Routing Probleme mit Fortigate und VPN und MPLS
Problem mit den Routen
Hallo,
ich habe folgendes Problem: Wir haben eine MPLS-Verbindung an einem Standort bekommen. An diesem Standort funktioniert das Routing durch statische Routen in einer Fortiguard Firewall auch absolut problemlos.
Nun ist es wichtig zu wissen, dass an diesem Standort per VPN ein weiterer Standort angebunden ist. Dieser hat ein 192.168.32.0/24er Netz. Der Standort an dem die MPLS Verbindung steht hat ein 10.185.0.0/16er Netz. Das Zielnetz hinter dem MPLS-Anschuß hat ein 10.172.100.0/24er Netz.
Mein Problem ist jetzt, dass ich auch Traffic aus dem 192.168.32.0er Netz über den Standort mit dem 10.185.0.0er Netz über die MPLS Leitung routen muss. (Pings direkt auf die IP und die HRSP Adresse funktionieren problemlos (10.185.254.250)
Ich habe das Problem mittlerweile soweit lokalisiert, dass ich glaube, dass die Fortigate Firewall einen Bug hat. Die eingetragenen statischen Routen tauchen nicht im Routing Monitor auf, so wie es bei der anderen Firewall am MPLS-Standort der Fall ist. Egal welche Route ich eintrage, die Firewall routet die pakete laut tracert immer ins Netz. Dort gibt es dann natürlich keine Antwort und das Routing scheitert.
Bei der Firewall handelt es sich um eine Fortigate 60b. Vielleicht kennt jemand das Problem und kann mir sagen, wie ich die Routen forcen kann?
Kann es sein, dass die Route nicht funktioniert, weil das Gateway in einem anderen Netz ist ? (10.185 statt 192.168?)
Vielen Dank für die Hilfe und weitere Tipps...
ich habe folgendes Problem: Wir haben eine MPLS-Verbindung an einem Standort bekommen. An diesem Standort funktioniert das Routing durch statische Routen in einer Fortiguard Firewall auch absolut problemlos.
Nun ist es wichtig zu wissen, dass an diesem Standort per VPN ein weiterer Standort angebunden ist. Dieser hat ein 192.168.32.0/24er Netz. Der Standort an dem die MPLS Verbindung steht hat ein 10.185.0.0/16er Netz. Das Zielnetz hinter dem MPLS-Anschuß hat ein 10.172.100.0/24er Netz.
Mein Problem ist jetzt, dass ich auch Traffic aus dem 192.168.32.0er Netz über den Standort mit dem 10.185.0.0er Netz über die MPLS Leitung routen muss. (Pings direkt auf die IP und die HRSP Adresse funktionieren problemlos (10.185.254.250)
Ich habe das Problem mittlerweile soweit lokalisiert, dass ich glaube, dass die Fortigate Firewall einen Bug hat. Die eingetragenen statischen Routen tauchen nicht im Routing Monitor auf, so wie es bei der anderen Firewall am MPLS-Standort der Fall ist. Egal welche Route ich eintrage, die Firewall routet die pakete laut tracert immer ins Netz. Dort gibt es dann natürlich keine Antwort und das Routing scheitert.
Bei der Firewall handelt es sich um eine Fortigate 60b. Vielleicht kennt jemand das Problem und kann mir sagen, wie ich die Routen forcen kann?
Kann es sein, dass die Route nicht funktioniert, weil das Gateway in einem anderen Netz ist ? (10.185 statt 192.168?)
Vielen Dank für die Hilfe und weitere Tipps...
Please also mark the comments that contributed to the solution of the article
Content-Key: 172473
Url: https://administrator.de/contentid/172473
Printed on: April 18, 2024 at 10:04 o'clock
13 Comments
Latest comment
Du musst deinem MPLS Provider ebnso zwingend mitteilen das du zusätzlich zum 10.185.0.0er Netz AUCH das 192.168.32.0/24er Netz über den MPLS Router routen willst. Das muss er nachtragen in der CPE Konfig, ansonsten blockt der MPLS CPE Router den ihr vom Provider da stehen habt dieses Netzwerk bzw. ignoriert es einfach.
Ohne Provider Intervention wird es also logischerweise nicht gehen. Andernfalls suchst du dir einen Wolf. Routing Änderungen musst du deshalb immer auch dem Provider mitteilen bei MPLS.
Ohne Provider Intervention wird es also logischerweise nicht gehen. Andernfalls suchst du dir einen Wolf. Routing Änderungen musst du deshalb immer auch dem Provider mitteilen bei MPLS.
