跳至主要內容

FortiClient 终端配置迁移

迁移基础7.6.0大约 4 分钟

FortiClient 终端配置迁移

FortiClient EMS 上从 SSL VPN 迁移到 IPSec,需要与 FortiGate 配置同步进行,因为 IPSec 设置必须在 FortiGate(VPN Server)和 FortiClient(VPN Client)两侧匹配。

FortiClient EMS 通过 Remote Access Endpoint Profile 配置 VPN,可以配置 SSL VPN、IPSec VPN 或两者同时存在。示例使用 FortiClient EMS 和 FortiClient 7.4.4。

开始时,在 FortiClient EMS 的 Endpoint Profiles 下添加 Remote Access Profile。添加新的 Remote Access Profile 后,在同一个 Remote Access Profile 中的 VPN Tunnels 下添加隧道。

通过 FortiClient EMS Remote Access Endpoint Profile 迁移

  1. 在 FortiClient EMS 中,进入 Endpoint Profiles。
  2. 选择需要的 Profile 类型,点击 Add。
  3. 点击 Add Profile,创建 Windows、macOS 和 Linux Profile。
  4. 在 VPN Tunnel 下,点击 Add Tunnel → Manual,并完成 Basic Settings。

基础设置

配置项说明
Name隧道名称
Type选择 IPSec VPN。FortiClient EMS 7.4.3 及以上版本中,默认类型为 IPSec
Remote GatewayFortiClient 用于连接 FortiGate 的 IP 地址或 FQDN;如果 FortiGate 使用 VPN Wizard 创建,该项对应 Wizard Authentication 步骤中的 Incoming interface 地址,通常与 SSL VPN Remote Gateway 相同
Authentication Method可选 Local Certificate、Pre Shared Key、Smart Card Certificate 或 Local Store Certificate

FortiGate VPN Wizard 允许使用预共享密钥或 Signature。FortiGate 侧使用预共享密钥时,FortiClient EMS 的 Pre Shared Key 必须填写相同值。

如需使用 Signature 认证,应选择符合企业要求的证书方式,并确保证书 CA 与 FortiGate VPN Wizard Authentication 步骤中配置的 Peer Certificate CA 匹配。

VPN 设置

在 Basic Settings 的 VPN Settings 中配置 IKE version、Mode 和 Options。这些设置必须与 FortiGate 一致。

配置项说明
IKEFortiGate VPN Wizard 默认使用 Version 2。通常建议使用 IKEv2,因为可以使用 TCP/443;FortiClient 7.4.4 及以后不再支持 IKEv1
Address Mode(IKEv1)IKE 为 Version 1 时,可选择 Aggressive 或 Main mode
Address Assignment默认和建议使用 Mode Config,这也是 FortiGate IPSec Wizard 默认方式
Encapsulation可选择 IKE UDP Port 或 IPSec over TCP。Auto 推荐使用,因为 UDP 无法连接时会自动从 UDP 回退到 TCP

Phase 1

在 FortiGate 上可通过以下命令查看 VPN Wizard 自动配置的 Phase 1 参数:

show full vpn ipsec phase1-interface <tunnel-name>

FortiClient EMS 的 Phase 1 设置必须与 FortiGate 上的 Phase 1 设置匹配。

配置项说明
IKE Proposal选择用于保护 FortiClient 与 FortiGate 协商的加密和认证算法。至少有一组加密/认证算法与 FortiGate 匹配
DH Groups必须与 FortiGate 上选择的 DH Group 匹配
Key LifeIKE 密钥生命周期,范围 120 到 172800 秒。FortiGate VPN Wizard 默认 86400 秒
Local ID对应 FortiGate VPN 的 Peer ID。FortiGate VPN Wizard 默认留空
Network IDFortiGate 启用 Network Overlay 时,对应 FortiGate VPN 的 Network ID
EAP Authentication MethodRADIUS 认证使用 EAP-MSCHAPv2;LDAP 认证使用 EAP-TTLS。该设置在 FortiClient EMS 7.4.4 中新增
Enable IKE Fragmentation建议启用。当证书认证、Proposal 较多或 IKE 参数较多时,IKE 消息可能超过路径 MTU

FortiGate VPN Wizard 默认 Phase 1 Proposal 包括:

  • AES128-SHA256。
  • AES256-SHA256。
  • AES128-SHA1。
  • AES256-SHA1。

重要

不建议使用 SHA1 作为认证算法,建议使用 SHA256。

DH Group 5 和 14 不推荐,建议考虑使用 20 或 21。

Phase 1 也可以配置 DPD。FortiClient EMS GUI 中不提供 DPD 配置,但可以通过 XML 配置。

Phase 2

在 FortiGate 上可通过以下命令查看 VPN Wizard 自动配置的 Phase 2 参数:

show full vpn ipsec phase2-interface <tunnel-name>

FortiClient EMS 的 Phase 2 设置必须与 FortiGate 上的 Phase 2 设置匹配。

配置项说明
IPSec Proposal选择用于保护 IPSec Peer 之间数据传输的加密和认证算法。至少有一组与 FortiClient 和 FortiGate 同时匹配
DH groups与 FortiGate 上的 DH Group 匹配
Key LifePhase 2 密钥生命周期。默认按秒,也可以按 KB 或两者同时配置;两者同时配置时,先达到的限制生效。默认值为 43200 秒,与 FortiGate VPN Wizard 默认值一致
Replay Detection启用后,FortiGate 检查已接收数据包并丢弃乱序到达的重复报文。FortiClient EMS 和 FortiGate 默认启用
PFS启用后,隧道建立和 Phase 2 密钥过期后会强制进行新的 DH 密钥交换。FortiClient EMS 和 FortiGate 默认启用

FortiGate VPN Wizard 默认 Phase 2 Proposal 包括:

  • AES128-SHA1。
  • AES256-SHA1。
  • AES128-SHA256。
  • AES256-SHA256。
  • AES128GCM。
  • AES256GCM。

不建议使用 SHA1 作为认证算法,建议使用 SHA256。DH Group 5 和 14 不推荐,建议考虑使用 20 或 21。

高级设置

Advanced Settings 中可以配置 Save Password、Auto-Connect 和 Always Up。这些选项会显示在 FortiClient GUI 中,用于自动连接 VPN 隧道并在网络中断后恢复连接。

如果在 FortiClient EMS 中包含这些设置,也应在 FortiGate VPN Wizard 的 Client Options 步骤中配置对应选项。

完成后:

  1. 点击 Save 保存更改。
  2. 将 Profile 推送到 FortiClient 终端。
  3. 在终端打开 FortiClient,进入 Remote Access 页面确认配置已经下发。

用户必须在 FortiClient GUI 中选择 Save Password、Auto-Connect 和 Always Up 后,这些选项才会实际启用。