8
Fortgate und mehrere Wans aus selben Subnetz
Hallo Gemeinde,
ich benötige bitte einen kleinen Denkanstoß zur Lösung meines Problems.
Die suche habe ich benutzt aber leider nichts passendes gefunden.
Falls jemand bereits hier über das Problem diskutiert hat lang natürlich als Antwort nur ein Link.
Folgende ist Situation:
4 Öffentliche WAN Adressen aus selben Subnetz von einem Provider sollen über meine Fortigate 50 auf mehrere Server in unterschiedliche Netze (VLANS) und diverse Ports verteilt werden.
Die VLANs / habe ich soweit eingerichtet. War noch das kleine übel…..
Es scheitert an den Öffentlichen Adressen. Bevor wir hier weiter machen, geht mein vorhaben überhaupt?
Hat jemand erfolgreich mehrere Öffentliche Adressen aus SELBEN Subnezt mit eine Fortigate im Einsatz?
Folgendes habe ich bereits durchgeführt, nun kann ich diese auch ohne Meldung anlegen, jedoch weiter hin ohne Erfolg.
system global
-> set allow-interface-subnet-overlap enable
und
system global
-> set ip-overlap enable
Das Netz schaut so aus 213.x.x.x/255.255.255.248
Über eine kleine Hilfe wäre ich sehr dankbar….
Besten Dank
fylworld
ich benötige bitte einen kleinen Denkanstoß zur Lösung meines Problems.
Die suche habe ich benutzt aber leider nichts passendes gefunden.
Falls jemand bereits hier über das Problem diskutiert hat lang natürlich als Antwort nur ein Link.
Folgende ist Situation:
4 Öffentliche WAN Adressen aus selben Subnetz von einem Provider sollen über meine Fortigate 50 auf mehrere Server in unterschiedliche Netze (VLANS) und diverse Ports verteilt werden.
Die VLANs / habe ich soweit eingerichtet. War noch das kleine übel…..
Es scheitert an den Öffentlichen Adressen. Bevor wir hier weiter machen, geht mein vorhaben überhaupt?
Hat jemand erfolgreich mehrere Öffentliche Adressen aus SELBEN Subnezt mit eine Fortigate im Einsatz?
Folgendes habe ich bereits durchgeführt, nun kann ich diese auch ohne Meldung anlegen, jedoch weiter hin ohne Erfolg.
system global
-> set allow-interface-subnet-overlap enable
und
system global
-> set ip-overlap enable
Das Netz schaut so aus 213.x.x.x/255.255.255.248
Über eine kleine Hilfe wäre ich sehr dankbar….
Besten Dank
fylworld
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162266
Url: https://administrator.de/contentid/162266
Ausgedruckt am: 15.11.2024 um 01:11 Uhr
8 Kommentare
Neuester Kommentar
Ich habe ehrlich gesagt keine Ahnung, was du willst.
Willst du Servern die sich in verschiedenen VLANs befinden jeweils eine öffentliche IP geben?
Dann macht man das normalerweise so, dass man auf dem Server ein Interface mit der IP und der Maske 255.255.255.255 einrichtet und im Router dann eben diese IP und Maske und als Gateway die reguläre LAN-IP des Servers.
Das klappt allerdings nicht mit Windows, weil /32 für Microsoft ja eine unvorstellbare Sache ist.
Darum kann man auch alternativ einfach ein 1:1 NAT auf dem Router einrichten, dass jeweils die LAN-IPs auf die öffentlichen IPs mappt.
Willst du Servern die sich in verschiedenen VLANs befinden jeweils eine öffentliche IP geben?
Dann macht man das normalerweise so, dass man auf dem Server ein Interface mit der IP und der Maske 255.255.255.255 einrichtet und im Router dann eben diese IP und Maske und als Gateway die reguläre LAN-IP des Servers.
Das klappt allerdings nicht mit Windows, weil /32 für Microsoft ja eine unvorstellbare Sache ist.
Darum kann man auch alternativ einfach ein 1:1 NAT auf dem Router einrichten, dass jeweils die LAN-IPs auf die öffentlichen IPs mappt.
Hi,
danke fürs Antworten..
Ja so ähnlich.
Das mit dem lan und vlan ist soweit kein Problem, meine kernfrage bezieht sich ehr
auf die Fortigate und das "external" Interface.
Kann ich dort mehre Öffentliche Adressen aus selben Netz dem Interface zuweisen?
Ich habe so ein Szenario bereits schon mal mit Windows Server & ISA Server 2006 gelöst.
Dort habe ich 4 Öffentliche Adressen aus selben Subnetz und diverse Ports im mehreren Lan´s verteilen können. So ähnlich wie du es oben beschrieb hast.
Nun habe ich eine etwas andere konstellation und will (muß) es mit einer Fortigate lösen. Wenn es nur an dem Modell liegt, so ist das kein Thema, ich müsste es aber nur wissen.
Wie gesagt aber, die Fortigate ist hier mein Problem...
Besten Dank
danke fürs Antworten..
Ja so ähnlich.
Das mit dem lan und vlan ist soweit kein Problem, meine kernfrage bezieht sich ehr
auf die Fortigate und das "external" Interface.
Kann ich dort mehre Öffentliche Adressen aus selben Netz dem Interface zuweisen?
