Einrichtung VPN Für VAG Gruppe Fortigate 60f
Hallo,
Ich habe folgendes Problem.
Wir sind eine freie Werkstatt und möchten uns mit den Händlernetzwerk der VW Gruppe verbinden.
Alle Anträge für Benutzerdaten habe ich durchgeführt.
Eine Firewall Box Fortigate 60f bestellt bei der Firma Claranet.
Diese kam vorkunfiguriert zu mir ich habe die entsprechenden Ports in der Fritzbox freigeschalten und nund wollte ich auf das Netzwerk zugreifen aber komm nicht da hin.
folgende Einstellungen sind konfiguriert:
Bemerkung zum Setup: LAN-IP Router: 192.168.0.254/24
Bemerkung zum Setup: Feste öffentliche IP-Adresse: 87.128.39.15
Bemerkung zum Setup: WAN1-IP: 192.168.0.150
Firewall Support und Lizenzen: FortiGate 60-F UTP Bundle
Firewall Trust Gateway: 192.168.2.3
Firewall Trust Netzadresse: 192.168.2.0/24
Wie und wo muss ich Das Trust Gateway und Die Trust Netzadresse eintragen?
Ich hoffe mir kann hier jmd helfen.
Viele Grüße Robert
Ich habe folgendes Problem.
Wir sind eine freie Werkstatt und möchten uns mit den Händlernetzwerk der VW Gruppe verbinden.
Alle Anträge für Benutzerdaten habe ich durchgeführt.
Eine Firewall Box Fortigate 60f bestellt bei der Firma Claranet.
Diese kam vorkunfiguriert zu mir ich habe die entsprechenden Ports in der Fritzbox freigeschalten und nund wollte ich auf das Netzwerk zugreifen aber komm nicht da hin.
folgende Einstellungen sind konfiguriert:
Bemerkung zum Setup: LAN-IP Router: 192.168.0.254/24
Bemerkung zum Setup: Feste öffentliche IP-Adresse: 87.128.39.15
Bemerkung zum Setup: WAN1-IP: 192.168.0.150
Firewall Support und Lizenzen: FortiGate 60-F UTP Bundle
Firewall Trust Gateway: 192.168.2.3
Firewall Trust Netzadresse: 192.168.2.0/24
Wie und wo muss ich Das Trust Gateway und Die Trust Netzadresse eintragen?
Ich hoffe mir kann hier jmd helfen.
Viele Grüße Robert
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3336921990
Url: https://administrator.de/forum/einrichtung-vpn-fuer-vag-gruppe-fortigate-60f-3336921990.html
Ausgedruckt am: 07.05.2025 um 02:05 Uhr
10 Kommentare
Neuester Kommentar
WELCHES der zahllosen VPN Protokolle nutzt du denn?
Und WELCHE der zum verwendeten VPN Protokoll passenden Ports hast du denn auf der FritzBox freigeschaltet??
Alles das sind relevante und wichtige Informationen die leider fehlen.
Sofern die an der FB kaskadierte Firewall IPsec als VPN nutzt (geraten) und im Initiator Mode arbeitet musst du gar keine VPN Ports forwarden, das wäre eher kontraproduktiv.
Bei anderen VPN Protokollen ist das natürlich anders aber da können wir ja leider erstmal nur raten...
Weitere Infos zu solchen Kaskaden und was dabei zu beachten ist findest du HIER.
Und WELCHE der zum verwendeten VPN Protokoll passenden Ports hast du denn auf der FritzBox freigeschaltet??
Alles das sind relevante und wichtige Informationen die leider fehlen.
Sofern die an der FB kaskadierte Firewall IPsec als VPN nutzt (geraten) und im Initiator Mode arbeitet musst du gar keine VPN Ports forwarden, das wäre eher kontraproduktiv.
Bei anderen VPN Protokollen ist das natürlich anders aber da können wir ja leider erstmal nur raten...
Weitere Infos zu solchen Kaskaden und was dabei zu beachten ist findest du HIER.
