Mit der Veröffentlichung von FortiOS 7.6.3 hat Fortinet eine entscheidende Änderung vorgenommen, die insbesondere Administratorinnen und Administratoren betrifft, die bisher den SSL-VPN Tunnel Mode für den Remote-Zugang nutzten. Ab dieser Version wird der SSL-basierte Tunnelmodus vollständig durch eine IPsec-basierte Dial-Up-Lösung ersetzt.

Diese Änderung markiert einen wichtigen Schritt hin zu einem einheitlicheren, standardkonformen Sicherheitsansatz und hat auch direkte Auswirkungen auf die Integration mit Microsoft Entra ID (vormals Azure AD).

Hintergrund und Bedeutung der Änderung

Mit FortiOS 7.6.3 hat Fortinet den SSL VPN Tunnel Mode offiziell abgekündigt.Stattdessen wird der IPsec Dial-Up VPN-Mechanismus als Standardlösung für Remote-Zugriffe über FortiClient oder Drittanbieter-Clients eingesetzt.

Das bedeutet:

• Der bisherige SSL VPN Tunnel Mode wird nicht mehr unterstützt.

• Vorhandene Konfigurationen werden beim Upgrade nicht automatisch migriert.

• Administratoren müssen bestehende SSL-VPN-Setups aktiv in IPsec-Dial-Up-Verbindungen überführen.

Parallel dazu wurde die Integration in Microsoft Entra ID (ehemals Azure AD) erweitert:FortiOS 7.6.3 unterstützt nun verbesserte Authentifizierungs-Workflows über Entra ID für IPsec-basierte VPNs, wodurch Sie zukünftig eine einheitliche, moderne Authentifizierung (z. B. über SAML oder OAuth 2.0) realisieren können.

Was Sie jetzt tun sollten – Ihre To-Do-Liste

1. Bestandsaufnahme durchführen

Analysieren Sie Ihre aktuelle Umgebung:

• Welche Firewalls nutzen derzeit den SSL VPN Tunnel Mode?

• Welche Benutzerinnen und Benutzer greifen über FortiClient oder Browser zu?

• Welche IP-Bereiche, Authentifizierungsserver (z. B. Entra ID, RADIUS, LDAP) und Richtlinien sind betroffen?

Erstellen Sie eine Übersicht aller betroffenen Systeme und sichern Sie die bestehenden Konfigurationen vor einem Upgrade.

2. Migrationsstrategie planen

Die Migration sollte in mehreren Schritten erfolgen:

1. Migrationskonzept erstellen:

   
   

   Planen Sie den Umstieg von SSL VPN Tunnel Mode auf IPsec Dial-Up VPN.Fortinet stellt hierzu ein offizielles Migrationsdokument bereit:Migration from SSL VPN Tunnel Mode to IPsec VPN (7.6.3).

   
   

2. Transportprotokoll wählen:

   
   

   • UDP 500/4500 (Standard) für IPsec-Verbindungen

   • TCP 443 (Fallback-Option) für Netzwerke, die UDP blockieren (z. B. in Gäste- oder Hotel-Netzen)

     
     

3. FortiClient aktualisieren:Ab FortiClient 7.4.1 wird IPsec over TCP/443 unterstützt.
   

   !! Prüfen Sie die eingesetzte Version auf allen Endgeräten !!

   
   

4. Testkonfiguration erstellen:

   
   

   Führen Sie erste Tests in einer LAB-Umgebung durch, bevor Sie die Umstellung im Produktivsystem vornehmen.

   
   

3. Umsetzung im LAB oder Testnetzwerk

In Ihrer LAB-Umgebung mit HUB-/Spoke-Topologie (z. B. FW1 = HUB 1, FW5 = Spoke 5) sollten Sie eine Testkonfiguration durchführen:

Beispiel: IPsec Dial-Up Tunnel zwischen FortiClient und FW1

config vpn ipsec phase1-interface
    edit "P1-DIALUP-FORTICLIENT"
        set type dynamic
        set interface "wan1"
        set ike-version 2
        set peertype any
        set proposal aes256-sha256
        set dpd on-idle
        set xauthtype auto
        set ipv4-split-include "OFFICE_NET"
        set mode-cfg enable
        set authusrgrp "VPN-USERS"
    next
end

config vpn ipsec phase2-interface
    edit "P2-DIALUP-FORTICLIENT"
        set phase1name "P1-DIALUP-FORTICLIENT"
        set proposal aes256-sha256
        set auto-negotiate enable
        set keepalive enable
        set src-subnet 0.0.0.0/0
        set dst-subnet 0.0.0.0/0
    next
end

Damit richten Sie einen dynamischen IPsec Dial-Up VPN-Zugang ein, der den neuen Mechanismus von FortiOS 7.6.3 nutzt.

4. Integration mit Microsoft Entra ID

Die Version 7.6.3 verbessert die Anbindung an Entra ID erheblich:

• Unterstützung moderner Authentifizierungsmethoden (SAML 2.0, OAuth 2.0)

• Bessere Synchronisation von Benutzer- und Gruppenattributen

• Vereinfachte Token-Validierung und Log-Überwachung

Empfehlung:

• Nutzen Sie die Entra ID Integration für IPsec-Dial-Up Benutzer.

• Prüfen Sie, ob Ihre Radius- oder SAML-Policies noch SSL-VPN-abhängig sind.

• Aktualisieren Sie ggf. die Azure App-Registrierung, um IPsec-basierte Verbindungen zu unterstützen.

5. Kommunikation und Roll-Out

• Informieren Sie alle betroffenen Nutzerinnen und Nutzer frühzeitig.

• Verteilen Sie aktualisierte FortiClient-Profile mit IPsec-Dial-Up Konfiguration.

• Planen Sie ein Wartungsfenster für das Upgrade auf FortiOS 7.6.3, erst nach erfolgreicher Migration.

Ein direktes Upgrade ohne Migration führt dazu, dass bestehende SSL-VPN-Tunnel nicht mehr funktionieren.

6. Nachbereitung und Monitoring

• Überprüfen Sie alle IPsec-Dial-Up-Verbindungen nach der Umstellung.

• Nutzen Sie diagnose vpn ike log-filter und diagnose debug application ike -1, um eventuelle Probleme schnell zu identifizieren.

• Entfernen Sie alte SSL-VPN-Einträge und Bereinigungen in der Policy-Konfiguration.

• Dokumentieren Sie die Änderungen in Ihrem Netzwerk- und Sicherheitskonzept.

Vorteile der neuen Architektur

Die neue IPsec-Dial-Up-Lösung bietet klare Vorteile:

• Höhere Sicherheit durch standardisierte Protokolle

• Bessere Performance (keine SSL-Re-Encryption)

• Konsistenter Betrieb mit Site-to-Site VPNs

• Optimierte Integration mit Microsoft Entra ID

• Langfristige Wartbarkeit – keine Abhängigkeit von proprietären SSL-Mechanismen

Fazit

Mit FortiOS 7.6.3 geht Fortinet einen wichtigen Schritt in Richtung Standardisierung und Zero-Trust-Integration.Wenn Sie aktuell den SSL VPN Tunnel Mode einsetzen, sollten Sie zeitnah auf IPsec Dial-Up VPN migrieren und die neuen Authentifizierungs-Möglichkeiten mit Microsoft Entra ID prüfen.

Dieser Umstieg erfordert Planung, bietet aber langfristig eine robustere, performantere und sicherere Lösung für Ihre Remote-Access-Infrastruktur.

Sprechen Sie uns an.