Aanpassen van de SSL VPN time-out instellingen op een FortiGate

kennislevel 1 kennislevel 2 kennislevel 2 Technisch niveau Waddinxveen, 01 augustus 2016 Waddinxveen, 19 december 2016 Security Security

Wanneer gewerkt wordt met een SSL VPN connectie, mogelijk door middel van de FortiClient applicatie, is het verstandig rekening te houden met twee verschillende time-outs:

• Idle-time out: door deze time out wordt de SSL VPN verbinding verbroken na een bepaalde tijd inactief te zijn geweest.
• Auth-time out: door deze time out wordt de client verplicht om na een specifiek aantal gebruik uren, de VPN opnieuw op te bouwen.

Standaard staat de Idle-time out op 300 seconden (5 minuten) en de Auth-time out op 28800 seconden (8 uur).

Hoe ga je te werk?

Deze instellingen kunnen worden aangepast via de CLI. (Idle-time out is ook aan te passen via de GUI → VPN → SSL → Settings → Idle Logout. Auth-time out kan alleen worden aangepast via de CLI). Onderstaand is de syntax voor beide aanpassingen gegeven: TESTFORTIGATE # config vpn ssl settings
TESTFORTIGATE (settings) # set idle-timeout 3600
TESTFORTIGATE (settings) # set auth-timeout 43200
TESTFORTIGATE (settings) # end
Indien in de FortiGate configuratie gebruik wordt gemaakt van VDOMs zijn de volgende aanpassingen nodig om de time-outs aan te passen: TESTFORTIGATE (vdom) # edit root
TESTFORTIGATE (root) # config vpn ssl settings
TESTFORTIGATE (settings) # set idle-timeout 3600
TESTFORTIGATE (settings) # set auth-timeout 43200
TESTFORTIGATE (settings) # en
TESTFORTIGATE (root) # en
Controleer de aanpassingen met het show commando: TESTFORTIGATE (settings) # show
config vpn ssl settings
set servercert "mycertificate-nl"
set idle-timeout 3600
set auth-timeout 43200
set tunnel-ip-pools "SSLVPN_TUNNEL_ADDR1"
set tunnel-ipv6-pools "SSLVPN_TUNNEL_IPv6_ADDR1"
set dns-server1 192.168.155.1
set dns-server2 192.168.155.2
set port 443
set source-interface "port1"
set source-address "all"
set source-address6 "all"
set default-portal "tunnel-access"
config authentication-rule edit 1 set groups "SSLVPN-Users"
set portal "full-access"
next
end
end

Wilt u hulp van een gecertificeerd Fortinet expert?

Contact

SolidBE B.V.
Maarten Schoutenstraat 19
2741 SV Waddinxveen

KVK 51248794
NL 82 3170 846 B01
NL07 RABO 0157 5353 98