Neues SSLVPN-Tunnel Verhalten (starting with FortiOS v5.0.2)

Für alle, die sich wundern, warum auch ohne “ssl.root –> internal”-Firewall Policy Traffic über den SSLVPN Tunnel geschickt werden kann:

Beginnend mit FortiOS v5.0 wurden zwei neue CLI Schalter eingeführt (, die aber scheinbar erst ab v5.0.2 so richtig funktionieren…):

config vpn ssl settings
  set auto-tunnel-policy {enable | disable}
  set auto-tunnel-static-route {enable | disable}
end

auto-tunnel-policy:           Enable automatic creation of policies for SSLVPN
auto-tunnel-static-route: Enable automatic creation of static routes for SSLVPN

Per default sind beide Schalter eingeschaltet. D.h., per default entfällt das “lästige” Einrichten der statischen Route für den SSLVPN IP-Addresspool und die zusätzlichen Firewall Policies für den SSLVPN Tunnel (“ssl.root –> internal”). Das ist zwar sehr praktisch, aber sobald man eine etwas komplexere Situation hat (mehrere Usergruppen pro SSLVPN-Tunnel etc.), muss man wieder auf die alten Settings zurück.

Leave a Reply

Your email address will not be published. Required fields are marked *