Fortigate 30B Konfiguration Firewall Policy und Portforwarding
Hallo Leute
Ich bin seit ein paar Wochen stolzer Besitzer einer Fortigate 30B Firewall sowie einem QNAP NAS. Nach unzähligen Stunden von Anleitungen durchlesen, Internet durchforsten usw. hoffe ich dass ich hier etwas Hilfe bekomme. Es geht darum dass ich mir einfach nicht sicher bin ob meine Konfig so wie sie ist in Ordnung ist. Ich kann zwar surfen aber mit den Mails klappts nicht so wirklich und FTP geht überhaupt nicht. Ich habe es mal geschafft dass ich von aussen über Firefox auf den FTP kam. Mit einem Client habe ich in jeglicher Hinsicht (Port 21/990 sowie FTP/SFTP/FTPS) keine Chance.
Ich habe hier mal meine ganze (fast ja) Konfiguration des Fortigates aufgestellt:
NAS
DHCP, FIX IP
Fortigate
System
Interface Internal:
- Adressing mode: Manual / 192.168.1.1/255.255.255.0
- Override Default MTU Value 1500
- Enable DNS Query Recursive
- Administrative Access *
Interface WAN:
- DHCP
- Retrieve default gateway from server.
- Override internal DNS.
- Enable DDNS
- Administrative Access *
DNS Settings
- Primary und Secondary eingetragen
DHCP Server
- Interface internal / Server enabled / Adressing mode Regular
- IP’s / Netmask
- Default GatewaY 192.168.1.1
- Use System DNS Settings
-
Router
Static Route
- Destination IP/Mask: 0.0.0.0/0.0.0.0
- Device: WAN
- Gateway: 0.0.0.0
- Distance 10
- Priority: 0
Firewall
Policy, Policy,
- Seq. 1: From: WAN / To: Internal / Source: Web (0.0.0.0) / Destination: TS459PRO – VIP / Schedule: Always / Service: HTTPS, Passive FTP, FTP 20-21 / Action: Accept / Status: ON
- Seq. 2: From: WAN / To: Internal / Source: Web (0.0.0.0) / Destination: FORTIGATE – VIP / Schedule: Always / Service: Fortigate Push, NTP / Action: Accept / Status: ON
- Seq. 3: From: WAN / To: Internal / Source: Web (0.0.0.0) / Destination: Internal / Schedule: Always / Service: E-Mail, Admin, _FTP / Action: Accept / Status: ON
- Seq. 4: From: Internal / To: WAN / Source: Internal / Destination: Web (0.0.0.0) / Schedule: Always / Service: Internet, Admin, E-Mail, _FTP / Action: Accept / Status: ON
- Seq. 5: From: ANY / To: ANY / Source: ALL / Destination: ALL / Schedule: Always / Service: ANY / Action: DENY / Status: IMPLIZIT
Address, Address
- Web: 0.0.0.0 / 0.0.0.0 / Interface WAN
- Internal: 192.168.1.0 / 255.255.255.0 / Interface: Internal
- All 0.0.0.0 / 0.0.0.0 / Interface: ANY
Service, Groups
- Admin: Fortigate Push (9443 UDP), NTP (123 UDP), PING (8 ICMP)
- E-Mail: IMAP SSL (993 TCP) / POP3 SSL (995 TCP) / SMTP SSL (465 TCP)
- Internet: DNS (53 TCP/UDP), HTTPS (443 TCP) , HTTP 8080 (8080 TCP), HTTP (80 TCP)
- _FTP: FTP SSL (989-990 UDP), Passive FTP (55536-56559 TCP), FTP 20-21(20-21 TCP)
Virtual IP
- Name: Fortigate, IP WAN/0.0.0.0, Service Port: 9443/UDP, Map to IP/IP Range: 192.168.1.1, Map to Port 9443/UDP
- Name: Fortigate, IP WAN/0.0.0.0, Service Port: 123/UDP, Map to IP/IP Range: 192.168.1.1, Map to Port 123/UDP
in Gruppe: FORTIGATE – VIP
- Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 443/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 443/TCP
- Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 55536/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 55536-56559/TCP
- Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 20/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 20-21/TCP
In Gruppe TS459PRO – VIP
Könnte es sein dass ich noch eine Statische oder eine Policy Route brauche? (Keinen Plan mit den Routen. Ich begreifs einfach nicht.) Oder stimmt etwas mit den Adressen nicht? (eigentlich schon) Habe ich einen Port zu wenig? (hmmm habe überall gesucht und möchte ja möglichst wenig aufmachen)
Vielen Dank und Beste Grüsse
Psyfrog
Ich bin seit ein paar Wochen stolzer Besitzer einer Fortigate 30B Firewall sowie einem QNAP NAS. Nach unzähligen Stunden von Anleitungen durchlesen, Internet durchforsten usw. hoffe ich dass ich hier etwas Hilfe bekomme. Es geht darum dass ich mir einfach nicht sicher bin ob meine Konfig so wie sie ist in Ordnung ist. Ich kann zwar surfen aber mit den Mails klappts nicht so wirklich und FTP geht überhaupt nicht. Ich habe es mal geschafft dass ich von aussen über Firefox auf den FTP kam. Mit einem Client habe ich in jeglicher Hinsicht (Port 21/990 sowie FTP/SFTP/FTPS) keine Chance.
Ich habe hier mal meine ganze (fast ja) Konfiguration des Fortigates aufgestellt:
NAS
DHCP, FIX IP
Fortigate
System
Interface Internal:
- Adressing mode: Manual / 192.168.1.1/255.255.255.0
- Override Default MTU Value 1500
- Enable DNS Query Recursive
- Administrative Access *
Interface WAN:
- DHCP
- Retrieve default gateway from server.
- Override internal DNS.
- Enable DDNS
- Administrative Access *
DNS Settings
- Primary und Secondary eingetragen
DHCP Server
- Interface internal / Server enabled / Adressing mode Regular
- IP’s / Netmask
- Default GatewaY 192.168.1.1
- Use System DNS Settings
-
Router
Static Route
- Destination IP/Mask: 0.0.0.0/0.0.0.0
- Device: WAN
- Gateway: 0.0.0.0
- Distance 10
- Priority: 0
Firewall
Policy, Policy,
- Seq. 1: From: WAN / To: Internal / Source: Web (0.0.0.0) / Destination: TS459PRO – VIP / Schedule: Always / Service: HTTPS, Passive FTP, FTP 20-21 / Action: Accept / Status: ON
- Seq. 2: From: WAN / To: Internal / Source: Web (0.0.0.0) / Destination: FORTIGATE – VIP / Schedule: Always / Service: Fortigate Push, NTP / Action: Accept / Status: ON
- Seq. 3: From: WAN / To: Internal / Source: Web (0.0.0.0) / Destination: Internal / Schedule: Always / Service: E-Mail, Admin, _FTP / Action: Accept / Status: ON
- Seq. 4: From: Internal / To: WAN / Source: Internal / Destination: Web (0.0.0.0) / Schedule: Always / Service: Internet, Admin, E-Mail, _FTP / Action: Accept / Status: ON
- Seq. 5: From: ANY / To: ANY / Source: ALL / Destination: ALL / Schedule: Always / Service: ANY / Action: DENY / Status: IMPLIZIT
Address, Address
- Web: 0.0.0.0 / 0.0.0.0 / Interface WAN
- Internal: 192.168.1.0 / 255.255.255.0 / Interface: Internal
- All 0.0.0.0 / 0.0.0.0 / Interface: ANY
Service, Groups
- Admin: Fortigate Push (9443 UDP), NTP (123 UDP), PING (8 ICMP)
- E-Mail: IMAP SSL (993 TCP) / POP3 SSL (995 TCP) / SMTP SSL (465 TCP)
- Internet: DNS (53 TCP/UDP), HTTPS (443 TCP) , HTTP 8080 (8080 TCP), HTTP (80 TCP)
- _FTP: FTP SSL (989-990 UDP), Passive FTP (55536-56559 TCP), FTP 20-21(20-21 TCP)
