FortiOS 7.6.3 heeft de SSL VPN tunnelmodus verwijderd uit elk FortiGate model. Fortinet wijst beheerders op IPsec. Maar velen kijken verder dan die standaard, en wegen WireGuard voor zijn snelheid of Fortinet ZTNA voor zijn toegangscontrole.
Het probleem is dat beide opties binnen het Fortinet-ecosysteem aanzienlijke nadelen hebben. WireGuard wordt niet standaard ondersteund op FortiGate. Fortinet ZTNA vereist een opstelling met meerdere componenten waarmee veel teams in het middensegment worstelen. Een derde pad, een pad dat WireGuard tunneling combineert met Zero Trust toegangscontrole in een enkel platform, vermijdt deze afwegingen volledig.
In deze vergelijking worden alle drie de opties naast elkaar gezet, zodat je een weloverwogen beslissing kunt nemen.
Drie benaderingen vergeleken in één oogopslag
| WireGuard (met FortiGate) | Fortinet ZTNA | Jimber SASE | |
|---|---|---|---|
| Ondersteuning voor native FortiOS | Nee. Hiervoor is een aparte server nodig | Ja, FortiOS 7.0+ | Onafhankelijk platform |
| Tunnelprotocol | WireGuard (UDP) | HTTPS omgekeerde proxy | WireGuard (UDP + verborgen HTTPS) |
| Toegangsmodel | op netwerkniveau | Toepassingsniveau | Toepassingsniveau |
| Vereiste componenten | WireGuard server, VIP, poort doorsturen | FortiGate + FortiClient EMS + FortiClient agent | Cloud console + lichtgewicht agent of browser |
| Apparaat postuurcontroles | Geen | Ja, via EMS-tagging | Ja, ingebouwd |
| SSO / MFA integratie | Handmatig of derde partij | FortiClient + EMS certificaten | Native (Microsoft, Google, standaard IdP’s) |
| Agentless apparaatondersteuning | Geen | Beperkt (alleen webmodus) | Ja (isolatie via browser) |
| Beheer op meerdere locaties | Geen | Complexe Fabric setup | Eén cloudconsole |
| MSP / multi-tenant | Geen | Complex | Ingebouwd |
| Fortinet licentie-afhankelijkheid | Geen | FortiClient EMS licentie | Geen |
Waarom FortiGate-beheerders op zoek zijn naar WireGuard
De aantrekkingskracht is eenvoudig. De codebase van WireGuard is ruwweg 4000 regels vergeleken met honderdduizenden in IPsec. Het gebruikt moderne cryptografie (ChaCha20-Poly1305, Curve25519), maakt direct opnieuw verbinding wanneer gebruikers van netwerk wisselen en presteert consequent beter dan zowel IPsec als het nu afgeschreven SSL VPN in doorvoertests.
De Fortinet-gemeenschap vraagt al sinds 2021 om native WireGuard-integratie, met threads die nog steeds tot eind 2025 om commentaar vragen. Fortinet heeft het niet toegevoegd. De waarschijnlijke reden is commercieel: native WireGuard zou de afhankelijkheid van FortiClient-licenties en het bredere Fabric-ecosysteem verminderen.
Voor beheerders betekent dit dat WireGuard op FortiGate een workaround blijft en geen ondersteunde functie.
Hoe WireGuard eigenlijk werkt met een FortiGate
Er is geen WireGuard toggle in de FortiGate GUI. Je hebt een aparte WireGuard server nodig (meestal een Linux VM) achter de FortiGate met port forwarding om UDP 51820 verkeer door te laten. De setup omvat het aanmaken van een Virtuele IP, het configureren van firewall policies, het aanpassen van application control zodat FortiGuard WireGuard niet blokkeert (het identificeert en blokkeert het standaard) en het beheren van routing.
Dit werkt in productie. Maar je krijgt geen Fortinet TAC support, geen integratie met FortiGuard threat intelligence, geen ingebouwde MFA of device posture checks, en geen gecentraliseerd beheer. Voor organisaties met NIS2-complianceverplichtingen zijn deze hiaten moeilijk te rechtvaardigen tijdens een audit.
Hoe Jimber dit anders aanpakt: Jimber bouwt WireGuard in zijn ZTNA-platform in. Geen aparte server, geen VIP-configuratie, geen FortiGuard-uitzonderingen. Gebruikers krijgen dezelfde low-latency WireGuard-prestaties met identiteitsverificatie en apparaathouding toegepast vóór elke sessie. En omdat Jimber een stealth-modus toevoegt die WireGuard in HTTPS wikkelt, werken verbindingen zelfs op netwerken die UDP-verkeer blokkeren, iets wat een standalone WireGuard-opstelling niet kan oplossen.
