1 kwietnia, 2026

Migracja SSL VPN w trybie tunelowym do IPsec Remote Access

Daniel Winiarski

Jeżeli administrujesz urządzeniami FortiGate, to zapewne już dawno trafiła do Ciebie informacja o ostatecznym wycofaniu modułu SSL VPN ze wszystkich urządzeń tego producenta począwszy od wersji 7.6.3 oprogramowania FortiOS (dla niektórych urządzeń miało to miejsce już wcześniej). Być może, podobnie jak w wielu innych przypadkach, odwlekasz moment aktualizacji swojej jednostki tak długo, jak to tylko możliwe. Jednak w końcu nadejdzie ten dzień, w którym trzeba będzie zmierzyć się z tym wyzwaniem. Co wówczas? Czy będziesz na to przygotowany? Jestem przekonany, że będziesz w stanie zrobić to sprawnie i bezpiecznie, jeśli poświęcisz trochę czasu, aby zapoznać się ze wskazówkami, które chciałbym Ci przekazać.

Daniel Winiarski Inżynier VIDA | Szkoleniowec Fortinet

Punkt wyjścia – Kopia zapasowa konfiguracji i weryfikacja wersji FortiOS

Podobnie jak w przypadku wprowadzania jakichkolwiek zmian w ustawieniach jednostki FortiGate, tak również teraz, pamiętaj o wykonaniu kopii zapasowej konfiguracji urządzenia. Będzie to Twoja polisa, gdyby jednak zaistniała potrzeba cofnięcia zmian. Jak wykonać automatyczną kopię konfiguracji dowiesz się z jednego z wpisów na naszym blogu (https://www.vida.pl/fortigate-tworzenie-kopii-zapasowej-konfiguracji/).

Pamiętaj też, że migracji do IPsec musisz dokonać przed aktualizacją FortiOS do wersji 7.6.3 i nie zapomnij, że trzeba będzie również zaadaptować konfigurację aplikacji FortiClient, aby uwzględniała zmiany dokonane w ustawieniach FortiGate.

Nie rób wszystkiego „od zera” - wykorzystaj to, co masz

Migracji z SSL VPN w trybie tunelowym do IPsec Remote Access możesz dokonać na kilka sposobów:

z poziomu GUI FortiGate,
za pomocą CLI,
z wykorzystaniem narzędzia lub usługi FortiConverter.

Tym razem omówimy najczęściej wybieraną opcję, którą jest migracja z poziomu GUI FortiGate.

W pierwszej kolejności musimy przejrzeć używaną obecnie konfigurację SSL VPN i zdecydować, jakie obiekty możemy wykorzystać budując tunel IPsec.

Zaglądamy zatem do konfiguracji portali i odnajdujemy ten, który zapewnia nam dostęp w trybie tunnel mode i który ma zostać zastąpiony tunelem IPsec.

W konfiguracji tego tunelu sprawdzamy ustawienia takie jak: Split tunneling, Routing Address Override i Source IP Pools.

Następnie zaglądamy do ustawień samego serwera SSL VPN sprawdzając na jakim interfejsie nasłuchuje usługa, z jakich serwerów DNS korzysta podłączony klient i dla jakich grup lub użytkowników zostały zmapowane portale, których konfigurację chcemy zastąpić przez tunel IPsec.

Przed przystąpieniem do kreowania tunelu IPsec musimy zmierzyć się z jeszcze jedną z ważniejszych kwestii, jaką jest ustalenie metody autoryzacji użytkowników. Przy połączeniu przez IPsec użytkownicy mogą uwierzytelniać się za pomocą klucza współdzielonego, certyfikatów oraz z wykorzystaniem XAUTH lub EAP. Wybór metody uwierzytelniania będzie jednak determinował wybór wersji protokołu IKE zgodnie z poniższą tabelą. Dodatkowo musisz pamiętać, że FortiClient od wersji 7.4.4 przestaje wspierać IKEv1. Rozważając jego wykorzystanie musisz oprzeć konfigurację o protokół IKEv2.