Ich habe so ein Szenario bereits schon mal mit Windows Server & ISA Server 2006 gelöst.
Dort habe ich 4 Öffentliche Adressen aus selben Subnetz und diverse Ports im mehreren Lan´s verteilen können. So ähnlich wie du es oben beschrieb hast.
Nun habe ich eine etwas andere konstellation und will (muß) es mit einer Fortigate lösen. Wenn es nur an dem Modell liegt, so ist das kein Thema, ich müsste es aber nur wissen.
Wie gesagt aber, die Fortigate ist hier mein Problem...
Besten Dank
Hi,
ist mit der Fortigate kein Problem.
Ist das eine Fortigate 50 oder schon die B Serie? Wenn es eine alte 50er ist würde ich abraten irgendwelche Protection Profiles zu schalten.
ist mit der Fortigate kein Problem.
Ist das eine Fortigate 50 oder schon die B Serie? Wenn es eine alte 50er ist würde ich abraten irgendwelche Protection Profiles zu schalten.
Hallo,
ist eine fortigate 50 und die services sind abgelaufen, lege ich auch keinen Wert diese zu erneuern.
Hättes Du einen Ansatz für mich, wie ich zum Ergebniss komme?
Besten Dank
ist eine fortigate 50 und die services sind abgelaufen, lege ich auch keinen Wert diese zu erneuern.
Hättes Du einen Ansatz für mich, wie ich zum Ergebniss komme?
Besten Dank
Hallo,
das sollte kein Problem sein.
Zuallererst solltest du aber eine aktuelle Firmware installieren:
Fortigate 50 => FortiOS 2.50 build ???
Fortigate 50A => FortiOS 3.00 MR7patch10 (build 754)
Fortigate 50B => FortiOS 4.00 MR1patch9 (build 213)
Die Einrichtung erfolgt dann über Virtuelle IP's, dort kannst du ein 1:1-NAT oder auch nur ein Port-Forwarding definieren. Die verwendeten IP's müssen dabei nicht dem externen Interface zugewiesen werden. In welches VLAN der Traffic dann weitergeleitet wird legst du über die Firewall-Policies fest.
Source-IF: external Interface
Source: all
Destination-IF: dein VLAN auswählen
Destination: hier das Adress-Objekt für deinen Server auswählen
Schedule: Allways
Service: hier den gewünschten Dienst auswählen
Action: Accept
Das Routing funktioniert automatisch, da deine VLAN's auf der Fortigate ja "direct connected" sind.
mfg
Harald
das sollte kein Problem sein.
Zuallererst solltest du aber eine aktuelle Firmware installieren:
Fortigate 50 => FortiOS 2.50 build ???
Fortigate 50A => FortiOS 3.00 MR7patch10 (build 754)
Fortigate 50B => FortiOS 4.00 MR1patch9 (build 213)
Die Einrichtung erfolgt dann über Virtuelle IP's, dort kannst du ein 1:1-NAT oder auch nur ein Port-Forwarding definieren. Die verwendeten IP's müssen dabei nicht dem externen Interface zugewiesen werden. In welches VLAN der Traffic dann weitergeleitet wird legst du über die Firewall-Policies fest.
Source-IF: external Interface
Source: all
Destination-IF: dein VLAN auswählen
Destination: hier das Adress-Objekt für deinen Server auswählen
Schedule: Allways
Service: hier den gewünschten Dienst auswählen
Action: Accept
Das Routing funktioniert automatisch, da deine VLAN's auf der Fortigate ja "direct connected" sind.
mfg
Harald
Hallo Harald....
besten Dank für deine Antwort.
Ich habe deinen Lösungsansatz verfolgt und nach inszeniert.
Und was soll ich sagen? Vielen lieben Dank…. Das hat bestens geklappt…
Genau das wollte ich wissen. Zwar habe ich eine Fortigate 50a aber das ist ja egal.
Ich wollte immer irgendwie per krampf die weiteren Öffentlichen Adressen dem Externen IF zuweisen?! Aber so ist es ja besser!
Also nochmals vielen vielen Dank…
flyworld
besten Dank für deine Antwort.
Ich habe deinen Lösungsansatz verfolgt und nach inszeniert.
Und was soll ich sagen? Vielen lieben Dank…. Das hat bestens geklappt…
Genau das wollte ich wissen. Zwar habe ich eine Fortigate 50a aber das ist ja egal.
Ich wollte immer irgendwie per krampf die weiteren Öffentlichen Adressen dem Externen IF zuweisen?! Aber so ist es ja besser!
Also nochmals vielen vielen Dank…
flyworld
Hallo flyworld,
schön das es geklappt hat
Wenn du eine FG-50A hast, so würde ich dir empfehlen auf die aktuellste Firmware (siehe oben) zu aktualisieren.
mfg
Harald
schön das es geklappt hat
Wenn du eine FG-50A hast, so würde ich dir empfehlen auf die aktuellste Firmware (siehe oben) zu aktualisieren.
mfg
Harald
Hallo Harald,
das habe ich vor 10 min. erledigt...
Vielen Herzlichen Dank nochmal, du hast meinen Tag gerettet...
Beste Grüße
flyworld
das habe ich vor 10 min. erledigt...
Vielen Herzlichen Dank nochmal, du hast meinen Tag gerettet...
Beste Grüße
flyworld
