Konfigurieren von sicherem Zugriff mit Fortigate Firewall

Download-Optionen

  • PDF     (2.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:4. Juni 2026
Dokument-ID:222270

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie Sie sicheren Zugriff mit der Fortigate Firewall konfigurieren.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in den folgenden Bereichen verfügen:

  • Fortigate 7.4.x Version Firewall
  • Sicherer Zugriff
  • Cisco Secure Client - VPN
  • Cisco Secure Client - ZTNA
  • Clientless-ZTNA

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf: 

  • Fortigate 7.4.x Version Firewall
  • Sicherer Zugriff
  • Cisco Secure Client - VPN
  • Cisco Secure Client - ZTNA

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Cisco Secure Access Fortinet Image

Cisco hat Secure Access entwickelt, um den Zugriff auf private Anwendungen vor Ort und in der Cloud zu schützen. Außerdem wird die Verbindung vom Netzwerk zum Internet gesichert. Erreicht wird dies durch die Implementierung mehrerer Sicherheitsmethoden und -ebenen, die alle darauf abzielen, die Informationen beim Zugriff über die Cloud zu erhalten.

Konfigurieren

Konfigurieren des VPN für sicheren Zugriff

1. Navigieren Sie zum Admin-Bereich von Sicherer Zugriff.

Network Tunnel Groups

2. Klicken Sie auf Verbinden > Netzwerkverbindungen > Netzwerktunnelgruppen.

Network Connections and Network Tunnel Groups

3. Klicken Sie unter Netzwerk-Tunnelgruppen auf +Hinzufügen.

+Add Network Tunnel Groups

4. Konfigurieren Sie den Tunnelgruppennamen, die Region und den Gerätetyp.

5. Klicken Sie auf Weiter.

Naming Convention for Tunnel Group

note-icon

Anmerkung: Wählen Sie die Region aus, die dem Standort Ihrer Firewall am nächsten liegt.

6. Konfigurieren Sie das Tunnel-ID-Format und die Passphrase.

7. Klicken Sie auf Weiter.

Tunnel ID and Passphrase

8. Konfigurieren Sie die IP-Adressbereiche oder Hosts, die Sie in Ihrem Netzwerk konfiguriert haben, und leiten Sie den Datenverkehr über Secure Access weiter.

9. Klicken Sie auf Speichern.

Routing Options and Network Overlaps

10. Nach dem Speichern werden die Informationen im Tunnel angezeigt. Speichern Sie diese Informationen für den nächsten Schritt: Konfigurieren Sie die VPN-Site nach Standort auf Fortigate.

Tunneldaten

Data for Tunnel Setup

Konfigurieren des VPN-Standorts auf dem Fortigate

1. Navigieren Sie zu Ihrem Fortigate-Dashboard.

2. Klicken Sie VPN > IPsec Tunnels.

VPN IPsec Tunnels

3. Klicken Sie Create New > IPsec Tunnels.

Create New IPsec Tunnel

4. Klicken Sie auf Benutzerdefiniert, konfigurieren Sie einen Namen, und klicken Sie auf Weiter.

Custom VPN Setup

Im nächsten Bild können Sie sehen, wie Sie die Einstellungen für die konfigurieren Network.

Netzwerk

Advanced Configurations

Netzwerk

  • IP-Version: IPv4
  • Remote-Gateway: Statische IP-Adresse
  • IP-Adresse: Verwenden Sie die IP-Adresse der primären IP-Rechenzentrums-IP-Adresse, die Sie unter "Tunnel Data" (Tunneldaten) finden.
  • Schnittstelle: Wählen Sie die WAN-Schnittstelle aus, die Sie für den Tunnel verwenden möchten
  • Lokales Gateway: Als Standard deaktivieren
  • Moduskonfiguration: Als Standard deaktivieren
  • NAT-Traversal: Enable
  • Keepalive-Häufigkeit: 10
  • Dead Peer-Erkennung: Im Leerlauf
  • DPD-Wiederholungsanzahl: 3
  • DPD-Wiederholungsintervall: 10
  • Vorwärtsfehlerkorrektur: Keines der Kontrollkästchen markieren
  • Erweitert..: Konfigurationsschritte siehe Phase 2

Konfigurieren Sie jetzt IKE Authentication.

