89128
26.03.2010, aktualisiert am 18.10.2012
16198
14
1
Fortigate 50B, routing allgemein...
Hallo erstmal,
hier mal kurz ne kleine Vorstellung und ein paar Anmerkungen zu meiner Situation.
Ich bin ein noch recht junger Informatikstudent, der eigentlich privat mehr mit Webdesign am Hut hat,
und nun vor der Herausforderung steht ein Netzwerk planen und einrichten zu müssen.
Vor kurzem hat sich ein Bekannter meiner Familie selbstständig gemacht und kam auf meinen Vater
(seinerseits EDV Leiter in einem größeren Unternehmen) zu, damit er für ihn die Planung und
Umsetzung der EDV übernimmt. Leider ist es so das mein Vater nun doch schon seit einigen
Jahren keinen direkten Kontakt mit Hardware (seine Workstations mal ausgenommen hatte),
es aber nun nochmal wissen will. Er hat natürlich sofort zugesagt und auch gleich Komponenten geordert. Vor eben
diesen Komponenten sitze ich nun....Auf externe Hilfe will er möglichst verzichten. Dafür hat
er ja einen Sohn......
Ich erzähle euch das alles nur, um gewissen Sprüchen, a la "dem sollte sich jemand annehmen,
der sich damit auskennt" usw vorzubeugen.
Aber da der Ehrgeiz nun ohnehin geweckt ist und ich versprochen habe, mir das ganze mal
anschzuschauen bzw zu übernehmen benötige ich nun Hilfe.
So nun einmal zu meinem eigentlichen Problem.
Der Aufbau umfasst insgesammt 5 Server, einen DC, einen Printserver,
einen für Backup (soll auch als Backup-DC laufen, keine ahnung wie das läuft, muss
ich mir noch anschauen) samt Bandlaufwerk, einen externen Fileserver, einen internen Fileserver.
Eine managbare USV sowei zwei VLAN Switches ( nur wegen der Redundanz , wird vermutlich
nur 1er laufen und der andere fertig konfiguriert im schrank als ersatz liegen). Dazu kommt
dann noch die Fortigate 50b als Virus/Firewall, sowie seine "Maschine" die über eine integrierte
Workstation sowie einem Clusterrechner verfügt.
Das lustigste an der ganzen Sache, er wird maximal 3 Clients geben, anfänglich 1-2.
In meinen Augen extrem überdimensioniert, aber es mangelt mir in dem Bereich auch
einfach an Erfahrung um das richtig abschätzen zu können, dementsprechend hab
ich dies bezüglich kein Mitspracherecht.
Nun gut, dann hab ich das mal durchgespielt also,
Die 5 Server hab ich in das Netz 192.168.1.x gesetzt.
Der für den externen Zugriff bestimmte FTP eigtl in eine DMZ ( bis ich bemerkt habe das das
die Firewall gar nicht anbietet) also ist er jetzt in einem eigenen Subnetzt 192.168.3.x .
"Maschine" und Clusterrechner laufen in 192.168.0.x
Theorethisch müsste ich nun über Routen das ganz einfach einrichten können, aber genau da liegt
mein Problem, bzw mangelt es eher noch etwas am Grundverständniss.
Sieht jetzt so aus
Speedport -- > Forti
192.168.2.1 Wan1:192.168.2.99,Internal:192.168.1.99,Vlan1 192.168.3.99
Wie müssen nun die Routen aussehen, und sind das statische oder policy, evtl wäre jemand
so nett und erklärt mir mal kurz noch den Unterschied. Dacht eigtlich das würde mit statischen
gehen, aber da ging gar nix, das einzigste was Erfolg brachte war folgende Regel unter
Policy Routes:
incoming:internal outgoing:wan1 source0.0.0.0/0 destination 0.0.0.0/0 somit geht zumindest
das internet hinter der firewall, aber irgendwas sagt mir das das nicht ganz sinn und zweck der Firewall
sein kann. Wenn ich aus den 0.0.0.0 wieder IPs mache geht nix mehr.