Virtual IP
- Name: Fortigate, IP WAN/0.0.0.0, Service Port: 9443/UDP, Map to IP/IP Range: 192.168.1.1, Map to Port 9443/UDP
- Name: Fortigate, IP WAN/0.0.0.0, Service Port: 123/UDP, Map to IP/IP Range: 192.168.1.1, Map to Port 123/UDP
in Gruppe: FORTIGATE – VIP
- Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 443/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 443/TCP
- Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 55536/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 55536-56559/TCP
- Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 20/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 20-21/TCP
In Gruppe TS459PRO – VIP
Könnte es sein dass ich noch eine Statische oder eine Policy Route brauche? (Keinen Plan mit den Routen. Ich begreifs einfach nicht.) Oder stimmt etwas mit den Adressen nicht? (eigentlich schon) Habe ich einen Port zu wenig? (hmmm habe überall gesucht und möchte ja möglichst wenig aufmachen)
Vielen Dank und Beste Grüsse
Psyfrog
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 147076
Url: https://administrator.de/forum/fortigate-30b-konfiguration-firewall-policy-und-portforwarding-147076.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
5 Kommentare
Neuester Kommentar
Für FTP musst du einen FTP Client im passive Mode verwenden sonst kannst du die NAT Firewall der Fortigate nicht überwinden.
Warum das so ist kannst du hier nachlesen:
http://slacksite.com/other/ftp.html
Die Port Forwading Rule ist auch falsch:
Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 20/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 20-21/TCP
FTP darf niemals auf eine Range gemappt werden !! Zeigt eher das dir die Mechanismen von FTP nicht vertraut sind
TCP 20 muss auf die lokale IP 192.168.1.5 Port TCP 20 und
TCP 21 muss auf die lokale IP 192.168.1.5 Port TCP 21
Routen benötigst du in so einem Banalszenario keine einzige ! Es sei denn du hast noch weitere Subnetze lokal was aber laut deiner o.a. Beschreibung nicht der Fall ist.
Warum das so ist kannst du hier nachlesen:
http://slacksite.com/other/ftp.html
Die Port Forwading Rule ist auch falsch:
Name: TS459PRO, IP WAN/0.0.0.0, Service Port: 20/TCP, Map to IP/IP Range: 192.168.1.5, Map to Port 20-21/TCP
FTP darf niemals auf eine Range gemappt werden !! Zeigt eher das dir die Mechanismen von FTP nicht vertraut sind
TCP 20 muss auf die lokale IP 192.168.1.5 Port TCP 20 und
TCP 21 muss auf die lokale IP 192.168.1.5 Port TCP 21
Routen benötigst du in so einem Banalszenario keine einzige ! Es sei denn du hast noch weitere Subnetze lokal was aber laut deiner o.a. Beschreibung nicht der Fall ist.
Hallo psyfrog,
bitte stelle die VIP für ftp um auf Port 21/tcp. Wie das log zeigt, wird der Verbindungsaufbau über Port 21 versucht, nicht Port 20. Auf seiten der Fortigate wird der "assoziierte" Port 20 automatisch mitgeführt (über einen session-helper). Es wird also auch nur eine einzige VIP für ftp benötigt.
OK, die passive ftp-Geschichte überblicke ich nicht. Mit der ftp-VIP bekommst Du jedenfalls ftp-Zugang zum NAS, mehr willst Du ja schließlich nicht. Also erstmal diese 2. VIP löschen.
