Installazione Forticlient IPSEC + MFA
Installazione Forticlient IPSEC + MFA
Salve a tutti,
come da titolo.
Ho la necessità di collegarmi ad un ambiente sotto VPN. Come software per la connessione occorre utilizare FortiClient configurando ip-sec e la possibilità di accedere con MFA.
Purtroppo la versione ufficial sul sisto https://www.fortinet.com/support/product-downloads#vpn permette di scaricare una versione del software che non ha la configurazione IPSEC e non so come abilitare il MFA (che dovrebbe essere automatico).
Qualcuno ha alternative o può aiutarmi per poter accedere alla VPN nel modo indicato?
Ovviamente ho tutte le informazioni per una corretta configurazione di FortiClient, devo solamente abilitare IPSEC e il MFA tra cui:
- Pre-shared Key
- ip del server
- nome utente
- password
- Fortitoken Mobile
Grazie
come da titolo.
Ho la necessità di collegarmi ad un ambiente sotto VPN. Come software per la connessione occorre utilizare FortiClient configurando ip-sec e la possibilità di accedere con MFA.
Purtroppo la versione ufficial sul sisto https://www.fortinet.com/support/product-downloads#vpn permette di scaricare una versione del software che non ha la configurazione IPSEC e non so come abilitare il MFA (che dovrebbe essere automatico).
Qualcuno ha alternative o può aiutarmi per poter accedere alla VPN nel modo indicato?
Ovviamente ho tutte le informazioni per una corretta configurazione di FortiClient, devo solamente abilitare IPSEC e il MFA tra cui:
- Pre-shared Key
- ip del server
- nome utente
- password
- Fortitoken Mobile
Grazie
Tutti sanno che una cosa è impossibile da realizzare, finchè arriva uno sprovveduto che non lo sa e la inventa. (Albert Einstein)
-
- Full Member
- Messaggi: 229
- Iscritto il: 14/08/2018, 15:27
Re: Installazione Forticlient IPSEC + MFA
Curiosità, quanto tempo hai perso per cercare una soluzione con google?
Per la questione MFA, credo proprio che tu non debba fare nulla (tranne provvedere a fornire le informazioni per l'accesso quando ti compariranno i dialog in cui inserirle).
Per la questione ipsec, io ci ho messo si è no 5 minuti a trovare un articolo che pare promettente, e in questo lasso di tempo ho anche verificato che i pacchetti indicati per Ubuntu sono disponibili anche su Debian.
Prova e fai sapere come va.
https://community.fortinet.com/t5/Suppo ... d-p/232278
Per la questione MFA, credo proprio che tu non debba fare nulla (tranne provvedere a fornire le informazioni per l'accesso quando ti compariranno i dialog in cui inserirle).
Per la questione ipsec, io ci ho messo si è no 5 minuti a trovare un articolo che pare promettente, e in questo lasso di tempo ho anche verificato che i pacchetti indicati per Ubuntu sono disponibili anche su Debian.
Prova e fai sapere come va.
https://community.fortinet.com/t5/Suppo ... d-p/232278
Debian 11 - Cinnamon
Asus P552LA
Asus P552LA
Re: Installazione Forticlient IPSEC + MFA
Ho seguito la guida ma non sta funzionanto e quindi ho preferito scrivere omettendo volutamente questa soluzione per verificare se ci fosse un'alternativa.
Questo il risultato:
Di seguito i passi che ho seguito:
Installazione del software
Edit del file /etc/sysctl.conf aggiungendo le seguenti righe di configurazione:
Queste sono le configurazioni da seguire per la configurazione della VPN con IPSEC:
Edit del file /etc/ipsec.secrets:
sudo systemctl restart strongswan
sudo ipsec update
sudo ipsec reload
sudo ipsec up vpn-ipsec
A seguito attivo FortiClient e non mi chiede alcun token calcolato via FortiToken Mobile
P.S. Ho tolto i riferimenti reali volutamente per motivi di sicurezza
Questo il risultato:
Codice: Seleziona tutto
sudo ipsec up vpn-ipsec
initiating Main Mode IKE_SA vpn-ipsec[2] to aa.bb.cc.dd
generating ID_PROT request 0 [ SA V V V V V ]
sending packet: from xx.yy.zz.hh[500] to aa.bb.cc.dd[500] (252 bytes)
received packet: from aa.bb.cc.dd[500] to xx.yy.zz.hh[500] (204 bytes)
parsed ID_PROT response 0 [ SA V V V V V V ]
received NAT-T (RFC 3947) vendor ID
received DPD vendor ID
received XAuth vendor ID
received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:00:00:00
received FRAGMENTATION vendor ID
received FRAGMENTATION vendor ID
selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