Also ja Ich habe eine Fritzbox als Router. und dahinter wurde die vorkunfigurierte Fortigate f60 ins Netzwerk gelegt.
"Alle in dieses virtuelle Netzwerk einbezogenen Škoda Standorte werden mit öffentlichen IP-Adressen ausgestattet. Die nicht-öffentlichen IP-Adressen werden in verschlüsselter Form nur in den Standort-LANs per IPsec innerhalb des Unternehmens-VPNs geroutet."
das habe ich mal auf der Betreiber Seite kopiert hoffe das hilft.
folgende Ports sollte ich freischalten:
Freigabe1
TCP
22443
Freigabe2
TCP
541
Freigabe3
UDP
541
"Alle in dieses virtuelle Netzwerk einbezogenen Škoda Standorte werden mit öffentlichen IP-Adressen ausgestattet. Die nicht-öffentlichen IP-Adressen werden in verschlüsselter Form nur in den Standort-LANs per IPsec innerhalb des Unternehmens-VPNs geroutet."
das habe ich mal auf der Betreiber Seite kopiert hoffe das hilft.
folgende Ports sollte ich freischalten:
Freigabe1
TCP
22443
Freigabe2
TCP
541
Freigabe3
UDP
541
Also ja Ich habe eine Fritzbox als Router. und dahinter wurde die vorkunfigurierte Fortigate f60 ins Netzwerk gelegt.
Das haben wir ja alle schon verstanden...ist eine simple Kaskade wie oben ja beschrieben.Deine 3 Freigaben bzw. Ports passen zu keinem der bekannten VPN Protokolle weltweit. Auch 3 Ports sind mehr als ungewöhnlich wenn es kein IPsec VPN ist. IPsec kann es aber nicht sein denn das wiederum nutzt völlig andere Ports die zu deinen nicht passen.
TCP als Encapsulation ist bei VPNs zudem eher selten und sehr ungewöhnlich so das zumindestens TCP sicher falsch ist. Fortinet supportet meist weltweite Standards auf die keine dieser Ports passen.
Bist du dir wirklich sicher das diese Ports für das VPN stimmen?? Die Fehlfunktion ist eher ein Indiz das dem nicht so ist.
541 ist ein offizeller IANA Port der mit VPNs nichts zu tun hat:
https://www.iana.org/assignments/service-names-port-numbers/service-name ...
Nochmals... Wenn die VPN Firewall für einen Kaskaden Betrieb mit einem billigen NAT Router ausgelegt ist und entsprechend vorkonfiguriert ist müsstest du NICHTS im Port Forwarding einstellen!
Der zweite Punkt ist die IP Adressierung. Sofern diese fest ist und du deine FritzBox in ihrem Allerwelts Default Netz 192.168.178.0 /24 betreibst kommen die Komponenten von oben ja niemals zueinander. Siehst du ja auch selber das die IP Netze allesamt dann nicht stimmen und eine IP Kommunikation dann unmöglich wäre.
Aus den verwirrenden Angaben wird man nicht so richtig schlau ob die Firewall eine entsprechende IP Konfig auf der FB erzwingt oder nicht. Es ist nicht klar ersichtlich wer welche IP Netze bedient.
Eine kurze Skizze, wie Kollege @em-pie schon sagt, wäre hilfreich.
Moin,
Ich würde ja mal „vorne“ anfangen:
Zeichne mal auf, was wie verbunden ist und in welchem Netz die (relevanten) Cleints hängen.
Wenn die nämlich weiterhin im Netz der Fritte hängen und du keinerlei statische Routen in der Fritte und der Fortigate definiert hast, ist das zwar schön mit der Fortigate, aber außer Strom verheizen, in dem sie (erfolgreich) einen VPN-Tunnel aufbaut, macht die sonst nichts.
Gruß
em-pie
Ich würde ja mal „vorne“ anfangen:
Zeichne mal auf, was wie verbunden ist und in welchem Netz die (relevanten) Cleints hängen.