Authentifizierung

Authentication Pre-Shared Key

  • Authentifizierung 
    • Methode: Vorläufiger gemeinsamer Schlüssel (PSK) als Standard
    • Pre-Shared Key: Verwenden Sie die im Tunneldaten-Schritt bereitgestellte Passphrase. 
  • IKE 
    • Version: Version 2 auswählen
note-icon

Anmerkung: Secure Access unterstützt nur IKEv2.

Konfigurieren Sie anschließend das Phase 1 Proposal.

Angebot für Phase 1

Phase 1 Proposal Configuration Settings

  • Angebot für Phase 1 
    • Verschlüsselung: AES256 auswählen
    • Authentifizierung: SHA256 auswählen
    • Diffie-Hellman-Gruppen: Nur wählen20, können Sie Probleme später haben, wenn Sie mehrere wählen
    • Schlüsselverwendungsdauer (Sekunden): 86400 als Standard
    • Lokale ID: Verwenden Sie die primäre Tunnel-ID, die im Schritt Tunneldaten angegeben ist. 

Konfigurieren Sie jetzt das Angebot für Phase 2.

Angebot für Phase 2

Phase 2 Configuration Settings - Subnet

  • Neue Phase 2
    • Name: Voreinstellungen belassen (dieser Wert entspricht dem Namen Ihrer VPN-Verbindung)
    • Lokale Adresse: Voreinstellungen belassen (0.0.0.0/0.0.0.0)
    • Remote-Adresse: Let as default (0.0.0.0/0.0.0.0)
  • Erweitert 
    • Verschlüsselung: AES128 auswählen
    • Authentifizierung: SHA256 auswählen
    • Wiedergabeerkennung aktivieren: Voreinstellungen belassen (Aktiviert)
    • Perfect Forward Secrecy (PFS) aktivieren Deaktivieren Sie das Kontrollkästchen.
    • Lokaler Port: Voreinstellung belassen (aktiviert)
    • Remote-Port: Voreinstellungen belassen (Aktiviert)
    • Protokoll: Als Standard beibehalten (Aktiviert)
    • Auto-Negotiate: Voreinstellung belassen (nicht markiert)
    • Autom. Taste Verbindung aufrecht halten: Als Standard beibehalten (Markiert nicht)
    • Wichtige Lebenszeitgarantie: Voreinstellungen belassen (Sekunden)
    • Sekunden: Voreinstellung belassen (43200)

Klicken Sie anschließend auf OK. Sie werden sicher sein, dass das VPN mit sicherem Zugriff eingerichtet wurde, und Sie können mit dem nächsten Schritt fortfahren. Konfigurieren Sie die Tunnelschnittstelle.

WAN

Konfigurieren der Tunnelschnittstelle

Nachdem der Tunnel erstellt wurde, wird eine neue Schnittstelle hinter dem Port angezeigt, die Sie als WAN-Schnittstelle für die Kommunikation mit Secure Access verwenden. 

1. Um dies zu überprüfen, navigieren Sie zu Network > Interfaces.

FortiGate Interface

2. Erweitern Sie den Port, den Sie für die Kommunikation mit Secure Access verwenden. in diesem Fall die WAN Schnittstelle.

WAN - Physical Interface + CSA - Tunnel Interface

3. Klicken Sie auf Ihre Tunnelschnittstelle und klicken Sie auf Bearbeiten.

FortiLink Tunnel Interface

4. Konfigurieren Sie die Einstellungen anhand des Bilds.

Schnittstellenkonfiguration 

  • IP: Konfigurieren Sie eine nicht routbare IP, die sich nicht in Ihrem Netzwerk befindet (z. B. 169.254.0.1).
  • Remote-IP/Netzmaske: Konfigurieren Sie die Remote-IP als nächste IP für Ihre Schnittstellen-IP und mit einer Netzmaske von 30 (z. B. 169.254.0.2 255.255.255.252).

