Neues SSLVPN-Tunnel Verhalten (starting with FortiOS v5.0.2)

Für alle, die sich wundern, warum auch ohne „ssl.root –> internal“-Firewall Policy Traffic über den SSLVPN Tunnel geschickt werden kann:

Beginnend mit FortiOS v5.0 wurden zwei neue CLI Schalter eingeführt (, die aber scheinbar erst ab v5.0.2 so richtig funktionieren…):

config vpn ssl settings
  set auto-tunnel-policy {enable | disable}
  set auto-tunnel-static-route {enable | disable}
end

auto-tunnel-policy:           Enable automatic creation of policies for SSLVPN
auto-tunnel-static-route: Enable automatic creation of static routes for SSLVPN

Per default sind beide Schalter eingeschaltet. D.h., per default entfällt das „lästige“ Einrichten der statischen Route für den SSLVPN IP-Addresspool und die zusätzlichen Firewall Policies für den SSLVPN Tunnel („ssl.root –> internal“). Das ist zwar sehr praktisch, aber sobald man eine etwas komplexere Situation hat (mehrere Usergruppen pro SSLVPN-Tunnel etc.), muss man wieder auf die alten Settings zurück.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.