Come scaricare e installare FortiClient VPN su Ubuntu 24.04

FortiClient VPN su Ubuntu 24.04: cosa aspettarsi davvero

Su Ubuntu 24.04 il punto non è solo “scaricare e installare” FortiClient VPN. Il tema vero è capire quale pacchetto usare, perché Fortinet non distribuisce un client Linux unico e universale come ci si aspetterebbe da altri vendor. In pratica, per l’uso VPN su Ubuntu, il riferimento più comune è FortiClient VPN in versione Linux, con pacchetti e dipendenze che possono cambiare nel tempo. Se il pacchetto non è allineato alla release di Ubuntu, il risultato tipico non è un errore elegante: è un’installazione incompleta, dipendenze mancanti o un client che si avvia ma non stabilisce il tunnel.

La regola operativa è semplice: prima si verifica compatibilità e sorgente del pacchetto, poi si installa, infine si valida la connessione con un profilo reale. Evita di partire da repository non ufficiali o da pacchetti “adattati” senza sapere esattamente cosa stai importando nel sistema.

Verifica preliminare: architettura, release e tipo di VPN

Prima di scaricare qualsiasi cosa, controlla tre punti: architettura del sistema, release di Ubuntu e tipo di VPN richiesto dall’azienda. FortiClient può essere usato in scenari diversi: SSL VPN, IPsec, autenticazione con SSO/MFA, o combinazioni con portali FortiGate. Non tutte le versioni Linux espongono le stesse funzioni, quindi conviene evitare assunzioni.

Su Ubuntu 24.04, la verifica base si fa così:

lsb_release -a
uname -m
cat /etc/os-release

Atteso: release 24.04 e architettura coerente con il pacchetto che scaricherai, di solito x86_64 per la maggior parte dei desktop x86. Se il sistema è ARM, fermati qui e verifica sul portale Fortinet o con l’amministratore se esiste un build compatibile. Non dare per scontato che un pacchetto .deb per amd64 funzioni su ARM solo perché il browser te lo lascia scaricare.

Scaricare FortiClient VPN dal canale corretto

Il download va fatto dal sito ufficiale Fortinet o dall’area supporto aziendale, se l’organizzazione distribuisce una build approvata. In ambienti aziendali è normale che il pacchetto sia fissato a una versione specifica, soprattutto se il gateway VPN richiede un client testato con determinati metodi di autenticazione. Se hai accesso al portale Fortinet, cerca la sezione download per Linux e il pacchetto dedicato a FortiClient VPN.

Un approccio prudente è scaricare il file in una directory temporanea e verificarne il nome, senza installare subito. Per esempio:

mkdir -p ~/Downloads/forticlient-check
cd ~/Downloads/forticlient-check
# sostituisci l'URL con quello ufficiale fornito da Fortinet o dall'IT aziendale
wget -O forticlient-vpn.deb "https://example.com/forticlient-vpn.deb"
ls -lh forticlient-vpn.deb

Qui il controllo utile non è estetico: il file deve avere dimensioni plausibili e un nome coerente con il pacchetto Linux. Se il download è un HTML di errore mascherato da .deb, lo scopri subito con file:

file forticlient-vpn.deb

Atteso: qualcosa del tipo Debian binary package. Se invece vedi HTML document, hai preso una pagina web, non il pacchetto.

Installazione del pacchetto .deb su Ubuntu 24.04

Su Ubuntu moderno conviene usare apt per installare un file locale, perché risolve meglio le dipendenze rispetto a dpkg puro. Il flusso corretto è: installazione, eventuale correzione dipendenze, verifica del binario.

Comandi consigliati:

sudo apt update
sudo apt install ./forticlient-vpn.deb

Se il pacchetto non è installabile con apt per qualche motivo, il fallback classico è:

sudo dpkg -i ./forticlient-vpn.deb
sudo apt -f install

La seconda riga è quella che chiude le dipendenze mancanti, ma va usata con criterio: prima leggi il messaggio d’errore, poi decidi. Se il sistema segnala librerie non trovate, annotale. Su Ubuntu 24.04, un problema frequente è la dipendenza da librerie o componenti grafici non presenti nell’installazione minimale o in ambienti desktop molto snelli.

Se vuoi capire subito cosa manca, usa:

sudo apt -f install
apt-cache policy nome-pacchetto-mancante

Quando l’installazione va a buon fine, verifica che il pacchetto sia registrato correttamente:

dpkg -l | grep -i forti

Atteso: una riga con stato ii per il pacchetto installato. Se lo stato è diverso, non procedere a configurare il profilo: prima risolvi il problema di base.