Also wie müssten die Regeln aussehen, und wo müssen sie eingestellt werden.
Das mit dem Vlan check ich auch nicht ganz, auf welchen Ausgang od was bezieht sich das den dann,
brauch ich das überhaupt ?
Bei dem Switch ist mir das klar, da kann ich ja dei einzelnen Ports belegen, bei der Forti nicht.
Eigtl ne ganz kleine Frage, aber da ich dachte es könnten evtl in den nächsten Tagen noch die ein
oder andere dazukommen hab ich mich entschlossen das ganze gleich etwas ausführlicher zu gestalten.
Danke aber schonmal jedem der sich bis hierher durch den Text gekämpft hat.
mfg
MrPink
hier mal kurz ne kleine Vorstellung und ein paar Anmerkungen zu meiner Situation.
Ich bin ein noch recht junger Informatikstudent, der eigentlich privat mehr mit Webdesign am Hut hat,
und nun vor der Herausforderung steht ein Netzwerk planen und einrichten zu müssen.
Vor kurzem hat sich ein Bekannter meiner Familie selbstständig gemacht und kam auf meinen Vater
(seinerseits EDV Leiter in einem größeren Unternehmen) zu, damit er für ihn die Planung und
Umsetzung der EDV übernimmt. Leider ist es so das mein Vater nun doch schon seit einigen
Jahren keinen direkten Kontakt mit Hardware (seine Workstations mal ausgenommen hatte),
es aber nun nochmal wissen will. Er hat natürlich sofort zugesagt und auch gleich Komponenten geordert. Vor eben
diesen Komponenten sitze ich nun....Auf externe Hilfe will er möglichst verzichten. Dafür hat
er ja einen Sohn......
Ich erzähle euch das alles nur, um gewissen Sprüchen, a la "dem sollte sich jemand annehmen,
der sich damit auskennt" usw vorzubeugen.
Aber da der Ehrgeiz nun ohnehin geweckt ist und ich versprochen habe, mir das ganze mal
anschzuschauen bzw zu übernehmen benötige ich nun Hilfe.
So nun einmal zu meinem eigentlichen Problem.
Der Aufbau umfasst insgesammt 5 Server, einen DC, einen Printserver,
einen für Backup (soll auch als Backup-DC laufen, keine ahnung wie das läuft, muss
ich mir noch anschauen) samt Bandlaufwerk, einen externen Fileserver, einen internen Fileserver.
Eine managbare USV sowei zwei VLAN Switches ( nur wegen der Redundanz , wird vermutlich
nur 1er laufen und der andere fertig konfiguriert im schrank als ersatz liegen). Dazu kommt
dann noch die Fortigate 50b als Virus/Firewall, sowie seine "Maschine" die über eine integrierte
Workstation sowie einem Clusterrechner verfügt.
Das lustigste an der ganzen Sache, er wird maximal 3 Clients geben, anfänglich 1-2.
In meinen Augen extrem überdimensioniert, aber es mangelt mir in dem Bereich auch
einfach an Erfahrung um das richtig abschätzen zu können, dementsprechend hab
ich dies bezüglich kein Mitspracherecht.
Nun gut, dann hab ich das mal durchgespielt also,
Die 5 Server hab ich in das Netz 192.168.1.x gesetzt.
Der für den externen Zugriff bestimmte FTP eigtl in eine DMZ ( bis ich bemerkt habe das das
die Firewall gar nicht anbietet) also ist er jetzt in einem eigenen Subnetzt 192.168.3.x .
"Maschine" und Clusterrechner laufen in 192.168.0.x
Theorethisch müsste ich nun über Routen das ganz einfach einrichten können, aber genau da liegt
mein Problem, bzw mangelt es eher noch etwas am Grundverständniss.