Was meinst du mit "Router" ?? Kannst du auch die Router am anderen Ende der MPLS Wolke erreichen ?? Genau das ist doch der Punkt !
Deine Fortinet hat doch eh eine Default Route auf den Provider CPE Router...dort kann man ja nun nichtmehr viel falsch machen ! Der Knackpunkt ist also der CPE bzw. die remoten CPE Router in denen diese 192.168er Netz AUCH eingetragen werden muss !
Es betrifft alle Router in der MPLS Wolke die dieses 192.168er Netz routen müssen ! Logischerweise nicht nur das wo eure Fortinet dran ist. Pakete müssen ja auch wieder zurückkommen in das Netz ! Traceroute und Pathping zeigen dir doch genau den Hop an wo diese Route fehlt.
Deine Fortinet hat doch eh eine Default Route auf den Provider CPE Router...dort kann man ja nun nichtmehr viel falsch machen ! Der Knackpunkt ist also der CPE bzw. die remoten CPE Router in denen diese 192.168er Netz AUCH eingetragen werden muss !
Es betrifft alle Router in der MPLS Wolke die dieses 192.168er Netz routen müssen ! Logischerweise nicht nur das wo eure Fortinet dran ist. Pakete müssen ja auch wieder zurückkommen in das Netz ! Traceroute und Pathping zeigen dir doch genau den Hop an wo diese Route fehlt.
Hallo,
zunächst einmal wäre es sehr vorteilhaft, eine Skizze von Netzaufbau beizufügen, damit hier nicht jeder seine eigenen Annahmen tätigt und alle aneinander vorbei reden.
Ich nehme an (s.o.!), dass Du einen IPSec-Tunnel übers Internet zwischen den Standorten 192.168.32.0/24 und 10.185.0.0/16 hast. Nun willst Du zusätzlich noch durch diesen (oder einen weiteren) Tunnel eine Kommunikation zwischen 192.168.32.0/24 und 10.172.100.0/24 (über 10.185.0.0/16) realisieren, richtig? Und das hast Du - wenn ich Dich richtig verstanden habe - per statischer Route versucht (beiderseites auf dort jeweils als VPN-Endpunkt fungierenden Fortigates?). Das geht so aber nicht. Laut diesem Guide http://docs.fortinet.com/fgt/archives/3.0/techdocs/FortiGate_IPSec_VPN_ ... geht das, indem Du eine Firewallregel definierst. Die konkrete Implementierung ist zudem davon abhängig, ob Dein VPN nun policybased oder routedbased arbeitet. Arbeitet es routetbased, genügt (auf beiden Seiten) eine Firewallregel, die den Traffic auf das vorhandene Tunnelinterface leitet. Arbeitet es hingegen policybased, benötigst Du eine zusätzliche Phase2-Policy und musst diese in der Firewallregel verwenden.
Gruß
sk
zunächst einmal wäre es sehr vorteilhaft, eine Skizze von Netzaufbau beizufügen, damit hier nicht jeder seine eigenen Annahmen tätigt und alle aneinander vorbei reden.
Zitat von @powerlinemk:
Sobald ich ein tracert aus dem 192er Netz mit einem Zielhost mache macht er bereits den falschen Hop. Er geht garnicht in das
10.185er Netz oder an den MPLS router sondern versucht ins Internet zu routen.
Sobald ich ein tracert aus dem 192er Netz mit einem Zielhost mache macht er bereits den falschen Hop. Er geht garnicht in das
10.185er Netz oder an den MPLS router sondern versucht ins Internet zu routen.
Ich nehme an (s.o.!), dass Du einen IPSec-Tunnel übers Internet zwischen den Standorten 192.168.32.0/24 und 10.185.0.0/16 hast. Nun willst Du zusätzlich noch durch diesen (oder einen weiteren) Tunnel eine Kommunikation zwischen 192.168.32.0/24 und 10.172.100.0/24 (über 10.185.0.0/16) realisieren, richtig? Und das hast Du - wenn ich Dich richtig verstanden habe - per statischer Route versucht (beiderseites auf dort jeweils als VPN-Endpunkt fungierenden Fortigates?). Das geht so aber nicht. Laut diesem Guide http://docs.fortinet.com/fgt/archives/3.0/techdocs/FortiGate_IPSec_VPN_ ... geht das, indem Du eine Firewallregel definierst. Die konkrete Implementierung ist zudem davon abhängig, ob Dein VPN nun policybased oder routedbased arbeitet. Arbeitet es routetbased, genügt (auf beiden Seiten) eine Firewallregel, die den Traffic auf das vorhandene Tunnelinterface leitet. Arbeitet es hingegen policybased, benötigst Du eine zusätzliche Phase2-Policy und musst diese in der Firewallregel verwenden.