Metoda uwierzytelniania	Wersja IKE	Uwagi
• Klucz współdzielony • Certyfikaty	IKEv1 i IKEv2	Wymagane użycie jednej z dostępnych metod uwierzytelniania
• LDAP	IKEv1 i IKEv2 (wymaga EAP-TTLS)	IPsec IKEv1 używa XAUTH, IPsec IKEv2 wymaga EAP
• Konta lokalne i RADIUS	IKEv1 i IKEv2
• SAML	IKEv2
• Uwierzytelnienie dwuskładnikowe	IKEv1 i IKEv2	Opcjonalne

Przejdź zatem do sekcji User & Authentication -> User Definition i sprawdź, jaki typ użytkownika widnieje w kolumnie Type.

Zajrzyj również do definicji grup, których używałeś dotychczas w konfiguracji SSL VPN zweryfikuj ich typ w kolumnie Group Type, a także sprawdź, czy nie obejmują grup zdalnych, np. z serwera LDAP.

Jeśli chciałbyś zachować adresację przypisywaną dotychczas klientom podczas połączenia SSL VPN pamiętaj, że na jeden tunel IPsec możesz przypisać tylko jeden zakres docelowy.

Pracuj mądrze, a nie ciężko

Gdy ustaliliśmy już szczegóły konfiguracyjne możemy przystąpić do utworzenia tunelu IPsec typu Remote Access. Najlepiej zrobić to za pomocą kreatora, odwzorowując ustawienia z konfiguracji SSL VPN. Poniżej wskażę Ci, które ustawienia z konfiguracji SSL VPN odpowiadają tym dotyczącym IPsec.

Zaczynamy od nadania nazwy i wybrania typu połączenia. W tym konkretnym przypadku będzie to oczywiście Remote Access, przeznaczony do uzyskiwania dostępu przez użytkowników zdalnych. Z uwagi na fakt, że wykorzystamy aplikację FortiClient do nawiązywania połączenia, wybieramy Client-based w sekcji Remote device type.

W kolejnych krokach definiujemy interfejs (odwzorowanie ustawień Listen on interface(s) w sekcji Connection Settings dla SSL VPN), na którym będziemy nasłuchiwali przychodzących żądań połączenia IPsec. Definiujemy metodę uwierzytelniania (mamy do wyboru uwierzytelnianie za pomocą klucza współdzielonego lub certyfikatów) oraz grupę użytkowników (to nasze grupy, dla których zostały zmapowane portale w ramach konfiguracji SSL VPN), którzy będą mogli łączyć się przy użyciu tunelu.

Musimy też określić w polu Local Interface, poprzez jaki interfejs będzie odbywała się komunikacja z udostępnionymi zasobami, do jakich zasobów w sieci lokalnej uzyskamy dostęp po połączeniu (Local Address, które odpowiadają Routing Address Override z konfiguracji portalu) i z jakiego zakresu zostanie przydzielony adres dla łączącego się klienta. Tutaj, niestety, nie wykorzystamy obiektu użytego w definicji portalu w sekcji Source IP Pools i wartość tego pola musimy wpisać ręcznie. Zalecane jest pozostawienie 32-bitowej maski podsieci, z uwagi na fakt przypisywania adresacji pojedynczym klientom. Następnie określamy, do którego serwera DNS (DNS Server #1 w ustawieniach serwera SSL VPN) będą kierowane zapytania o rozwiązywanie nazw. Na koniec wykorzystując opcję Enable IPv4 Split Tunnel (odwzorowanie ustawień Split tunnelling z definicji portalu SSL VPN) zdecydujemy, czy po połączeniu przez VPN cały ruch zostanie wpuszczony w tunel, czy też nie.

