Mit der Veröffentlichung von FortiOS 7.6.3 hat Fortinet eine entscheidende Änderung vorgenommen:

Der SSL VPN Tunnel-Mode wurde komplett entfernt. Für viele Unternehmen, die auf diesen Modus gesetzt haben, bedeutet das: Dringender Handlungsbedarf.

❌ Was ist betroffen?

Ab FortiOS 7.6.3:

- Kein Tunnel-Mode mehr verfügbar, weder über die Web-GUI noch per CLI

- Bestehende Konfigurationen werden nicht übernommen

- Nur der Web-Mode bleibt erhalten (Portalzugriff auf RDP, SSH, Datei-Links usw.)

Wer bisher FortiClient mit SSL-Tunnel-Verbindungen nutzte, steht nun vor einer Umstellung.

🔄 Was ist die Alternative?

Fortinet empfiehlt als Ersatz:

✅ IPsec VPN über TCP-Port 443

Diese Methode erlaubt VPN-Verbindungen über denselben Port, den auch HTTPS nutzt – perfekt für Umgebungen mit restriktiven Firewalls oder NAT.

Vorteile:

- Leistungsfähiger & sicherer als SSL VPN

- Funktioniert über Standard-Port 443 (TCP)

- Gut integrierbar in bestehende Infrastrukturen

Nachteile & Herausforderungen:

- Routen müssen statisch definiert werden – keine automatische Übernahme wie beim SSL VPN

- Nicht jeder Client unterstützt IPsec über TCP standardmäßig

- Eventuell zusätzlicher Konfigurationsaufwand bei Authentifizierung (SAML, Zertifikate etc.)

🛠 Migration – So gehst du vor:

1. Bestandsaufnahme: Welche Nutzer und Systeme verwenden aktuell SSL Tunnel-Mode?

2. Planung: Entscheide dich für eine neue Lösung (z. B. IPsec VPN, Web-Mode oder ZTNA).

3. Testphase: VPN-Clients konfigurieren, Verbindungen testen, Routen & DNS prüfen.

4. Roll-out: Schrittweise Umstellung mit Nutzerkommunikation.

5. Abschaltung: Alte SSL Tunnel-Konfigurationen entfernen.

6. Dokumentation: Neue Netzwerkkonzepte und Policies dokumentieren.

💬 Stimmen aus der Community

> „SSL VPN over 443 was super convenient behind NAT – we’ll miss it.“

> „IPsec over TCP is a good workaround, but needs proper planning.“

> „Web-only VPN works for remote admin, but not for full network access.“

Fortinet bietet Migration-Guides und Hinweise in den Release Notes. Trotzdem: Die Umstellung sollte nicht spontan, sondern geplant und getestet erfolgen.

📌 Fazit

- Der SSL VPN Tunnel-Mode ist Geschichte – spätestens mit FortiOS 7.6.3.

- Unternehmen müssen auf IPsec VPN, Web-Mode oder moderne ZTNA/SASE-Modelle umsteigen.

- Eine strukturierte Migration ist essenziell, um Verbindungsabbrüche oder Sicherheitslücken zu vermeiden.