sending packet: from xx.yy.zz.hh[500] to aa.bb.cc.dd[500] (268 bytes)
received packet: from aa.bb.cc.dd[500] to xx.yy.zz.hh[500] (252 bytes)
parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
no shared key found for 'xx.yy.zz.hh'[xx.yy.zz.hh] - 'aa.bb.cc.dd'[aa.bb.cc.dd]
no shared key found for xx.yy.zz.hh - aa.bb.cc.dd
generating INFORMATIONAL_V1 request 944611253 [ N(INVAL_KE) ]
sending packet: from xx.yy.zz.hh[500] to aa.bb.cc.dd[500] (56 bytes)
establishing connection 'vpn-ipsec' failed
Di seguito i passi che ho seguito:
Installazione del software
Codice: Seleziona tutto
sudo apt install strongswan
sudo apt install charon-systemd
Codice: Seleziona tutto
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
Edit del file /etc/ipsec.conf aggiungendo le seguenti righe di configurazione (indentazione importante):Fortigate Gateway IP: aa.bb.cc.dd
Tunnel Type Ikev1 Main Mode
Fortigate LAN IP: 0.0.0.0/0
Authentication Type: Preshared Key & Xauth
Preshared Key: 4wmJJKIS8mcBeCkbD
Xauth Username: mrpalla
Xauth Password: mrpalla_password
Codice: Seleziona tutto
conn "vpn-ipsec"
keyexchange=ikev1
ikelifetime=1440m
keylife=60m
aggressive=no
ike=aes256-sha256-modp1024
esp=aes256-sha256
xauth=client
left=%defaultroute
leftsourceip=%config
leftauth=psk
rightauth=psk
leftauth2=xauth
right=aa.bb.cc.dd
rightsubnet=0.0.0.0/0
xauth_identity= mrpalla
auto=start
Codice: Seleziona tutto
aa.bb.cc.dd : PSK "4wmJJKIS8mcBeCkbD$"
mrpalla : XAUTH "mrpalla_password"
sudo ipsec update
sudo ipsec reload
sudo ipsec up vpn-ipsec
A seguito attivo FortiClient e non mi chiede alcun token calcolato via FortiToken Mobile
P.S. Ho tolto i riferimenti reali volutamente per motivi di sicurezza
Tutti sanno che una cosa è impossibile da realizzare, finchè arriva uno sprovveduto che non lo sa e la inventa. (Albert Einstein)
Re: Installazione Forticlient IPSEC + MFA
salve a tutti... qualcuno può aiutarmi?
Come dicevo attivo FortiClient e non mi chiede alcun token calcolato via FortiToken Mobile
Come dicevo attivo FortiClient e non mi chiede alcun token calcolato via FortiToken Mobile
Tutti sanno che una cosa è impossibile da realizzare, finchè arriva uno sprovveduto che non lo sa e la inventa. (Albert Einstein)
Re: Installazione Forticlient IPSEC + MFA
Premetto che non conosco niente di tutto questo.
Però ti dice che la connessione fallisce senza dirti il motivo.
Esiste la possibilità di aumentare la verbosità del log in ipsec.conf?
Però ti dice che la connessione fallisce senza dirti il motivo.
Esiste la possibilità di aumentare la verbosità del log in ipsec.conf?
Re: Installazione Forticlient IPSEC + MFA
Purtroppo devo prima risolvere il problema per connettermi in ipsec... questo è il log:
Codice: Seleziona tutto
sudo ipsec up vpn-ipsec
giving up after 5 retransmits
peer not responding, trying again (3/3)
initiating Main Mode IKE_SA vpn-ipsec[1] to xx.yy.zz.ff
generating ID_PROT request 0 [ SA V V V V V ]
sending packet: from aa.bb.cc.dd to xx.yy.zz.ff[500] (252 bytes)
sending retransmit 1 of request message ID 0, seq 1
sending packet: from aa.bb.cc.dd to xx.yy.zz.ff[500] (252 bytes)
sending retransmit 2 of request message ID 0, seq 1
sending packet: from aa.bb.cc.dd to xx.yy.zz.ff[500] (252 bytes)
sending retransmit 3 of request message ID 0, seq 1
sending packet: from aa.bb.cc.dd to xx.yy.zz.ff[500] (252 bytes)
sending retransmit 4 of request message ID 0, seq 1
sending packet: from aa.bb.cc.dd to xx.yy.zz.ff[500] (252 bytes)
sending retransmit 5 of request message ID 0, seq 1
sending packet: from aa.bb.cc.dd to xx.yy.zz.ff[500] (252 bytes)
giving up after 5 retransmits
establishing IKE_SA failed, peer not responding
establishing connection 'vpn-ipsec' failed
Le configurazioni le ho già tiportate nel post precedente: viewtopic.php?p=230482#p230482
Tutti sanno che una cosa è impossibile da realizzare, finchè arriva uno sprovveduto che non lo sa e la inventa. (Albert Einstein)
Re: Installazione Forticlient IPSEC + MFA
da te dice
mentre dovrebbe dire una cosa del genere:
c'è un qualche firewall in giro?
establishing IKE_SA failed, peer not responding
mentre dovrebbe dire una cosa del genere:
IKE_SA FGT[1] established between 10.5.21.133[10.5.21.133]...10.5.21.252[10.5.21.252]
c'è un qualche firewall in giro?