12
Fortigate 50B hinter Fritz Box 7490 - Side to Side VPN
Hallo zusammen,
versuche gerade ein Side-to-Side VPN zwischen zwei Fortigates einzurichten. In der Zentrale steht eine 40C, in der Nebenstelle eine 50C hinter einer FritzBox.
Die 50B ist wie folgt konfiguriert:
IP-Adresse der FritzBox: 192.168.178.1 / Exposed Host auf Fortigate
WAN1-Port der Fortigate: 192.168.178.99
Internal-Interface Fortigate: 192.168.6.99
DHCP auf Fortigate: 192.168.6.110 - 200
Static-Route Fortigate: 0.0.0.0 192.168.178.1
Firewall-Objekte:
Netz intern: 192.168.6.0/24
Netz remote: 192.168.2.0/24
Policy:
internal (Netz intern) -> wan1 (Netz remote) / always / ANY / IPSEC
wan 1 (Netz remote) -> internal (Netz intern) always / ANY
Was aktuell funktioniert:
- der Tunnel wird zwischen den beiden Fortigates aufgebaut
- ich kann von der 50B das interne Interface der 40C anpingen (192.168.2.99)
- ich kann von der 50 B den Server anpingen (192.168.2.150)
- ich komme von außen auf das Webinterface der 50B
- mein Notebook mit der IP 192.168.6.99 hat Internet-Zugriff
Was nicht funktioniert:
- ich kann von einem Client (192.168.6.110) keine 2er-Adresse anpingen
- ich komme vom 6er-Netz nicht auf das 2er-Netz
- ich kann vom Server (2er-Netz) den Client im 6er-Netz nicht anpingen
So wie es aussieht, fehlt noch irgendwas für den Zugriff auf das 6er-Netz. Policys sind eigentlich alle eingerichtet auf beiden Seiten eingerichtet.
Hat jemand von euch noch eine Idee? Habe ich noch einen Denkfehler bzw. liegt das Problem mti dem 178er-Netz/NAT zusammen?
Danke euch.
versuche gerade ein Side-to-Side VPN zwischen zwei Fortigates einzurichten. In der Zentrale steht eine 40C, in der Nebenstelle eine 50C hinter einer FritzBox.
Die 50B ist wie folgt konfiguriert:
IP-Adresse der FritzBox: 192.168.178.1 / Exposed Host auf Fortigate
WAN1-Port der Fortigate: 192.168.178.99
Internal-Interface Fortigate: 192.168.6.99
DHCP auf Fortigate: 192.168.6.110 - 200
Static-Route Fortigate: 0.0.0.0 192.168.178.1
Firewall-Objekte:
Netz intern: 192.168.6.0/24
Netz remote: 192.168.2.0/24
Policy:
internal (Netz intern) -> wan1 (Netz remote) / always / ANY / IPSEC
wan 1 (Netz remote) -> internal (Netz intern) always / ANY
Was aktuell funktioniert:
- der Tunnel wird zwischen den beiden Fortigates aufgebaut
- ich kann von der 50B das interne Interface der 40C anpingen (192.168.2.99)
- ich kann von der 50 B den Server anpingen (192.168.2.150)
- ich komme von außen auf das Webinterface der 50B
- mein Notebook mit der IP 192.168.6.99 hat Internet-Zugriff
Was nicht funktioniert:
- ich kann von einem Client (192.168.6.110) keine 2er-Adresse anpingen
- ich komme vom 6er-Netz nicht auf das 2er-Netz
- ich kann vom Server (2er-Netz) den Client im 6er-Netz nicht anpingen
So wie es aussieht, fehlt noch irgendwas für den Zugriff auf das 6er-Netz. Policys sind eigentlich alle eingerichtet auf beiden Seiten eingerichtet.
Hat jemand von euch noch eine Idee? Habe ich noch einen Denkfehler bzw. liegt das Problem mti dem 178er-Netz/NAT zusammen?