Avvio del client e controllo dei binari

Molti problemi nascono dopo l’installazione, quando si cerca il comando giusto da terminale. In base alla versione, l’eseguibile può essere nel menu applicazioni, in un wrapper grafico o in un path specifico. Per non andare a tentativi, controlla quali file sono stati installati dal pacchetto:

dpkg -L forticlient-vpn | sed -n '1,120p'

Se il nome del pacchetto differisce, sostituiscilo con quello reale mostrato da dpkg -l. Questo ti dice dove sono finiti binari, librerie, desktop file e icone. In un troubleshooting serio, il path è più utile del doppio click sull’icona.

Per lanciare il client da terminale, se l’eseguibile è noto, usa il path completo. Per esempio:

/opt/forticlient/forticlient

Il path esatto dipende dal pacchetto; non inventarlo. Se non lo conosci, ricavalo da dpkg -L o dal menu applicazioni. Questo approccio evita di confondere un’installazione riuscita con un problema di integrazione desktop.

Configurare il profilo VPN senza errori banali

Una volta aperto il client, il passo utile è inserire i parametri esatti del gateway. Qui gli errori più costosi sono sempre gli stessi: hostname sbagliato, porta errata, tipo di VPN non coerente, certificato non fidato o autenticazione MFA non gestita nel modo previsto.

Le informazioni minime da avere prima di creare il profilo sono:

• indirizzo FQDN o IP del gateway VPN;
• tipo di connessione richiesto: SSL VPN o IPsec;
• eventuali credenziali secondarie: OTP, SSO, certificato client, gruppo di accesso.

Se il gateway è dietro FortiGate, è comune che il portale richieda un nome di connessione identico o quasi al contesto aziendale. Non è un dettaglio estetico: alcuni utenti salvano profili duplicati con parametri diversi e poi si ritrovano a collegarsi al target sbagliato.

Quando il client chiede username e password, evita di salvare segreti in chiaro in file di testo o script. Se devi automatizzare il richiamo del profilo, usa meccanismi supportati dal sistema o dal password manager aziendale. Se non esiste un’integrazione sicura, lascia il login manuale.

Se la VPN non si connette: diagnosi utile in cinque minuti

Qui conviene ragionare per layer. Prima il trasporto, poi il gateway, poi l’autenticazione, infine l’accesso alle risorse interne. Non partire da ipotesi fantasiose sul client se il problema è banalmente rete o certificato.

1. Verifica che il gateway risponda: ping non è sempre significativo, ma curl -I sul portale SSL o una semplice apertura TCP sì.
2. Controlla DNS e risoluzione del nome: resolvectl query vpn.example.com oppure getent hosts vpn.example.com.
3. Controlla la porta: per SSL VPN spesso è 443 o una porta custom; per IPsec il discorso cambia e coinvolge UDP 500/4500.

Un test rapido dal terminale può essere questo:

curl -vk https://vpn.example.com
nc -vz vpn.example.com 443

Se curl riceve un certificato, anche non valido, significa che il layer TLS è raggiungibile. Se invece il comando resta in timeout o fallisce sul DNS, il problema è prima del client FortiClient. In quel caso non perdere tempo a reinstallare il pacchetto.

Per il lato applicativo, gli indizi utili sono i log dell’utente e dell’ambiente grafico. Su Linux desktop puoi osservare l’output del client lanciato da terminale e, se necessario, i log di sessione:

journalctl --user -xe
journalctl -xe | grep -i forti

Se il client stampa errori di certificato, controlla la trust chain. Se stampa errori di autenticazione, verifica che il portale non richieda una modalità SSO o MFA non supportata dalla build installata. Se il tunnel si apre ma non passa traffico, il problema può essere nel routing, nel DNS interno o nelle policy lato firewall.

Certificati, trust store e casi sporchi

Su Ubuntu 24.04 il trust store di sistema è solido, ma non basta a risolvere ogni scenario. Alcune organizzazioni usano certificati interni o CA private che il client deve riconoscere. Se FortiClient rifiuta il portale per certificato sconosciuto, il punto non è “disattivare la verifica”, ma importare la CA corretta nel trust store del sistema o nel meccanismo richiesto dall’organizzazione.

Per ispezionare rapidamente la catena TLS del gateway:

openssl s_client -connect vpn.example.com:443 -servername vpn.example.com -showcerts

Atteso: una catena coerente, senza errori evidenti di verifica. Se la CA interna non è presente, il certificato sarà visto come non attendibile. In quel caso il fix corretto è distribuire la CA aziendale in modo centralizzato, non ignorare l’errore sul client.

