Fortitools automatische VPN Verbindung, Erreichbarkeitsproblem (gegenüber manuell)

[Michi777]

Liebe Community!

für ein Backup außer Haus, habe ich wegen dem automatischen Trennen des VPN Tunnel (Fortinet F Serie Firewall mit Forticlient) Fortitools installiert, eine passende Batchdatei gebastelt und Diese werden zeitlich vor den Backupjobs gestartet über die Windows Aufgabenplanung.

Oftmals bemerkte ich dann, es wurde im Syncback nicht einmal die Jobs versucht zu machen, obwohl dort alles richtig konfiguriert ist.
Dann beim Öffnen des Quellverzeichnisses (Server im entfernten Bürolan) merke ich dann, dass diese unerreichbar sind.
Wenn ich den VPN Tunnel manuell über Forticlient aufbaue, dann erreiche ich sie.
Trenne ich den manuellen VPN Tunnel dann und lasse ihn automatisiert über die Batchdatei aufbauen, geht es auch eine zeitlang.
...mit der Zeit aber sind die SMB Pfade nicht erreichbar dh VPN funktioniert nicht richtig.

Über ipconfig sehe ich in beiden Szenarien keinen Unterschied (siehe Anhang).
2 Batchdateivarianten habe ich (manuelle Werte und auf eingerichtetes Profil bezogen und andere Extra Parameter)
Die Batchdateien habe ich euch auch angehängt als Screenshot (sensible Adressdaten/Zugangsdaten ausgeschnitten.
Wenn man sich mit einem VPN Anliegen dazu bei Fortinet meldet, sagen die "kein Support dabei ohne EMS".

Habt ihr eine Idee, wo hier das Problem liegt?

Vielen Dank!

 

[h00bi]

Aus welchem Package stammt denn die exe?
Ohne EMS kommst du doch auch nicht an den Download, oder?
Teste gerne, aber hab die cmdline exe nicht

 

[Michi777]

Danke, sehr nett - hast eine PN

 

[h00bi]

Hab jetzt die FortiClientTools_7.2.2.0864 aus dem aktuellen EMS Package vom Dienstleister bekommen.

Bin aktuell drüber verbunden mit dem Parameter -h statt -s
-s mit einem gespeicherten Profil wollte auf die schnelle nicht.

Ergänzung (5. Dezember 2023)

@Michi777
Ich starte per Powershell

.\FortiSSLVPNclient.exe connect -h vpn.domain.de:10443 -i -u user:password -m

öffne mal die exe per Doppelklick und aktiviere diese Option:

 

[Michi777]

Das hab ich mal gesetzt, aber die VPN Trennung passiert denke ich seitens der Firewall, obwohl dort möglichst in den Einstellungen deaktiviert.

Das generelle Problem (über SSLVPNCMDline.batch) erreiche ich die Quellpfade nicht.
Nur wenn manuelle VPN Verbindung aufgebaut (bis zu paar Stunden davor relevant) geht es.
IP Adresse oder DNS Name im Pfad spielt keine Rolle.
ipconfig sieht gleich aus in beiden Fällen.

Hast du eine Idee?

 

[h00bi]

was hast du hier gesetzt?

 

[Michi777]

Bei mir kommt noch immer die Zertifikatsmeldung, welche den Verbindungsaufbau verhindert.
Ich habe aber in der Batchdatei -q stehen, was ja Zertifikatsmeldungen ignorieren soll.

Wisst ihr/du @h00bi eine Lösung oder seht einen Fehler im Befehl?

Vielen Dank!

 

[h00bi]

Verbinde mal auf die IP statt auf die Domain.
Per IP sollte keine Zertifikatswarnung erfolgen.
Ich nutze mittlerweile (unter Linux) die FortiToolsGUI statt dem originalen Client.

Und warum x86? War da kein x64 Client mit im Paket oder hast du ein 32bit OS?