Danke euch.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 314522
Url: https://administrator.de/contentid/314522
Printed on: May 4, 2024 at 06:05 o'clock
12 Comments
Latest comment
Hi,
mir fehlt bei dir die Policy für die VPN-Interfaces. Ich sehe nur deine WAN-Regeln und die sind wenn die wirklich so definiert sind schon recht risikoreich, da du jeglichen Traffic aus dem Internet in dein LAN zulässt.
Kannst du bitte mal deine Regeln mit, Source Interface, Source Address, Destnation Interface und Destination Address und Service beschreiben. (Von beiden Seiten)
dann noch deine Phase-2 VPN-Konfiguration
und dein Routing
LG
mir fehlt bei dir die Policy für die VPN-Interfaces. Ich sehe nur deine WAN-Regeln und die sind wenn die wirklich so definiert sind schon recht risikoreich, da du jeglichen Traffic aus dem Internet in dein LAN zulässt.
Kannst du bitte mal deine Regeln mit, Source Interface, Source Address, Destnation Interface und Destination Address und Service beschreiben. (Von beiden Seiten)
dann noch deine Phase-2 VPN-Konfiguration
und dein Routing
LG
ich kann von einem Client (192.168.6.110) keine 2er-Adresse anpingen
ICMP in der lokalen Firewall freigeschaltet ?https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
ich komme vom 6er-Netz nicht auf das 2er-Netz
Auch lokale Firewall an den Clients angepasst ? Firewall Logs ?
Die Policy's sind wie folgt angelegt:
Nebestelle 50B:
internal -> wan1
Source-Interace: internal
Source-Adress: Netz intern
Destination Interface: wan1
Destination-Adress: Netz remote
Schedule: Always
Service: Any
Action: IPSEC
VPN-Tunnel: VPN-Test (Phase1)
Allow Inbound
Allow Outbound
Log Allowed Traffic
wan1 -> internal
Source-Interace: wan1
Source-Adress: Netz remote
Destination Interface: internal
Destination-Adress: Netz intern
Schedule: Always
Service: Any
Action: Accept
Log Allowed Traffic
Zentrale 40c:
internal->P1_VPN_Test
Source-Interace: internal
Source-Adress: Netz intern
Destination Interface: P1_VPN_Test
Destination-Adress: Netz remote
Schedule: Always
Service: All
Action: Accept
Log Allowed Traffic
P1_VPN_Test->internal
Source-Interace: P1_VPN_Test
Source-Adress: Netz remote
Destination Interface: internal
Destination-Adress: Netz intern
Schedule: Always
Service: All
Action: Accept
Log Allowed Traffic
An der zentrale noch die Static-Route gesetzt: 192.168.6.0 / Device: P1_VPN_Test
An der 50B habe ich leider weniger Einstellungsmöglichkeiten wie an der 40C. Die 50B kann nicht mehr auf Version 5.xx hochgelevelt werden.
ICMP ist aktiviert, die Windows-Firewall auf dem Client testweise aus.
Nebestelle 50B:
internal -> wan1
Source-Interace: internal
Source-Adress: Netz intern
Destination Interface: wan1
Destination-Adress: Netz remote
Schedule: Always
Service: Any
Action: IPSEC
VPN-Tunnel: VPN-Test (Phase1)
Allow Inbound
Allow Outbound
Log Allowed Traffic
wan1 -> internal
Source-Interace: wan1
Source-Adress: Netz remote
Destination Interface: internal
Destination-Adress: Netz intern
Schedule: Always
Service: Any
Action: Accept
Log Allowed Traffic
Zentrale 40c:
internal->P1_VPN_Test
Source-Interace: internal
Source-Adress: Netz intern
Destination Interface: P1_VPN_Test
Destination-Adress: Netz remote
Schedule: Always
Service: All
Action: Accept
Log Allowed Traffic
P1_VPN_Test->internal
Source-Interace: P1_VPN_Test
Source-Adress: Netz remote
Destination Interface: internal
Destination-Adress: Netz intern
Schedule: Always
Service: All
Action: Accept
Log Allowed Traffic
An der zentrale noch die Static-Route gesetzt: 192.168.6.0 / Device: P1_VPN_Test
An der 50B habe ich leider weniger Einstellungsmöglichkeiten wie an der 40C. Die 50B kann nicht mehr auf Version 5.xx hochgelevelt werden.
