* Forticlient Rpm download für 64-bit Systeme (Achtung Hinweis beachten)
* Forticlient Deb download für 64-bit Systeme (Achtung Hinweis beachten)
Offizielle Dokumentation FortiClient Linux
Konfigurationsparameter:
Alternativ ist auch die Nutzung des quelloffenen Clients openfortivpn möglich. Hier der Inhalt des benötigten Config-Files (/etc/openfortivpn/config):
host = sslvpn.oth-regensburg.de realm = vpn-default port = 443 trusted-cert = 364fb4fa107e591626b3919f0e7f8169e9d2097974f3e3d55e56c7c756a1f94a username = abc12345 password = meinpasswort
Das Zertifikat sollte verwendet werden, ansonsten ist ein Man-in-the-middle-Angriff möglich. Die Angabe im Config-File unter „trusted-cert“ ist identisch mit dem SHA256-Hash des Serverzertifikats. Eine einfache Überprüfung des Zertifikats inkl. seiner Signaturen ist z.B. möglich, indem man per Browser https://sslvpn.oth-regensburg.de aufruft und sich die Details zum Zertifikat (z.B. Vorhängeschlossicon links neben Adressleiste bei Firefox → weitere Informationen → Zertifikat anzeigen) anzeigen lässt. Automatisch sollte es klappen, wenn man das DFN-Zertifikat global importiert.
Wichtiger Hinweis: Damit der Client funktioniert, muss der pppd
installiert sein.
Anscheinend bei pppd-Version > 2.5.0 (siehe Issue 1138 für openfortivpn) kann folgender Fehler auftreten:
Peer refused to agree to his IP address
In diesem Fall kann das Flag „–pppd-accept-remote“ helfen:
openfortivpn --pppd-accept-remote
Eine weitere alternative Möglichkeit der Herstellung einer VPN-Verbindung bietet der NetworkManager des Gnome Projekts.
Zur Nutzung des Fortinet SSL-VPN muss die Erweiterung NetworkManager-fortisslvpn mit dem Packetmanager der Wahl installiert werden. Dabei wird auch das Paket openfortivpn installiert.
Im folgenden Beispiel kommt Fedora mit dem Dandified YUM Packetmanager zum Einsatz.
sudo dnf install NetworkManager-ppp NetworkManager-fortisslvpn
Für Ubuntu 20.04 wird NetworkManager als Standardprogramm verwendet. Folgende Erweiterung muss noch installiert werden:
sudo apt install network-manager-fortisslvpn network-manager-fortisslvpn-gnome
Nun muss man die VPN-Verbindung anlegen und im Anschluss noch die passenden Verbindungsdaten hinzufügen. Hinweis: Der Benutzername muss angepasst werden.
nmcli con add type vpn vpn-type org.freedesktop.NetworkManager.fortisslvpn con-name OTH nmcli con mod OTH vpn.data "gateway = sslvpn.oth-regensburg.de:443, otp-flags = 0, password-flags = 1, realm = vpn-default, trusted-cert = 2d93980ff2351c71f8721f554df368bdd38bfcfe3b28f67e19b898623f09d7f2, user = abc12345"
Die VPN-Verbindung kann mittels nun mittels des nachfolgenden Befehls aktiviert werden. Dabei wird man nach seinem Passwort gefragt.
nmcli --ask con up OTH
Um die VPN-Verbindung zu trennen verwendet man den nachfolgenden Befehl.
nmcli con down OTH
Will man sein Passwort dauerhaft speichern so kann man bei der VPN-Verbindung noch ein „Secret“ hinterlegen.
nmcli con mod OTH vpn.secrets "password=PassswordStrong"