Hoi allemaal,
Ik heb blijkbaar een probleem met de configuratie van mijn FortiClients vanuit EMS. Ik heb 2 gateways in verschillende delen van de wereld. In mijn originele Endpoint Profiel heb ik de tunnels afzonderlijk geconfigureerd.
Ga naar Endpoint Profielen > Beheer Profielen > Klik op VPN Tab > Ga naar de onderkant van het scherm > Maak 2 VPN-tunnels aan
Deze configuratie werkt goed. Beide tunnels zijn beschikbaar op de FortiClient Endpoint en beiden vragen om MFA van Azure. Geen problemen. Dus dit ontwerp, hoewel functioneel, is niet optimaal omdat mijn eindgebruikers moeten WETEN met welke tunnel ze verbinding moeten maken. Ik heb liever dat deze keuze niet aan de eindgebruikers wordt overgelaten. Dit zou ertoe leiden dat werknemers in Azië per ongeluk verbinding maken met de VS of vice versa. Terwijl het netwerk in deze omstandigheden nog steeds volledig functioneel is, is het duidelijk niet optimaal voor de gebruikerservaring.
Na wat zoeken, vond ik documentatie die aangeeft dat het basis FortiClient VPN-systeem een “redundant sort”-mechanisme heeft en dat het lijkt te aangeven dat een tunnel aan een eindgebruiker kan worden gepresenteerd op basis van ping. Hier is de pagina waar ik naar verwijs. Ik merk dat dat voor IPSec is en niet voor SSL VPN…
Terwijl ik door het FortiClient EMS-systeem blader, onder de VPN Tunnel-configuratie, zie ik dat ik meerdere tunnels kan toevoegen. Onder de VPN Tunnel-sectie > kies Tunnel > klik op Tunnel bewerken > Basisinstellingen > Type SSL VPN > Remote Gateway > Je kunt meerdere vermeldingen maken. Ik zie ook dat als ik dan op “Geavanceerde instellingen” in het linker configuratieframe klik, er een sectie is genaamd “Redundant Sort Methode” en dat biedt Server, Ping-snelheid en TCP RTT.
Werken deze configuratie-opties zoals ik aanneem? Bijvoorbeeld, als ik onder basisinstellingen 2 VPN-tunnels op geef:
En dan Redundant Sort onder Geavanceerde instellingen configureer voor “Ping Snelheid”, zou dit dan de gebruiker dwingen om te verbinden met de tunnel die de beste ping-snelheid biedt? Is dat de juiste interpretatie? Wat problematisch is, is dat wanneer ik dit soort dingen configureer, mijn Azure MFA-systeem lijkt te breken. De presentatie van de MFA-pop-up is leeg wanneer dit is geconfigureerd.
Alle inzichten over deze configuraties zouden enorm behulpzaam zijn. Thanks!
Update: Ik loop tegen een bekende bug aan. ID:0710877 Bevestigd door Fortinet Support.