5. Klicken Sie auf, OK um die Konfigurationseinstellungen zu speichern und mit dem nächsten Schritt fortzufahren: Konfigurieren der Richtlinienroute (ursprüngliches Routing).

RemoteIP Netmask

warning-icon

Warnung: Konfigurieren Sie nach Abschluss der Aktion die Firewall-Richtlinien von FortiGate, um den Datenverkehr von Ihrem Gerät zu sicherem Zugriff und von sicherem Zugriff zu Ihren Zielnetzwerken zuzulassen.

Policy-Route konfigurieren

Jetzt ist das VPN so konfiguriert und eingerichtet, dass ein sicherer Zugriff gewährleistet ist. Nun müssen Sie den Datenverkehr zu Secure Access umleiten, um Ihren Datenverkehr oder den Zugriff auf Ihre privaten Anwendungen hinter Ihrer FortiGate-Firewall zu schützen.

1. Navigieren Sie zu Network > Policy Routes.

Network Policy Routes

2. Konfigurieren Sie die Richtlinie.

Incoming Traffic Configuration Settings

  • Übereinstimmender eingehender Datenverkehr:
    • Eingehende Schnittstelle: Wählen Sie die Schnittstelle aus, über die Sie den Datenverkehr zu Secure Access (Ursprung des Datenverkehrs) umleiten möchten.
  • Quelladresse
    • IP/Netzmaske: Verwenden Sie diese Option, wenn Sie nur ein Subnetz einer Schnittstelle routen.
    • Adressen: Verwenden Sie diese Option, wenn Sie ein Objekt erstellt haben und die Quelle des Datenverkehrs von mehreren Schnittstellen und mehreren Subnetzen stammt.
  • Zieladressen
    • Adressen: Wählen Sie all aus, wenn Sie den Internetverkehr schützen möchten. Wenn Sie privaten Zugriff benötigen, müssen Sie Ihren VPN-Profil-IP-Pool und den CGNAT-Bereich 100.64.0.0/10 hinzufügen.
    • Protokolle: Wählen Sie ANY (BELIEBIG).
  • dann 
    • Aktion: Weiterleiten von Datenverkehr auswählen
  • Ausgangsschnittstelle: Wählen Sie im Schritt Configure Tunnel Interface (Tunnelschnittstelle konfigurieren) die geänderte Tunnelschnittstelle aus.
  • Gateway-Adresse: Konfigurieren Sie die Remote-IP-Adresse, die im Schritt RemoteIPNetmask konfiguriert wurde.
  • Status: Wählen Sie Enabled (Aktiviert).

3. Klicken Sie auf OK, um die Konfigurationseinstellungen zu speichern. Überprüfen Sie, ob der Datenverkehr zu Ihren Geräten auf Sicherer Zugriff umgeleitet wurde. 

Überprüfung

Um zu überprüfen, ob der Datenverkehr von zu Sicherer Zugriff umgeleitet wurde, haben Sie zwei Möglichkeiten: Sie können im Internet nach Ihrer öffentlichen IP suchen oder den Befehl mit curl ausführen:

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

Der öffentliche Bereich, in dem der Datenverkehr angezeigt wird, ist:

  • Min. Host: 151.186.176.1 
  • Max. Host: 151.186.207.254
note-icon

Anmerkung: Änderungen an diesen IPs sind vorbehalten. Cisco kann diesen Bereich in Zukunft erweitern.

Wenn Sie eine Änderung Ihrer öffentlichen IP sehen, bedeutet dies, dass Sie durch sicheren Zugriff geschützt sind. Sie können Ihre private Anwendung auf dem Dashboard für sicheren Zugriff konfigurieren, um über VPNaaS oder ZTNA auf Ihre Anwendungen zuzugreifen.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
2.0
04-Jun-2026
Aktualisierte Rechtschreibung, Grammatik, Satzstruktur, Alt-Text bearbeiten und Nummerierung.
1.0
02-Aug-2024
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Jairo Moreno
    TAC

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.