teletown
Goto Top

Fortigate 50B hinter Fritz Box 7490 - Side to Side VPN

Hallo zusammen,

versuche gerade ein Side-to-Side VPN zwischen zwei Fortigates einzurichten. In der Zentrale steht eine 40C, in der Nebenstelle eine 50C hinter einer FritzBox.

Die 50B ist wie folgt konfiguriert:

IP-Adresse der FritzBox: 192.168.178.1 / Exposed Host auf Fortigate
WAN1-Port der Fortigate: 192.168.178.99
Internal-Interface Fortigate: 192.168.6.99
DHCP auf Fortigate: 192.168.6.110 - 200
Static-Route Fortigate: 0.0.0.0 192.168.178.1

Firewall-Objekte:

Netz intern: 192.168.6.0/24
Netz remote: 192.168.2.0/24

Policy:

internal (Netz intern) -> wan1 (Netz remote) / always / ANY / IPSEC
wan 1 (Netz remote) -> internal (Netz intern) always / ANY

Was aktuell funktioniert:

- der Tunnel wird zwischen den beiden Fortigates aufgebaut
- ich kann von der 50B das interne Interface der 40C anpingen (192.168.2.99)
- ich kann von der 50 B den Server anpingen (192.168.2.150)
- ich komme von außen auf das Webinterface der 50B
- mein Notebook mit der IP 192.168.6.99 hat Internet-Zugriff

Was nicht funktioniert:

- ich kann von einem Client (192.168.6.110) keine 2er-Adresse anpingen
- ich komme vom 6er-Netz nicht auf das 2er-Netz
- ich kann vom Server (2er-Netz) den Client im 6er-Netz nicht anpingen

So wie es aussieht, fehlt noch irgendwas für den Zugriff auf das 6er-Netz. Policys sind eigentlich alle eingerichtet auf beiden Seiten eingerichtet.

Hat jemand von euch noch eine Idee? Habe ich noch einen Denkfehler bzw. liegt das Problem mti dem 178er-Netz/NAT zusammen?

Danke euch.

Content-Key: 314522

Url: https://administrator.de/contentid/314522

Printed on: April 13, 2024 at 12:04 o'clock

Member: DopeEx1991
DopeEx1991 Sep 06, 2016 at 15:48:26 (UTC)
Goto Top
Hi,

mir fehlt bei dir die Policy für die VPN-Interfaces. Ich sehe nur deine WAN-Regeln und die sind wenn die wirklich so definiert sind schon recht risikoreich, da du jeglichen Traffic aus dem Internet in dein LAN zulässt.

Kannst du bitte mal deine Regeln mit, Source Interface, Source Address, Destnation Interface und Destination Address und Service beschreiben. (Von beiden Seiten)

dann noch deine Phase-2 VPN-Konfiguration

und dein Routing

LG
Member: aqui
aqui Sep 06, 2016 at 15:49:52 (UTC)
Goto Top
ich kann von einem Client (192.168.6.110) keine 2er-Adresse anpingen
ICMP in der lokalen Firewall freigeschaltet ?
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
ich komme vom 6er-Netz nicht auf das 2er-Netz
Auch lokale Firewall an den Clients angepasst ? Firewall Logs ?
Member: teletown
teletown Sep 06, 2016 at 18:29:10 (UTC)
Goto Top
Die Policy's sind wie folgt angelegt:

Nebestelle 50B:

internal -> wan1
Source-Interace: internal
Source-Adress: Netz intern
Destination Interface: wan1
Destination-Adress: Netz remote
Schedule: Always
Service: Any
Action: IPSEC
VPN-Tunnel: VPN-Test (Phase1)
Allow Inbound
Allow Outbound
Log Allowed Traffic

wan1 -> internal
Source-Interace: wan1
Source-Adress: Netz remote
Destination Interface: internal
Destination-Adress: Netz intern
Schedule: Always
Service: Any
Action: Accept
Log Allowed Traffic