Podpowiedź: Jeżeli chcesz ustawić więcej niż jeden serwer DNS, np. ten, który był przez Ciebie zadeklarowany jako DNS Server #2 w ustawieniach serwera SSL VPN, po utworzeniu tunelu IPsec musisz zmienić jego konfigurację z poziomu CLI wykonując poniższe instrukcje. Pamiętaj, że możesz w ten sposób podać maksymalnie trzy adresy serwerów DNS.

				
					config vpn ipsec phase1-interface
edit nazwa_tunelu_ipsec
set ipv4-dns-server2 ip_serwera_dns2
set ipv4-dns-server3 ip_serwera_dns3
next
end

Ostatnia opcja, Allow Endpoint Registration, przeznaczona jest dla posiadaczy rozwiązania FortiClient EMS i pozwala na automatyczną rejestrację klientów łączących się poprzez tunel w ramach usługi zarządzania końcówkami. Jeśli nie posiadamy tego rozwiązania, możemy ją śmiało wyłączyć.

Pozostaje jeszcze zdecydować o dodatkowych parametrach konfiguracji tunelu, czyli możliwości zapamiętania hasła, automatycznego zestawiania połączenia czy też jego podtrzymywania, choć te przeznaczone są w większości dla posiadaczy rozwiązania FortiClient EMS, które wymaga odpowiednich licencji.

W kolejnym kroku następuje krótkie podsumowanie konfiguracji i możemy ostatecznie potwierdzić utworzenie tunelu.

Teraz tylko chwila dla kreatora konfiguracji i jeśli nie zdecydujemy się na przeprowadzenie kolejnej konfiguracji, to po kliknięciu przycisku Show Tunnel List wylądujemy na liście zdefiniowanych tuneli IPsec.

Tutaj możemy zauważyć, że tunel dostępowy dla użytkowników zdalnych jest już utworzony i gotowy do użycia.

Kreator wygenerował również potrzebne polityki zapory.

Ten temat oraz wiele innych omawiamy w praktyce na naszych autorskich szkoleniach Fortinet.

Szkolimy zdalnie i stacjonarnie.
Indywidualnie oraz całe działy IT.

Szkolenie nie po to, żeby wiedzieć więcej. Po to, żeby popełniać mniej błędów.

Zgłoś się do nas

FortiClient w nowych szatach – co się zmienia dla użytkownika?

Po zdefiniowaniu tunelu IPsec przychodzi czas na zmianę konfiguracji klienta. Dla użytkownika to wciąż FortiClient, ta sama aplikacja, te same poświadczenia, których używał w przypadku połączeń SSL VPN. Jednak, aby zadziałały, musimy dodać definicję dla nowego połączenia. W pierwszej kolejności wskazujemy typ połączenia na IPsec VPN, ustawiamy jego nazwę i podajemy adres bramy, do której chcemy się łączyć.

Następnie wybieramy metodę uwierzytelniania zgodną z ustawieniami tunelu i uzupełniamy pole klucza współdzielonego lub ustawiamy odpowiednie wartości dla certyfikatów.

Możemy też zdecydować, czy zachowujemy login, czy wymagamy jego podania każdorazowo, a może w ogóle nie używamy uwierzytelniania za pomocą nazwy użytkownika i hasła.

Ostatnim etapem powinna być weryfikacja i ewentualna korekta ustawień tunelu VPN w odniesieniu do tych zdefiniowanych na jednostce FortiGate, których domyślne wartości mogą różnić się w zależności od wersji aplikacji FortiClient.

Po zapisaniu ustawień FortiClient powinien być w stanie zestawić połączenie z wykorzystaniem nowo zdefiniowanego tunelu.

IPsec bez żadnych tajemnic? Nie tym razem

Mogłoby się wydawać, że po zapoznaniu się z powyższymi wskazówkami nic, co dotyczy konfiguracji tunelu IPsec typu Remote Access, nie powinno być zaskoczeniem. Prawda jednak jest taka, że to, co właśnie zaprezentowaliśmy, jest kompletnym przewodnikiem migracji stanowiącym solidny fundament, ale nie zaspokaja wszystkich potrzeb i możliwości konfiguracyjnych tego typu tuneli.

Dlatego, jeżeli Twoje potrzeby wykraczają poza opisane powyżej standardy, czekamy w gotowości na Twój kontakt. Daj znać, jak możemy Ci pomóc.

Current Month