ICMP ist aktiviert, die Windows-Firewall auf dem Client testweise aus.
Hier die Konfig der beiden 2er-Phasen.
Gelb = 40C Zentrale
weiß = 50B Nebenstelle
Gelb = 40C Zentrale
weiß = 50B Nebenstelle
hier sollte IPSEC oder auch die Phase 1 ausgewählt werden. Falls das mit der FW 4.xx geht
wan1 -> internal
Source-Interace: wan1
hier das Selbe
Ist dein IPSec PreShared Key per Zufall länger oder = 13 Zeichen?
Da gabs mal einen BUG in Firmware 5.0.3 und Kleiner.
Er baute da die IPSec verbindung auf aber irgendwie konnte der Traffic nicht sauber geregelt werden.
gruass affabanana
PS: Wie wäre es mit einem Upgrade der 50B zu einer Neuen 50E mit Firmware 5.4.... ? Da kann man das GUI endlich ROT einstellen.
wan1 -> internal
Source-Interace: wan1
Ist dein IPSec PreShared Key per Zufall länger oder = 13 Zeichen?
Da gabs mal einen BUG in Firmware 5.0.3 und Kleiner.
Er baute da die IPSec verbindung auf aber irgendwie konnte der Traffic nicht sauber geregelt werden.
gruass affabanana
PS: Wie wäre es mit einem Upgrade der 50B zu einer Neuen 50E mit Firmware 5.4.... ? Da kann man das GUI endlich ROT einstellen.
Hi affabanana,
das geht leider bei der FW 4.xx nicht. Ich kann hier den Tunnel nicht als Interface auswählen.
Das Passwort hat die gleiche länge, testweise ist 123456 hinterlegt.
Ein Upgrade auf die 50E ist geplant, hatte die 50B noch im Bestand und wollte es mal damit testen.
das geht leider bei der FW 4.xx nicht. Ich kann hier den Tunnel nicht als Interface auswählen.
Das Passwort hat die gleiche länge, testweise ist 123456 hinterlegt.
Ein Upgrade auf die 50E ist geplant, hatte die 50B noch im Bestand und wollte es mal damit testen.
Hi,
siehst du denn in den Traffic-Logs Verweigerungen, Fehler oder gültigen Traffic über die VPN-Stecke?
LG
siehst du denn in den Traffic-Logs Verweigerungen, Fehler oder gültigen Traffic über die VPN-Stecke?
LG
So, konnte heute wieder weitertesten.
Der Ping von der Zentrale (40C) auf einen Client hinter der 50B funktioniert.
Was nicht geht, ist ein Ping von dem Client (192.168.6.110) auf die Firewall in der Zentrale (192.168.2.99). Da kommt immer der Fehler Zeitüberschreibung......
Hier ein Screenshot vom Traffic Log:
Der Ping von der Zentrale (40C) auf einen Client hinter der 50B funktioniert.
Was nicht geht, ist ein Ping von dem Client (192.168.6.110) auf die Firewall in der Zentrale (192.168.2.99). Da kommt immer der Fehler Zeitüberschreibung......
Hier ein Screenshot vom Traffic Log:
Vermutlich fehlt die Route, habe aber keine Idee wie ich die Route mit der Firmware 4.x anlegen soll.
Bei dem Firmwarestand kann ich als Interface leider noch keinen Tunnel auswählen.
Bei dem Firmwarestand kann ich als Interface leider noch keinen Tunnel auswählen.
Auf der Seite der Zentrale:
Jetzt funktioniert es - in der Reihenfolge der Policys lag der Fehler. Nachdem ich die Reihenfolge geändert habe, funktioniert jetzt alles!
Vielen Dank für die Unterstützung.
Vielen Dank für die Unterstützung.
