FortiClient und openfortivpn¶
Siehe auch
- Offizielle Dokumentation
- Linuxfabrik
Um sich von einem Linux-Host aus gegen eine FortiGate-VPN-Gateway zu verbinden, gibt es zwei Wege: den offiziellen FortiClient von Fortinet und den Open-Source-Client openfortivpn. openfortivpn ist deutlich wartungsärmer und wird gegenüber dem FortiClient bevorzugt.
openfortivpn¶
openfortivpn ist in den Fedora- und EPEL-Repositories verfügbar:
dnf --assumeyes install openfortivpn
Wird eine bestimmte Version benötigt (z.B. weil die Paket-Version inkompatibel mit der Gegenstelle ist), lässt sich ein spezifischer Koji-Build installieren. Passenden Build unter https://packages.fedoraproject.org/search?query=openfortivpn heraussuchen und direkt per URL installieren, z.B.:
dnf --assumeyes install \
https://kojipkgs.fedoraproject.org//packages/openfortivpn/1.19.0/1.fc37/x86_64/openfortivpn-1.19.0-1.fc37.x86_64.rpm
FortiClient¶
Unter GNOME mit Wayland-Session klemmt der FortiClient, weil er an eine klassische X11-DISPLAY-Variable andockt. Beim Login über GDM deshalb den Eintrag „GNOME on Xorg“ wählen (so heisst die Session auf Fedora und RHEL-basierten Distros), dann startet der Client sauber.
tar --extract --verbose --gzip --file=forticlientsslvpn.tar.gz
cd forticlientsslvpn
./fortisslvpn.sh
Troubleshooting¶
- Peer refused to agree to his IP address
Der
pppd, denopenfortivpnintern aufruft, weigert sich, die vom FortiGate vorgeschlagene IP-Adresse zu akzeptieren. Abhilfe über ein eigenes pppd-Peer-File, das die Remote- und Local-IP-Vorschläge der Gegenseite akzeptiert:/etc/ppp/peers/forti¶ipcp-accept-remote ipcp-accept-local
Danach
openfortivpnmit--pppd-call fortistarten, damitpppddieses Peer-File liest. Die--config-Datei ist der Pfad zur openfortivpn-Konfiguration mit Gateway-Adresse und Credentials:openfortivpn --config=/etc/openfortivpn/example.com.conf --pppd-call=forti