Always-On und Auto-Connect in FortiClient VPN: Maximale Sicherheit für mobile Mitarbeiter

Mobile Mitarbeiter sind heute überall unterwegs – im Home-Office, im Café, im Zug oder beim Kunden. Genau hier entsteht das größte Risiko: Unsichere Netze, vergessene VPN-Verbindungen und Datenlecks durch offene Verbindungen. FortiClient VPN löst dieses Problem mit Always-On (auch „Always Up“ oder Keep Alive) und Auto-Connect. Diese Features sorgen dafür, dass der sichere Tunnel immer aktiv ist – ohne dass der Nutzer ständig eingreifen muss. Besonders in Kombination mit IPsec VPN (dem aktuellen Standard seit FortiOS 7.6+) bieten sie maximale Sicherheit für hybride Arbeitswelten.

Was bedeuten Always-On und Auto-Connect genau?

Auto-Connect aktiviert die VPN-Verbindung automatisch, sobald FortiClient startet – ideal beim Hochfahren des Laptops oder nach einem Netzwechsel. Der Nutzer muss weder Passwort eingeben noch manuell klicken (bei EMS-gesteuerten Profilen oft sogar grayed out und erzwungen).

Always-On (Keep Alive / Always Up) geht weiter: Die Verbindung bleibt permanent aktiv. Bei Abbrüchen (WLAN-Wechsel, Schlafmodus, Mobilfunk-Schwäche) versucht FortiClient sofort neu zu verbinden. Kein „VPN ist weg“ mehr – der Tunnel ist quasi immer da.

Beide Features sind in FortiClient 7.4+ (und höher) verfügbar, vor allem über FortiClient EMS zentral konfigurierbar. In der Free-Version sind sie eingeschränkt oder fehlen seit neueren Releases; für Enterprise-Nutzung mit EMS sind sie Standard.

Die Sicherheitsvorteile im mobilen Alltag

Ohne Always-On/Auto-Connect riskieren Unternehmen:

  • Unverschlüsselte Daten in öffentlichen WLANs
  • Man-in-the-Middle-Angriffe bei verzögerter VPN-Nutzung
  • Compliance-Verstöße (z. B. DSGVO, HIPAA), weil Traffic nicht immer geschützt ist

Mit aktivierten Features profitiert man von:

  • Zero-Trust-ähnlichem Schutz: Jeder Zugriff läuft nur über den gesicherten Tunnel – auch bei spontanen Internet-Nutzungen
  • Automatische Re-Authentifizierung: Bei MFA (FortiToken, Zertifikate) erfolgt die Wiederherstellung nahtlos
  • On-Fabric Detection: FortiClient erkennt „sichere“ Firmennetze und schaltet VPN intelligent aus („Auto-Connect only when off-fabric“), um Bandbreite zu sparen
  • Vor-Logon-Verbindung möglich (Pre-Logon VPN): VPN baut sich schon vor Windows-Login auf – perfekt für Domain-Joins oder Gruppenrichtlinien aus der Ferne
  • Weniger Nutzerfehler: Kein Vergessen des Connect-Buttons – die Akzeptanz steigt enorm

In Praxistests reduzieren diese Features „unsichere Verbindungszeiten“ um bis zu 95 % und minimieren Incident-Tickets durch „VPN-Probleme“.

Konfigurationstipps für maximale Wirksamkeit

  1. Über EMS pushen (empfohlen): In Endpoint Profiles > Remote Access > VPN-Tunnel „Save Password“, „Auto Connect“ und „Always Up“ aktivieren. EMS-Tunnels haben diese oft fix enforced.
  2. IPsec bevorzugen: Seit Deprecation von SSL Tunnel Mode (FortiOS 7.6+) ist IPsec mit TCP-Transport (Port 443) firewallfreundlich und stabiler für Always-On.
  3. Split Tunneling kombinieren: Nur Firmen-Traffic durch den Tunnel – privater Traffic bleibt schnell und lokal.
  4. MFA + Zertifikate: Für Auto-Connect ideal mit Zertifikat-Auth (kein Passwort-Eingabe nötig) oder SAML/Entra ID-Integration.
  5. Pre-Logon einrichten: Für Machine-VPN-Profile klonen und Auto-Pre-Logon aktivieren – VPN vor User-Login.
  6. Fallback & Redundanz: Mehrere Gateways konfigurieren (Load Balancing via FQDN) – Always-On schaltet automatisch um.

Achtung: In restriktiven Netzen (Hotels, Flughäfen) kann UDP-IPsec blockiert sein – TCP-Transport aktivieren!

Wann diese Features unverzichtbar sind

  • Vollständig mobile Teams (Vertrieb, Field Service, Berater)
  • Hohe Compliance-Anforderungen (Finanz, Gesundheit, öffentliche Hand)
  • Zero-Trust-Umgebungen mit ZTNA-Integration
  • Unternehmen mit vielen Home-Office-Nutzern, die „VPN ist langsam/aus“ melden

Bei reinen Office-Nutzern oder stark kontrollierten Umgebungen reicht oft normales Auto-Connect. Always-On ist der Game-Changer für echte „Always Secure“-Szenarien.

Fazit: Von „manchmal sicher“ zu „immer sicher“

Always-On und Auto-Connect in FortiClient VPN verwandeln eine optionale Sicherheitsmaßnahme in einen unsichtbaren, aber permanenten Schutzschild. Mobile Mitarbeiter arbeiten produktiver, Administratoren haben weniger Stress, und das Unternehmen erfüllt Sicherheitsstandards mühelos. In 2026, mit IPsec als Standard und EMS als zentraler Steuerung, gehören diese Features zur modernen Remote-Access-Basis.

Wer noch manuell connectet oder Abbrüche toleriert: Testen Sie Always-On – die Verbesserung in Sicherheit und Nutzerzufriedenheit ist sofort spürbar. Konfigurieren Sie es zentral via EMS, und profitieren Sie von der nächsten Stufe der mobilen Sicherheit.