Wenn die nämlich weiterhin im Netz der Fritte hängen und du keinerlei statische Routen in der Fritte und der Fortigate definiert hast, ist das zwar schön mit der Fortigate, aber außer Strom verheizen, in dem sie (erfolgreich) einen VPN-Tunnel aufbaut, macht die sonst nichts.
Gruß
em-pie
1
Hoffe die Bilder verraten euch mehr.
Hab gedacht ich schaff das iwie selber einzurichten ist anscheinend doch nicht so einfach.
oder kann es sein dass der PC der in das andere Netz soll direkt an die fortigate muss?
Hab gedacht ich schaff das iwie selber einzurichten ist anscheinend doch nicht so einfach.
oder kann es sein dass der PC der in das andere Netz soll direkt an die fortigate muss?
oder kann es sein dass der PC der in das andere Netz soll direkt an die fortigate muss?
Ja natürlich!Denk doch bitte einmal selber etwas logisch nach. Die Fortigate ist mit ihrem geschützten Internet WAN Port ja in deinem lokalen FB LAN. An dem Fortigate Port ist also ALLES an Filter und Blocking aktiv damit kein Traffic auf das lokale Fortinet LAN kommt.
Quasi genau also wie die FritzBox dein lokales LAN vor dem pöhsen Internet schützt!
Logischerweise kann also nur ein Rechner der am lokalen LAN der Fortigate steckt auch die VPN Resourcen nutzen.
Niemals aber kann ein Rechner auf dem FritzBox Netz dahin, denn dann wäre ja die Firewall völlig sinnfrei in dem Umfeld und der VPN Zugang völlig ungeschützt. Kein seriöses Unternehmen macht so einen Unsinn sonst wäre man abends in den Tagesthemen.
Das blaue "Rohr" mit "Kundennetz" in der Skizze sagt doch auch einem Laien schon alles, denn das ist ja an die FW gezeichnet und nicht an einer x-beliebigen FritzBox. Bilder ansehen und verstehen hilft also wirklich.
Mal ehrlich...das sagt aber einem doch auch schon der gesunde Menschenverstand. Der IT Verstand sowieso! 😉
Ja Sry da haben sie mir das einfach falsch erklärt oder ich hab es falsch verstanden aber auf dem Bild sieht es so aus ja.
ich bekomme dann trotzdem keine Verbindung nicht mal mehr ins normale Internet.
ich bekomme dann trotzdem keine Verbindung nicht mal mehr ins normale Internet.
Zitat von @Egge1990:
Ja Sry da haben sie mir das einfach falsch erklärt oder ich hab es falsch verstanden aber auf dem Bild sieht es so aus ja.
Ja Sry da haben sie mir das einfach falsch erklärt oder ich hab es falsch verstanden aber auf dem Bild sieht es so aus ja.
ich bekomme dann trotzdem keine Verbindung nicht mal mehr ins normale Internet.
Dann mach ein tracert -d administrator.de und schaue, wie weit der PC kommt. Kann auch sein, dass der Traffic ins WWW von der Fortigate geblockt wird und nur die VAG-Seiten (wenn der Tunnel besteht) erlaubt ist.Zugegeben, bin keiner, der jemand sich jemals mit einem Autohersteller verbinden musste, aber Fehleranalyse sollte dennoch möglich sein.
Hast du Zugriff auf die Fortigate und kannst in „irgendwelche“ Logs schauen?
Hallo zusammen,
ich würde mal sagen Du packst den PC der in das Händlernetz soll an die Fortigate f60 denn die macht doch das
VPN oder nicht? Davon "weiß ja die AVM FB gar nichts".
Dobby
ich würde mal sagen Du packst den PC der in das Händlernetz soll an die Fortigate f60 denn die macht doch das
VPN oder nicht? Davon "weiß ja die AVM FB gar nichts".
Dobby
Vielen Dank euch beiden ich habe das Problem gelöst ich musste die IP einstellungen an den Computer hinter der Firewall anpassen dann ging es aufeinmal.
Vielen Dank für eure Bemühungen
Vielen Dank für eure Bemühungen