Zentrale 40c:

internal->P1_VPN_Test
Source-Interace: internal
Source-Adress: Netz intern
Destination Interface: P1_VPN_Test
Destination-Adress: Netz remote
Schedule: Always
Service: All
Action: Accept
Log Allowed Traffic

P1_VPN_Test->internal
Source-Interace: P1_VPN_Test
Source-Adress: Netz remote
Destination Interface: internal
Destination-Adress: Netz intern
Schedule: Always
Service: All
Action: Accept
Log Allowed Traffic

An der zentrale noch die Static-Route gesetzt: 192.168.6.0 / Device: P1_VPN_Test


An der 50B habe ich leider weniger Einstellungsmöglichkeiten wie an der 40C. Die 50B kann nicht mehr auf Version 5.xx hochgelevelt werden.

ICMP ist aktiviert, die Windows-Firewall auf dem Client testweise aus.
Member: teletown
teletown Sep 06, 2016 updated at 18:34:44 (UTC)
Goto Top
Hier die Konfig der beiden 2er-Phasen.

Gelb = 40C Zentrale
weiß = 50B Nebenstelle
phase 2 - nebenstelle
phase 2 - zentrale
Member: affabanana
affabanana Sep 06, 2016 at 19:04:19 (UTC)
Goto Top
Zitat von @teletown:
Nebestelle 50B:

internal -> wan1
hier sollte IPSEC oder auch die Phase 1 ausgewählt werden. Falls das mit der FW 4.xx geht


wan1 -> internal
Source-Interace: wan1
hier das Selbe

Ist dein IPSec PreShared Key per Zufall länger oder = 13 Zeichen?
Da gabs mal einen BUG in Firmware 5.0.3 und Kleiner.

Er baute da die IPSec verbindung auf aber irgendwie konnte der Traffic nicht sauber geregelt werden.

gruass affabanana

PS: Wie wäre es mit einem Upgrade der 50B zu einer Neuen 50E mit Firmware 5.4.... ? Da kann man das GUI endlich ROT einstellen.
Member: teletown
teletown Sep 06, 2016 at 19:48:00 (UTC)
Goto Top
Hi affabanana,

das geht leider bei der FW 4.xx nicht. Ich kann hier den Tunnel nicht als Interface auswählen.

Das Passwort hat die gleiche länge, testweise ist 123456 hinterlegt.

Ein Upgrade auf die 50E ist geplant, hatte die 50B noch im Bestand und wollte es mal damit testen.
Member: DopeEx1991
DopeEx1991 Sep 07, 2016 at 10:20:02 (UTC)
Goto Top
Hi,
siehst du denn in den Traffic-Logs Verweigerungen, Fehler oder gültigen Traffic über die VPN-Stecke?

LG
Member: teletown
teletown Sep 09, 2016 at 11:38:59 (UTC)
Goto Top
So, konnte heute wieder weitertesten.

Der Ping von der Zentrale (40C) auf einen Client hinter der 50B funktioniert.

Was nicht geht, ist ein Ping von dem Client (192.168.6.110) auf die Firewall in der Zentrale (192.168.2.99). Da kommt immer der Fehler Zeitüberschreibung......

Hier ein Screenshot vom Traffic Log:
traffic log
Member: teletown
teletown Sep 09, 2016 at 11:39:56 (UTC)
Goto Top
Vermutlich fehlt die Route, habe aber keine Idee wie ich die Route mit der Firmware 4.x anlegen soll.

Bei dem Firmwarestand kann ich als Interface leider noch keinen Tunnel auswählen.
Member: teletown
teletown Sep 09, 2016 at 12:13:25 (UTC)
Goto Top
Auf der Seite der Zentrale:
trafic_log zentrale
Member: teletown
teletown Sep 09, 2016 at 13:13:47 (UTC)
Goto Top
Jetzt funktioniert es - in der Reihenfolge der Policys lag der Fehler. Nachdem ich die Reihenfolge geändert habe, funktioniert jetzt alles!

Vielen Dank für die Unterstützung.
Member: aqui
Solution aqui Sep 09, 2016 at 16:23:34 (UTC)
Goto Top
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !