bloodstix
Goto Top

Benötige Hilfe bei Inbetriebnahme einer Fortigate 80E

Moin moin zusammen,

einer unserer Partner-Unternehmer ist leider dahin geschieden und wir haben seinen Hauptkunden übernommen.
Aus dem Nachlass ging ein Fortigate 80E Router an uns über. Dieser Router hat S2S-IPSec-Tunnel zu dem Kunden aufgebaut.
Nun habe ich die gloreiche Aufgabe das Ding in unserem Netz zu integrieren, damit die Tunnel künftig von uns aus dorthin
aufgebaut werden.

Nun bin ich ehrlich gesagt eher ein Bintec-Typ und bei der Fortigate-Oberfläche plöppen viele Fragezeichen in meinem Kopf auf.
Ich habe das default-gw der Fortigate entsprechend angepasst, das geht bei uns über eine dedizierte Leitung mit statischer IP.

Zu meinen Problemen:
! GELÖST ! : 1. Beim Bintec gibt es einen Menüpunkt "Diagnose" mit "Ping Test", "DNS Test", ... da kann man schauen ob man generell mal bestimmte
Dinge erreicht.
Wie macht man das bei der Fortigate? Würde gerne einfach mal zum testen ein Ping auf google.com o.ä. absetzen und schauen,
ob das Ding überhaupt den Weg ins Netz findet.
> Hab dazu doch noch was im Handbuch gefunden -> exec ping <ip>.

2. Ich habe den IPsec-Tunnel beim Kunden auf unsere statische IP geändert. Unter Dashboard->Network->IPsec kann ich auf den Tunnel
einen Rechtsklick machen und habe dann die Option "Bring up"->"Phase 2 selector: tunnelname" und "All Phase 2 selectors" auswählen.
Leider passiert da gar nüscht und ich finde auch keinerlei Protokoll/Fehlermeldungen, wie kann ich da prüfen, was ihm nicht passt?

Was mich etwas stutzig macht, wo ich nicht schlau draus werde ist, an WAN1 liegt das default-gw (Vodafon Fritzbox) an. Die Tunnel haben aber
als "outgoing interface" das WAN2 welches 0.0.0.0/0.0.0.0 konfiguriert ist.

Vielleicht könnt ihr mir helfen meine Verwirrung zu beseitigen.

Schönen Freitag noch...
bloody

Content-Key: 609502

Url: https://administrator.de/contentid/609502

Printed on: May 18, 2024 at 07:05 o'clock

Member: aqui
Solution aqui Oct 02, 2020 updated at 11:02:58 (UTC)
Goto Top
als "outgoing interface" das WAN2 welches 0.0.0.0/0.0.0.0 konfiguriert ist.
Und WAN2 ist leer bzw. nicht beschaltet und es gibt lediglich WAN1 ins Internet und sonst nix ??
Dann hast du da ja schon deinen Fehler ! face-wink
Die Seite mit der Vodafone Box muss dann auch IPsec Initiator sein und den Tunnel aufbauen. Sollte sie aber Responder (oder beides) sein musst du logischerweise dann die IPsec Protokolle dort im davor liegenden Vodafone Router auf die dahinter kaskadierte Firewall freigeben.
Diese Port Forwarding Mechanismen bei solchen Kaskaden erklärt dir, wie immer, dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Member: bloodstix
bloodstix Oct 02, 2020 at 11:02:40 (UTC)
Goto Top
@aqui danke für deine Anregung, bis eben hab ich nicht verstanden wieso das so konfiguriert ist.
Hab da gerade mal reingeschaut in die Konfig von WAN2. Der will da ne Versatel-PPPoE starten...
Ok ich komme dem Ding wohl langsam näher...
Member: aqui
Solution aqui Oct 02, 2020 updated at 11:04:49 (UTC)
Goto Top
Versatel und Vodafone kann ja nicht passen..! face-wink
Member: bloodstix
bloodstix Oct 02, 2020 at 11:23:46 (UTC)
Goto Top
Dat iss wohl so.., scheints der Kollege hatte 2 Leitungen und eine dediziert für VPN.
Hab das nun auf WAN1 umgelegt, und nu steht der Tunnel. Und ping ins remote-Netz funkt.
Supi jetzt kann ich das Wochenende wohl ausnahmsweise genießen face-smile

Grüße
bloody
Member: aqui
aqui Oct 02, 2020 at 13:25:40 (UTC)
Goto Top
und nu steht der Tunnel.
Gewusst wie ! 👍