Su sistemi gestiti, l’installazione della CA può passare da policy aziendali, MDM o pacchetti di configurazione. Se sei su workstation personale ma connessa all’infrastruttura aziendale, chiedi il bundle CA ufficiale e verifica che sia firmato o distribuito da un canale affidabile.

Permessi, sicurezza e manutenzione minima

FortiClient VPN non va trattato come un software “usa e dimentica”. Ha accesso a credenziali, tunnel di rete e spesso a risorse sensibili. Per questo conviene tenere sotto controllo tre aspetti: aggiornamenti, permessi e superficie esposta.

• Aggiorna il client solo da fonti ufficiali o approvate.
• Evita di eseguire il client con privilegi inutili oltre quelli richiesti dal pacchetto.
• Non salvare password o token in file locali non protetti.

Se usi un sistema condiviso o una macchina aziendale amministrata, verifica che il pacchetto installato non apra porte locali non necessarie e che non aggiunga servizi persistenti senza motivo. Un controllo minimo può essere fatto con:

systemctl --user list-units | grep -i forti
ss -lntup

Non sempre FortiClient espone un servizio systemd classico; dipende dalla release. Il punto è osservare cosa ha effettivamente installato, non supporre un modello standard.

Disinstallazione pulita e rollback

Se il pacchetto non funziona o vuoi tornare indietro, il rollback deve essere semplice. Prima recupera il nome esatto del pacchetto installato:

dpkg -l | grep -i forti

Poi rimuovi il pacchetto con il gestore corretto. Su Ubuntu, in genere:

sudo apt remove forticlient-vpn

Se vuoi eliminare anche i file di configurazione dell’utente, valuta con attenzione cosa cancellare. Il rollback più prudente è rimuovere il pacchetto e lasciare intatti i profili, almeno finché non hai verificato dove FortiClient li archivia. Se devi fare pulizia completa, prima individua i path reali del profilo o fai un backup della directory utente interessata.

Prima di eseguire rimozioni più aggressive, considera il blast radius: perdi solo il client locale o anche profili e impostazioni di autenticazione? Se il sistema è usato per lavoro, conviene esportare o annotare i parametri del gateway prima di qualunque operazione.

Sequenza pratica consigliata su Ubuntu 24.04

Se devi fare tutto in modo lineare, questa è la sequenza che riduce gli errori:

1. Verifica release e architettura con lsb_release -a e uname -m.
2. Scarica il pacchetto solo da fonte ufficiale o approvata.
3. Controlla che il file sia davvero un pacchetto Debian con file.
4. Installa con sudo apt install ./nome-pacchetto.deb.
5. Se compaiono errori di dipendenze, usa sudo apt -f install e rileggi il messaggio.
6. Avvia il client e crea il profilo con i parametri esatti del gateway.
7. Verifica con curl, nc o openssl s_client che il problema non sia a monte del tunnel.
8. Solo dopo controlla autenticazione, trust store e routing interno.

Questo ordine funziona perché separa il problema di packaging da quello di connettività. È il modo più rapido per evitare di passare mezz’ora a inseguire un errore che in realtà nasce da un DNS sbagliato o da un certificato interno non distribuito.

Quando il problema non è FortiClient

In molti casi il client è innocente. Se il tunnel non si apre, il gateway può essere giù, il certificato del portale può essere scaduto, il DNS aziendale può essere incoerente oppure la policy firewall può bloccare il traffico uscente della rete da cui ti connetti. Anche una modifica recente sul FortiGate lato server può rompere utenti che fino al giorno prima funzionavano senza problemi.

Per questo, prima di cambiare configurazioni locali, raccogli un’evidenza minima: URL del portale, timestamp del tentativo, messaggio esatto del client, risultato di un curl -vk e, se disponibile, log del gateway lato amministrazione. Senza questi dati si va a tentativi, e i tentativi sulle VPN di produzione sono spesso solo rumore.

Se vuoi un criterio semplice: se il browser non raggiunge il portale, il problema è quasi certamente fuori dal client; se il browser raggiunge il portale ma il tunnel fallisce, allora ha senso guardare autenticazione, certificati e compatibilità del pacchetto; se il tunnel sale ma non navighi, il focus passa a routing, DNS interno e policy di accesso.

In sintesi operativa, su Ubuntu 24.04 conviene installare FortiClient VPN con attenzione alla sorgente del pacchetto, validare subito compatibilità e dipendenze, e testare il gateway prima di accusare il client. È il modo più pulito per evitare reinstallazioni inutili e per arrivare velocemente al vero punto di rottura.