Hoe Fortinet ZTNA werkt (en waar het ingewikkeld wordt)
Fortinet ZTNA biedt toegang op applicatieniveau via een HTTPS reverse proxy op de FortiGate. Elke verbinding wordt geverifieerd aan de hand van gebruikersidentiteit, apparaatcertificaten en posture tags. De architectuur vereist drie componenten in overleg: de FortiGate als toegangsproxy, FortiClient EMS voor certificaat en posture management, en de FortiClient agent op elk eindpunt.
Dit opzetten betekent EMS verbinden met FortiGate via Fabric Connectors, Zero Trust tagging regels configureren in EMS, ZTNA server definities aanmaken per toepassing en proxy beleid opbouwen dat gebruikers en tags koppelt aan bronnen.
Je krijgt toegang op applicatieniveau, continue verificatie van de houding en applicaties die verborgen zijn voor het openbare internet. U verliest eenvoud. Elke toepassing heeft zijn eigen ZTNA-serverconfiguratie en proxybeleid nodig. FortiClient EMS vereist een aparte licentie. BYOD-apparaten en aannemers moeten FortiClient installeren of zijn beperkt tot de webmodus. De HTTPS proxy voegt vertraging toe aan elk verzoek, merkbaar voor praatachtige protocollen zoals SMB of databaseverbindingen.
Hoe Jimber dit anders aanpakt: Jimber levert dezelfde Zero Trust-toegang op applicatieniveau vanuit één cloudconsole. Geen EMS-server te onderhouden, geen per-applicatie proxy definities, geen FortiClient agent afhankelijkheid. Beleidsregels worden eenmalig gedefinieerd per identiteit en rol en vervolgens afgedwongen voor alle applicaties. Voor aannemers en BYOD-scenario’s betekent browsergebaseerde toegang via isolatietechnologie dat gebruikers specifieke toepassingen kunnen bereiken zonder iets op hun apparaat te installeren, een gat dat Fortinet ZTNA niet kan vullen zonder FortiClient.
Waar elke optie tekortschiet
Het kernprobleem met de Fortinet-native paden is dat ze een afweging afdwingen. WireGuard geeft je snelheid maar geen toegangscontrole. ZTNA geeft je toegangscontrole maar voegt complexiteit en latentie toe.
| Uw prioriteit | WireGuard (FortiGate) | Fortinet ZTNA | Jimber SASE |
|---|---|---|---|
| Snelle, betrouwbare tunnels | Uitstekende | Proxy voegt latentie toe | Uitstekend (native WireGuard) |
| Toegang op applicatieniveau | Niet beschikbaar | Ja | Ja |
| Verificatie van apparaathouding | Niet beschikbaar | Ja (EMS vereist) | Ja (ingebouwd) |
| BYOD / toegang voor contractanten | Agent vereist | Agent vereist | Agentless via browserisolatie |
| Beheerbaarheid voor kleine teams | Matig (niet ondersteund) | Hoge overhead | Laag (enkele console) |
| Inzet op meerdere locaties | Geen centraal beheer | Complexe Fabric setup | Cloudbeheer op alle locaties |
| NIS2-auditbewijs | Minimale logging | Goed, verspreid over tools | Gecentraliseerd in één console |
| Beperkende netwerken | Gedeeltelijk (UDP kan worden geblokkeerd) | Geen oplossing | Stealth-modus (WireGuard over HTTPS) |
Jimber elimineert de afweging omdat het WireGuard en ZTNA niet als aparte zaken behandelt. Het tunnelprotocol en de toegangscontrole vormen één architectuur, die op één plaats wordt beheerd.
Wat Jimber de sterkste optie maakt voor FortiGate beheerders
Drie mogelijkheden zijn vooral relevant bij migratie vanuit een FortiGate omgeving.
WireGuard-snelheid zonder workaround.
Jimber gebruikt WireGuard als kerntunnel, met alle prestatievoordelen die FortiGate-beheerders willen: onmiddellijke herverbinding op netwerkswitches, lage CPU-overhead, moderne cryptografie. Maar in plaats van een niet-ondersteunde server achter je firewall te laten draaien, is het geïntegreerd met toegangsbeleid op basis van identiteit, apparaatposture-controles en gecentraliseerde logging. U behoudt de snelheid en krijgt de controle.
Agentless toegang die echt werkt.