Gruß
sk
Wenn du mit dem VPN Client per VPN verbunden bist, dann solltest du erstmal mit einem route print am Client dir die Routing Tabelle des Fortinet genau ansehen ob die 10er Netze bzw. alle Zielnetze die du via VPN und dann MPLS erreichen willst auch auf den VPN Tunnel gemappt sind. Andernfalls werden sie lokal geroutet über das LAN Interface und landen so im Nirwana.
Die Fortigate muss also diese Netze als VPN Server auch auf die remote Seite propagieren bzw. müssen sie hier ebenfalls statisch eingetragen sein, das die in den VPN Tunnel geroutet werden und NICHT lokal !Das sieht man wie gesagt mit "route print" wenn der Client aktiv ist ! Sieh dir also zwingend dazu erstmal die Routing Tabelle von beiden Fortigates an und/oder poste die hier ggf. ! Pathping und Traceroute sind wie immer deine Freunde !!
Noch besser wäre es wenn du von allen MPLS CPE Routern ebenfalls einmal die Routing Tabelle vom Provider geemailt bekommst nach dem Motto "Vertraune ist gut, Kontrolle ist besser !"
Die Logs der Firewall findest du wie immer im GUi der Firewall oder im Syslog Buffer der Firewall.
Die Fortigate muss also diese Netze als VPN Server auch auf die remote Seite propagieren bzw. müssen sie hier ebenfalls statisch eingetragen sein, das die in den VPN Tunnel geroutet werden und NICHT lokal !
Noch besser wäre es wenn du von allen MPLS CPE Routern ebenfalls einmal die Routing Tabelle vom Provider geemailt bekommst nach dem Motto "Vertraune ist gut, Kontrolle ist besser !"
Die Logs der Firewall findest du wie immer im GUi der Firewall oder im Syslog Buffer der Firewall.
Eigentlich solltest Du mir das sagen können und nicht umgekehrt! Ich habe selbst keine Fortigate und kann mich nur an den online verfügbaren Ressorcen (Demo-GUI, Anleitungen) orientieren.
VPN-->IPSec-->AuoKey (IKE). Hier werden die Policies bereits nach Tunnel-Mode und Interface-Mode getrennt gruppiert.
Log&Report-->Log&Archiv Access-->Traffic Log. Hier ggf. noch zusätzlich benötigte Spalten einblenden.
Deine Zeichnung ist mir noch nicht ganz klar bzw. es fehlen noch Angaben.
Gruß
sk
VPN-->IPSec-->AuoKey (IKE). Hier werden die Policies bereits nach Tunnel-Mode und Interface-Mode getrennt gruppiert.
Log&Report-->Log&Archiv Access-->Traffic Log. Hier ggf. noch zusätzlich benötigte Spalten einblenden.
Deine Zeichnung ist mir noch nicht ganz klar bzw. es fehlen noch Angaben.
- Die eingezeichneten Firewalls sind jeweils Fortigates?
- Sind diese Firewalls jeweils das Standardgateway im jeweiligen LAN?
- Die graue Büchse am Hauptstandort symbolisiert einen Switch im LAN?
- Wie wird das MLPS übergeben? Ist das eine reine Layer2-Verbindung? Ist das auf beiden Seiten ein Router dran und hängt dieser jeweils im LAN (also im Rücken der Firewall) oder hängt die Strecke an separaten Interfaces der Firewalls? Wer hat ggf. administrativen Zugriff auf die zusätzlichen Router?
Gruß
sk
Zitat von @aqui:
Wenn du mit dem VPN Client per VPN verbunden bist, dann solltest du erstmal mit einem route print am Client nachsehen on die
10er Netze bzw. alle Zielnetze die du via VPN und dann MPLS erreichen willst auch auf den VPN Tunnel gemappt sind.
Wenn du mit dem VPN Client per VPN verbunden bist, dann solltest du erstmal mit einem route print am Client nachsehen on die
10er Netze bzw. alle Zielnetze die du via VPN und dann MPLS erreichen willst auch auf den VPN Tunnel gemappt sind.
Wo siehst Du hier VPN-Clients? Das ist ein Site-to-Site-Szenario!
Gruß
sk
@powerlinemk
Wenns das denn nun war oder du das Interesse an einer Lösung verloren hast bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Wenns das denn nun war oder du das Interesse an einer Lösung verloren hast bitte dann auch
How can I mark a post as solved?
nicht vergessen !