Die 3. VIP für das NAS-Management klappt so nicht, weil auch die Fortigate über port 443 administriert wird. Diesen Port kannst Du verstellen unter System/Admin/Settings, z.B. auf 20443. Dann sollte das auch gehen.
Bitte alle VIPs für die Fortigate löschen. Ich kann zwar nachvollziehen, was gemeint war, aber das ist alles überflüssig. Der traffic für die push updates kommt direkt auf wan1 an, und wird dort auch von der Fortigate intern abgeholt ("listening"). Der NTP-Verkehr wird ja von der Fortigate angefangen, von (any) nach wan1, also braucht man da auch keine VIP.
Diese krausen VIPs kenne ich noch aus den Urzeiten der ISDN-Router a la Vigor.
Wäre schön, wenn Du kurz rückmelden würdest, ob es klappt.
bitte stelle die VIP für ftp um auf Port 21/tcp. Wie das log zeigt, wird der Verbindungsaufbau über Port 21 versucht, nicht Port 20. Auf seiten der Fortigate wird der "assoziierte" Port 20 automatisch mitgeführt (über einen session-helper). Es wird also auch nur eine einzige VIP für ftp benötigt.
OK, die passive ftp-Geschichte überblicke ich nicht. Mit der ftp-VIP bekommst Du jedenfalls ftp-Zugang zum NAS, mehr willst Du ja schließlich nicht. Also erstmal diese 2. VIP löschen.
Die 3. VIP für das NAS-Management klappt so nicht, weil auch die Fortigate über port 443 administriert wird. Diesen Port kannst Du verstellen unter System/Admin/Settings, z.B. auf 20443. Dann sollte das auch gehen.
Bitte alle VIPs für die Fortigate löschen. Ich kann zwar nachvollziehen, was gemeint war, aber das ist alles überflüssig. Der traffic für die push updates kommt direkt auf wan1 an, und wird dort auch von der Fortigate intern abgeholt ("listening"). Der NTP-Verkehr wird ja von der Fortigate angefangen, von (any) nach wan1, also braucht man da auch keine VIP.
Diese krausen VIPs kenne ich noch aus den Urzeiten der ISDN-Router a la Vigor.
Wäre schön, wenn Du kurz rückmelden würdest, ob es klappt.
Hi,
sorry, ich habe den Eindruck, da geht gerade einiges durcheinander.
1. die custom services sind im Moment doch gar nicht in der Kritik. Aber gut: ja, man stellt dort die destination ports ein. Als source ports ist 1-64k voreingestellt, das kann man so lassen.
2. Ich habe ja oben bereits ganz konkrete Massnahmen angegeben, um Dir zu ermöglichen, Verbindung von aussen auf das NAS aufzunehmen. Was davon hast Du schon umgesetzt? Mit welchen Ergebnissen?
Für mich persönlich ist das schon frustrierend, wenn ich an einem (fremden) Problem arbeite, und es wird nicht auf Lösungsvorschläge eingegangen, bzw. diese werden nicht mal gelesen.
Deine Bemerkungen zu ntp und https auf die FG habe ich ja schon beantwortet. Jetzt mach mal...
sorry, ich habe den Eindruck, da geht gerade einiges durcheinander.
1. die custom services sind im Moment doch gar nicht in der Kritik. Aber gut: ja, man stellt dort die destination ports ein. Als source ports ist 1-64k voreingestellt, das kann man so lassen.
2. Ich habe ja oben bereits ganz konkrete Massnahmen angegeben, um Dir zu ermöglichen, Verbindung von aussen auf das NAS aufzunehmen. Was davon hast Du schon umgesetzt? Mit welchen Ergebnissen?
Für mich persönlich ist das schon frustrierend, wenn ich an einem (fremden) Problem arbeite, und es wird nicht auf Lösungsvorschläge eingegangen, bzw. diese werden nicht mal gelesen.
Deine Bemerkungen zu ntp und https auf die FG habe ich ja schon beantwortet. Jetzt mach mal...