Sieht jetzt so aus
Speedport -- > Forti
192.168.2.1 Wan1:192.168.2.99,Internal:192.168.1.99,Vlan1 192.168.3.99
Wie müssen nun die Routen aussehen, und sind das statische oder policy, evtl wäre jemand
so nett und erklärt mir mal kurz noch den Unterschied. Dacht eigtlich das würde mit statischen
gehen, aber da ging gar nix, das einzigste was Erfolg brachte war folgende Regel unter
Policy Routes:
incoming:internal outgoing:wan1 source0.0.0.0/0 destination 0.0.0.0/0 somit geht zumindest
das internet hinter der firewall, aber irgendwas sagt mir das das nicht ganz sinn und zweck der Firewall
sein kann.
Wenn ich aus den 0.0.0.0 wieder IPs mache geht nix mehr.Also wie müssten die Regeln aussehen, und wo müssen sie eingestellt werden.
Das mit dem Vlan check ich auch nicht ganz, auf welchen Ausgang od was bezieht sich das den dann,
brauch ich das überhaupt ?
Bei dem Switch ist mir das klar, da kann ich ja dei einzelnen Ports belegen, bei der Forti nicht.
Eigtl ne ganz kleine Frage, aber da ich dachte es könnten evtl in den nächsten Tagen noch die ein
oder andere dazukommen hab ich mich entschlossen das ganze gleich etwas ausführlicher zu gestalten.
Danke aber schonmal jedem der sich bis hierher durch den Text gekämpft hat.
mfg
MrPink
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 139241
Url: https://administrator.de/forum/fortigate-50b-routing-allgemein-139241.html
Ausgedruckt am: 22.04.2025 um 21:04 Uhr
14 Kommentare
Neuester Kommentar
Ist die Frage ob die Fortinet NAT (Adress Translation) macht zum WAN. Dann brauchst du keine Routen ! Leider teilst du uns genau das ja nicht mit... 
Macht sie kein NAT benötigst du zwingend eine statische Route auf dem Speedport.
Leider supportet so ein Billigteil wie der Speedport keine statischen Routen....vermutlich scheiterst du also schon daran !!
Deine einzige Chance ist dann den Speedport mit der PPPoE Passthrough Option einfach als dummes DSL Modem laufen zu lassen und den PPPoE Zugang mit DSL Zugangsdaten auf der Fortinet zu konfigurieren. So umschiffst du elegant dieses Problem. Ansonsten musst du einen Router verwenden der statische Routen supportet. Kann fast jeder, nur eben der Speedport nicht...
Dieses Tutorial zeigt dir das prinzipielle Routing Verhalten mit und ohne NAT in so einem Szenario. Tu einfach so als ob der PC/Server deine Fortigate ist. Das Routing Handling ist identisch !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Sieht dein Netzwerk so aus: ??
Wenn du mit einem "VLAN" arbeitest kann es sein das du tagged Interfaces hast (802.1q). Die können nicht mit untagged Ports kommunizieren. Nur mal so vorab als Info wegen der Bezeichnung "VLAN" in deiner Beschreibung oben. Leider fehlen da auch die Details...
Näheres dazu findest du hier:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
und hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw.
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Macht sie kein NAT benötigst du zwingend eine statische Route auf dem Speedport.
Leider supportet so ein Billigteil wie der Speedport keine statischen Routen....vermutlich scheiterst du also schon daran !!
Deine einzige Chance ist dann den Speedport mit der PPPoE Passthrough Option einfach als dummes DSL Modem laufen zu lassen und den PPPoE Zugang mit DSL Zugangsdaten auf der Fortinet zu konfigurieren. So umschiffst du elegant dieses Problem. Ansonsten musst du einen Router verwenden der statische Routen supportet. Kann fast jeder, nur eben der Speedport nicht...
Dieses Tutorial zeigt dir das prinzipielle Routing Verhalten mit und ohne NAT in so einem Szenario. Tu einfach so als ob der PC/Server deine Fortigate ist. Das Routing Handling ist identisch !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Sieht dein Netzwerk so aus: ??
Wenn du mit einem "VLAN" arbeitest kann es sein das du tagged Interfaces hast (802.1q). Die können nicht mit untagged Ports kommunizieren. Nur mal so vorab als Info wegen der Bezeichnung "VLAN" in deiner Beschreibung oben. Leider fehlen da auch die Details...
Näheres dazu findest du hier:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
und hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw.