Zowel standalone WireGuard als Fortinet ZTNA vereisen software op elk eindpunt. Voor externe consultants, partners en BYOD-gebruikers is dat moeilijk te verkopen. Jimber biedt browsergebaseerde toegang via isolatie, wat betekent dat gebruikers een interne applicatie zien en ermee werken zonder dat er code op hun apparaat wordt uitgevoerd. Geen agentinstallatie, geen FortiClient-licentie, geen ruzie over apparaatbeheer met externe partijen.
Eén console vervangt meerdere Fortinet-componenten.
Waar Fortinet ZTNA FortiGate + FortiClient EMS + FortiClient-agenten (en optioneel FortiAnalyzer voor rapportage) vereist, consolideert Jimber toegangscontrole, webbeveiliging en connectiviteit voor meerdere locaties in een enkel door de cloud beheerd platform. Voor MSP’s die meerdere klantomgevingen beheren, vervangt de ingebouwde multi-tenant architectuur EMS-instanties per klant volledig.
Het platform omvat ook NIAC-hardware voor het beveiligen van apparaten die geen agent kunnen uitvoeren, zoals printers, IoT-sensoren en industriële apparatuur, met transparante prijzen en zonder verborgen licentieniveaus.
Hoe een migratie van FortiGate naar Jimber werkt
Jimber wordt geïnstalleerd naast de bestaande Fortinet-infrastructuur. Er is geen gedwongen overstap.
Fase 1: Piloot. Publiceer 2-3 interne webapplicaties via Jimbers ZTNA. Houd bestaande FortiGate-toegang actief voor al het andere. Meet de gebruikerservaring en het aantal supporttickets. Dit duurt dagen, geen weken.
Fase 2: Uitbreiden. Extra applicaties en gebruikersgroepen migreren. Apparaatposturecontroles inschakelen. NIAC implementeren voor agentless apparaten. De Secure Web Gateway activeren voor webfiltering.
Fase 3: Consolideren. Zodra de dekking 80% of meer bereikt, annuleert u de oude VPN-toegang voor gemigreerde gebruikers. Je FortiGate blijft actief voor noord-zuid verkeersinspectie waar dat het meest effectief is.
Voor een gedetailleerde kijk op de IPsec-versus-ZTNA beslissing als een protocolvergelijking, zie onze migratiepadgids. Als u al een IPsec-migratie hebt voltooid en de volgende stappen wilt evalueren, behandelt deze postmigratiebeoordeling de wrijvingspunten die de moeite waard zijn om aan te pakken.
Klaar om WireGuard-prestaties te zien met Zero Trust-toegangscontroles in één console? Boek een demo en we stippelen een migratiepad uit voor uw FortiGate-omgeving.
FAQ
Ondersteunt FortiOS WireGuard van nature?
Nee. Vanaf begin 2026 is er geen native WireGuard optie in de FortiGate GUI of CLI. Beheerders moeten een aparte server achter de FortiGate met handmatige poort doorsturen. Jimber integreert WireGuard native in zijn ZTNA-platform, waardoor deze workaround volledig wordt verwijderd.
Kan ik WireGuard en Fortinet ZTNA tegelijkertijd uitvoeren?
Technisch gezien wel, maar dan beheer je twee aparte architecturen zonder gedeeld beleidsmodel. Jimber combineert WireGuard tunneling en Zero Trust toegangscontrole in één platform, dus je hoeft niet te kiezen.
Wat is er gebeurd met SSL VPN webmodus?
Fortinet heeft het hernoemd tot “Agentless VPN” in FortiOS 7.6.3. Het werkt nog steeds op modellen met meer dan 2 GB RAM, maar is verwijderd uit instapmodellen zoals de 40F, 60F en 90G series.
Is Fortinet ZTNA de complexiteit waard voor teams in het middensegment?
Als je specifiek personeel hebt om FortiClient EMS, certificaatketens en proxyregels per toepassing te beheren, biedt Fortinet ZTNA echte beveiligingsverbeteringen ten opzichte van VPN. Voor teams die dit te zwaar vinden, bereikt Jimber hetzelfde Zero Trust-resultaat vanuit een enkele cloudconsole zonder de overhead van meerdere componenten.
Hoe gaat Jimber om met de overgang van een FortiGate-omgeving?
Jimber wordt naast de bestaande FortiGate-infrastructuur geïnstalleerd. Migreer gebruikersgroepen en applicaties stapsgewijs. Je FortiGate blijft actief voor verkeer dat het goed afhandelt, terwijl externe toegang verschuift naar het SASE-platform.