 

[Michi777]

Hallo,
Hab bereits nur die WAN IP und Port drinnen.
Keine Warnung anzeigen wäre es in der GUI (normaler Client), bei Fortiools bliebt das aber immer abgehakt.
Das -q im Befehl sollte aber für keine Warnung anzeigen sein, oder?
x64 Ordner ist leer, aber für den Fall eh unrelevant.

Habe nun im Befel statt Profil X, die ganzen Daten direkt eingegeben, im Test klappte es, mal sehen.

 

[h00bi]

Falls nicht, schreib nochmal ne @ Erwähnung, dann teste ich nochmal unter W10/W11

 

[Michi777]

@h00bi
Hab nach einer Woche wieder auf diesen Rechner geschaut und es war wieder die Zertifikatsmeldung da, die alles blockierte.

Habe WAN IP, ausführen in höchsten Privilegien mit Domänennutzer sowie -q im Befehl (keine Zertifikatsmeldungen).
Wenn ich es beim Fortlient von Fortitools im Profil bearbeiten und anhake möchte, es es nach Klick auf OK immer wieder abgehakt, da wohl auf Befehl fokussiert, wo es wiederum auch nicht geht.

Hartnäckig, lästig und unlogisch.
Freu mich falls du einen Lösungsvorschlag hättest - relevante Screenshots im Anhang

 

[Michi777]

Ich weiß nicht wieso, aber die letzten 2 Wochensicherungen wurden korrekt automatisch gemacht.
Werde beobachten ob die Zertifikatsmeldung nach einem Neustart und ohne einmaligem manuellen Bestätigen auch nicht mehr kommt.

 

[h00bi]

Welcher Windows-User triggert die batch zum Verbindungsaufbau?
Der gleiche wie deine OS Anmeldung?

Hast du mal getestet das Forti-Zertifikat auf derMaschine sowohl für User als auch für Computer als vertrauenswürdig abzupeichern?

 

[Michi777]

Ja die Batchdatei lasse ich mit den angemeldeten Nutzer (Domänennutzer) starten.

Bei den VPN Zugriffen via Client hatte ich immer angehakt "keine Zertifikatsfehler anzeigen".
Jetzt wäre es wohl sinnvoll zu zertifizieren bzw eine Maßnahme dass sie sich stets vertrauen.
Denn leider kommt die Meldung dennoch immer wieder und stoppt so die Verbindung.

Habe ich noch nie gemacht, wie gehe ich das am Besten an?

 

[h00bi]

Das einfachste wäre vermutlich du besorgst dir ein Wildcard Zertifikat für deine Domain.
Wir ziehen das für ~80€ netto über einen Dienstleister von RapidSSL, Gültigkeit 1 Jahr.
Muss dann natürlich rechtzeitig(!) gegen das neue ausgetauscht werden.

"keine Zertifikatsfehler anzeigen".

Ich vermute mittlerweile dass "nicht anzeigen" und "ignorieren" tatsächlich 2 unterschiedliche Dinge im Fortilclient sind.

 

[Michi777]

Ja wir haben eines, da ein lokaler Exchange auch gehostet wird.
Jedoch hörte ich dass sogar teils Exchange Probleme macht mit Wildcard Zertifikaten, dann eine Firewall noch eher.

Aber das Tolle seit Firmware v7, man kann mit auflösbaren DNS Eintrag zu WAN Adresse (im Domainhost) mit Letsencrypt arbeiten und es wird alle 3 Monate automatisch erneuert.
Ich habe den Eintrag nun gemacht und werde es nach 24h einrichten auf der Firewall.

 

[Michi777]

Habe es mit Wildcard Zertifikat (export incl. key aus exchange) hinbekommen.
Obwohl name stimmt, musste ich aber einmalig auf installieren gehen, was in diesem Fall (1 Client außer haus via sslvpncmd) passte.

Letsencrypt kam er nicht durch obwohl https offen war dafür.