Înainte să implementăm MFA FortiToken, foloseam clienții VPN încorporați în iOS/macOS pentru a conecta iPhone-ul și Mac-ul meu la Fortigate, și totul mergea perfect.
Clientul VPN integrat în iOS/macOS nu poate gestiona solicitarea unui token, așa că a trebuit să instalez Forticlient pe Mac (horror! dezgust!).
Însă nu am găsit o soluție pentru iPhone. FortiClient pentru iOS pare să suporte doar VPN SSL. Oare suportă și FortiTokens? Cum funcționează dacă aplicația FortiToken rulează pe același dispozitiv? Doar comutare între aplicații și memorarea numărului? Cam inestetic, dar cred că se poate face.
Nu am multă experiență cu VPN SSL; dacă configurez unul pe Fortigate, este doar acces web-browser la resursele din rețea sau și alte aplicații funcționează normal?
Tocmai am configurat un IPsec pentru dispozitivul meu iOS cu FortiClient către FortiGate. Funcționează fără probleme. Acum vreau să integrez FortiToken Mobile pentru acest acces VPN IPsec. Dar pe iPhone statusul afișat este “Connecting” și nu se întâmplă nimic.
2FA este complicată în IPsec, pentru că (!cel puțin din punctul meu de vedere! Feel free să discutați sau să dezacordați) pare că nu a fost niciodată considerată direct, și astfel implementarea e cam la întâmplare.
În IKEv1 poate fi susținut mai ușor prin schimburi de mod-cfg cu XAUTH, atâta timp cât software-ul client este conștient de faptul că trebuie să aștepte și să solicite un cod token.
În IKEv2 totul este deferit către EAP, unde sunt sincer nesigur dacă există o metodă EAP larg utilizată care să suporte cei doi factori legați împreună. Există EAP-TEAP (două schimburi EAP în lanț), dar după cum știu eu, este o metodă destul de nouă (Windows a început să o suporte recent, nu am informații despre alți furnizori de dispozitive client). FortiClient pentru Windows, când gestionează 2FA pentru FortiGate, face asta într-un mod proprietar.
Cu SSL-VPN nu ar trebui să ai probleme de genul acesta, întrucât SSL-VPN este proprietar din start. Fie este disponibil pentru clientul tău (și deci 2FA ar trebui să fie suportat), fie nu.
Oricum, nu sunt sigur cum gestionează Apple-FortiClient, dar versiunea pentru Android nu are probleme să solicite 2FA deasupra aplicației FortiClient (sau dacă faci switch între ele pentru a confirma/copia 2FA, flow-ul nu este perturbat).
Salut, încerc VPN dial-up (ike2) cu 2FA (fortitoken) de asemenea. Dar nu funcționează cu dispozitiv iOS, în timp ce funcționează bine cu Windows. De asemenea, funcționează dacă elimin 2FA din iOS. Este o limitare a iOS pentru IKEv2?
Vorbim despre FortiClient pe iOS sau despre un alt client nativ?
Dacă e FortiClient, rezultatele sugerează că nu este implementat/suportat în acea versiune. Îți recomand deschiderea unui caz de suport cu TAC pentru confirmare.
Dacă e alt client nativ - 2FA este implementat ca o extensie personalizată a EAP-MSCHAPv2, și nu trebuie să funcționeze cu clienți non-Fortinet.