Wanneer gewerkt wordt met een SSL VPN connectie, mogelijk door middel van de FortiClient applicatie, is het verstandig rekening te houden met twee verschillende time-outs:
• Idle-time out: door deze time out wordt de SSL VPN verbinding verbroken na een bepaalde tijd inactief te zijn geweest.
• Auth-time out: door deze time out wordt de client verplicht om na een specifiek aantal gebruik uren, de VPN opnieuw op te bouwen.
Standaard staat de Idle-time out op 300 seconden (5 minuten) en de Auth-time out op 28800 seconden (8 uur).
Hoe ga je te werk?
Deze instellingen kunnen worden aangepast via de CLI. (Idle-time out is ook aan te passen via de GUI → VPN → SSL → Settings → Idle Logout. Auth-time out kan alleen worden aangepast via de CLI). Onderstaand is de syntax voor beide aanpassingen gegeven:
TESTFORTIGATE # config vpn ssl settings
TESTFORTIGATE (settings) # set idle-timeout 3600
TESTFORTIGATE (settings) # set auth-timeout 43200
TESTFORTIGATE (settings) # end
Indien in de FortiGate configuratie gebruik wordt gemaakt van VDOMs zijn de volgende aanpassingen nodig om de time-outs aan te passen:
TESTFORTIGATE (vdom) # edit root
TESTFORTIGATE (root) # config vpn ssl settings
TESTFORTIGATE (settings) # set idle-timeout 3600
TESTFORTIGATE (settings) # set auth-timeout 43200
TESTFORTIGATE (settings) # en
TESTFORTIGATE (root) # en
Controleer de aanpassingen met het show commando:
TESTFORTIGATE (settings) # show
config vpn ssl settings
set servercert “mycertificate-nl”
set idle-timeout 3600
set auth-timeout 43200
set tunnel-ip-pools “SSLVPN_TUNNEL_ADDR1”
set tunnel-ipv6-pools “SSLVPN_TUNNEL_IPv6_ADDR1”
set dns-server1 192.168.155.1
set dns-server2 192.168.155.2
set port 443
set source-interface “port1”
set source-address “all”
set source-address6 “all”
set default-portal “tunnel-access”
config authentication-ruleedit 1set groups “SSLVPN-Users”
set portal “full-access”nextendend
