatz, der den breiten VPN-Zugriff durch anwendungsbezogene Autorisierung auf Basis von Identität und Geräteposture ersetzt und in die Security Fabric integriert ist.

VPN-Richtlinien werden mit derselben Logik wie normale Firewall-Richtlinien geschrieben; für Details siehe unseren Leitfaden zur Richtlinienverwaltung.

IPsec-Site-to-Site-Tunnel konfigurieren

IPsec Site-to-Site entsteht durch das Abgleichen der Parameter von Phase 1 (IKE) und Phase 2 (IPsec) zwischen zwei FortiGates; danach definieren Sie Routing und Firewall-Richtlinien für das Tunnel-Interface.

Nutzen Sie VPN > IPsec Wizard und wählen Sie die Site-to-Site-Vorlage. Legen Sie in Phase 1 die Remote-Gateway-IP, die Authentifizierungsmethode (meist Pre-Shared Key) und die Verschlüsselungs-/Hash-Proposals fest. Die Proposals beider Seiten müssen exakt übereinstimmen.

Definieren Sie in Phase 2 die zu schützenden lokalen und entfernten Subnetze. Nachdem der Tunnel steht, fügen Sie statische Routen, die den Verkehr für diese Subnetze auf das Tunnel-Interface lenken, sowie Firewall-Richtlinien in beide Richtungen hinzu.

Fernzugriff mit SSL VPN

SSL VPN ermöglicht Benutzern den sicheren Zugriff über den Browser (Webmodus) oder FortiClient (Tunnelmodus); Portal, Benutzergruppen und erreichbare Ressourcen werden zentral definiert.

Konfigurieren Sie im SSL-VPN-Portal, welche Ressourcen veröffentlicht werden, den IP-Bereich des Tunnelmodus und das Split-Tunneling-Verhalten. Authentifizieren Sie Benutzer gegen lokale oder externe (LDAP/RADIUS) Identitätsquellen.

Ein wichtiger Hinweis: Mit FortiOS 7.6 begann Fortinet, den SSL-VPN-Tunnel-/Webmodus insbesondere auf bestimmten Modellen mit wenig Speicher abzukündigen. Bei Neubereitstellungen sollten IPsec Dialup oder ZTNA geprüft werden.

Um den Benutzerverkehr mit UTM zu prüfen, fügen Sie Ihren VPN-Richtlinien Sicherheitsprofile hinzu; für den Einrichtungskontext kehren Sie zu unserem Installationsleitfaden zurück.

Wechsel zu ZTNA und modernem Zugriff

ZTNA gewährt Zugriff nur auf autorisierte Anwendungen mit Identitäts- und Geräteposture-Prüfung, statt das gesamte Netzwerk zu öffnen; das verkleinert die Angriffsfläche gegenüber breitem VPN-Zugriff deutlich.

FortiGate ZTNA arbeitet mit FortiClient und der Security Fabric zusammen, um jede Zugriffsanfrage kontinuierlich zu verifizieren. Das Prinzip 'never trust, always verify' gilt unabhängig vom Standort des Benutzers.

ZTNA positioniert sich als natürlicher Nachfolger dort, wo SSL VPN abgekündigt wird, und reduziert durch anwendungsbezogenen Zugriff das Risiko lateraler Bewegung.

Wo ZTNA in die Gesamtarchitektur passt, behandeln wir in unserem Was-ist-FortiGate-Leitfaden.

Best Practices für VPN-Sicherheit

VPN-Sicherheit erfordert Multi-Faktor-Authentifizierung, starke Verschlüsselungs-Proposals, die Beschränkung unnötigen Zugriffs, regelmäßige Firmware-Updates und das Monitoring der VPN-Logs.

• Erzwingen Sie Multi-Faktor-Authentifizierung (MFA) auf allen Remote-Access-VPNs.
• Deaktivieren Sie schwache Verschlüsselungs-/Hash-Proposals (z. B. DES, MD5).
• Nutzen Sie Split-Tunneling nur bei Bedarf und bewusst.
• Halten Sie die Firmware gegen VPN-Schwachstellen aktuell.
• Überwachen Sie VPN-Sitzungslogs zentral.

Um VPN-Logs zentral zu sammeln und Anomalien zu erkennen, siehe unseren Artikel zu Logging mit FortiAnalyzer.

Häufig gestellte Fragen

Sollte ich auf FortiGate IPsec oder SSL VPN nutzen?

Für dauerhafte Verbindungen zwischen festen Standorten ist IPsec Site-to-Site ideal. SSL VPN wurde historisch für mobile Benutzer genutzt, für Neubereitstellungen werden jedoch IPsec Dialup oder ZTNA empfohlen.

Was sind Phase 1 und Phase 2?

In IPsec baut Phase 1 (IKE) einen sicheren Verwaltungskanal auf und authentifiziert; Phase 2 definiert die IPsec-Security-Associations und geschützten Subnetze, die den eigentlichen Datenverkehr tragen.

Wird SSL VPN wirklich entfernt?

Fortinet begann in FortiOS 7.6, den SSL-VPN-Tunnel-/Webmodus auf einigen Modellen mit wenig Speicher abzukündigen. Auf diesen Modellen sind IPsec oder ZTNA vorzuziehen; auf speicherstarken Plattformen kann es je nach Release Notes variieren.

Ist FortiClient für VPN erforderlich?

Für IPsec und den SSL-VPN-Tunnelmodus wird ein Client benötigt; FortiClient ist die übliche Wahl. Der SSL-VPN-Webmodus bietet clientlosen Zugriff über den Browser.

Ersetzt ZTNA VPN vollständig?

In vielen Fernzugriffsszenarien ersetzt ZTNA den breiten VPN-Zugriff durch engeren, anwendungsbezogenen Zugriff. Für Site-to-Site-Verbindungen ist IPsec weiterhin Standard.

Wie mache ich VPN sicherer?

Erzwingen Sie MFA, nutzen Sie starke Verschlüsselungs-Proposals, beschränken Sie den Zugriff nach Least Privilege, halten Sie die Firmware aktuell und überwachen Sie VPN-Logs kontinuierlich.

Fazit

FortiGate bietet ein breites Spektrum an sicherem Zugriff von Site-to-Site-IPsec bis ZTNA. Mit dem richtigen Modus, starker Verschlüsselung und Multi-Faktor-Authentifizierung wird Fernzugriff nutzbar und sicher; wo SSL VPN abgekündigt wird, bietet ZTNA einen modernen Nachfolger.

Um Ihre VPN- und ZTNA-Architektur zu entwerfen, sprechen Sie mit dem Netzwerksicherheitsteam von Sora Yazılım.