Aktuelle SSLVPN Client für MacOS dropped “grosse” Pakte

Ab der Version FortiOS v4.3.2 verwendet der SSLVPN Client (zumindest in der MacOS Version) TLSv1.2 und nicht mehr TLSv1. In diesem Zusammenhang scheint es auch eine andere “Änderung” zu geben. Pakete, welche grösser sind als 996 Bytes, werden vom SSLVPN Client im Tunnel Mode nicht mehr aktzeptiert.

Dieses Situation tritt aber nur sehr selten auf. Für diesen Fall gibt es weiterhin einen einfachen Workaround, in dem die MTU size auf dem ssl.root Interface herunter gesetzt wird:

FG # conf sys int 
FG (interface) # edit ssl.root 
FG (ssl.root) # set mtu-override en 
FG (ssl.root) # set mtu 900 
FG (ssl.root) # end
FG (interface) # end
FG #

Vielen Dank an den Fortinet Support, der das Problem nachgestellt und uns den Workaround zur Verfügung gestellt hat.

Leave a Reply

Your email address will not be published. Required fields are marked *