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Hmm, ob sie Nat auf Wan macht ?
Sprich das interne Netz zu verschleiern und auf das externe umzusetzen ?
Also da jetzt z.b. mein Lappi mit 192.168.1.x standard gateway die firewall (192.168.1.99).
"rauskommt" denk ich schon das sie das macht. Aber wie gesagt das ging erst nach
hinzufügen der policy route:
Incoming:internal 0.0.0.0/0 outgoing:wan1 0.0.0.0/0 gateway 192.168.2.1
Wenns an dem Speedport klemmen würde könnte ich ja auch einfach auf der Fortigate
auf PPPoE umstellen und ein DSL Modem davor klemmen.
Wenn du mir sagen kannst wo ich die benötigten Informationen finde, gebe ich euch
natürlich gerne alles an Infos was ihr braucht.
Das Tutorial hab ich mir übrigens davor schon angeschaut, bzw als Grundlage genommen.
Danke dafür. Ich dachte auch das ganze verstanden zu haben, nur funktioniert das nicht so
wie ich mir das gedacht habe, und bringt mich dann im Umkehrschluss zu der Annahme es doch nicht
so ganz verstanden zu haben.
Ein weiteres Problem hat isch gerade noch aufgetan. Zum testen hab ich meinen Laptop
direkt an der Firewall platziert ( hat für Redundanz 2 xWan und 3 x internal Lan als Anschlüsse ) da gehts auch
wie beschrieben. Wenn ich jetzt allerdings auf den Switch gehe, mit Lappi und Firewall, geht nix mehr.
Der Switch funktioniert, da auch die "Maschine" darüber ihre Verbindung zum Cluster-Rechner herstellt, der
einzige Unterschied hierbei ist das sie sich in einem anderen Subnetz befindet.
Edit:
Noch ein paar Angaben zur HW. Also die Switches sind DELL Powerconnect 5424
Firewall wie gesagt Fortigate 50B (eigtl pix war aber geade nicht lieferbar und dafür hätte
ich auch ne tolle dokumentation gehabt)
Server : 2 x Dell Power Edge R310 und 3 x Dell PowerEdge R510
Edit2:
Das Thema Vlan taucht doppelt auf, zum einen derSwitch v. Dell, für den ich so ein paar ports für die Maschine
absplitte wollte, was auch glaube ich kein Problem ist.
Und zum zweiten bei der Fortigate, die einem die Möglichkeit gibt zusätzlich zu den "festen" (Internal, Wan1, Wan2)
noch ein VLAN Interface zu definieren.
hmm das mit den tagged ports könnte mein Problem sien
Sprich das interne Netz zu verschleiern und auf das externe umzusetzen ?
Also da jetzt z.b. mein Lappi mit 192.168.1.x standard gateway die firewall (192.168.1.99).
"rauskommt" denk ich schon das sie das macht. Aber wie gesagt das ging erst nach
hinzufügen der policy route:
Incoming:internal 0.0.0.0/0 outgoing:wan1 0.0.0.0/0 gateway 192.168.2.1
Wenns an dem Speedport klemmen würde könnte ich ja auch einfach auf der Fortigate
auf PPPoE umstellen und ein DSL Modem davor klemmen.
Wenn du mir sagen kannst wo ich die benötigten Informationen finde, gebe ich euch
natürlich gerne alles an Infos was ihr braucht.
Das Tutorial hab ich mir übrigens davor schon angeschaut, bzw als Grundlage genommen.
Danke dafür. Ich dachte auch das ganze verstanden zu haben, nur funktioniert das nicht so
wie ich mir das gedacht habe, und bringt mich dann im Umkehrschluss zu der Annahme es doch nicht
so ganz verstanden zu haben.
Ein weiteres Problem hat isch gerade noch aufgetan. Zum testen hab ich meinen Laptop
direkt an der Firewall platziert ( hat für Redundanz 2 xWan und 3 x internal Lan als Anschlüsse ) da gehts auch
wie beschrieben. Wenn ich jetzt allerdings auf den Switch gehe, mit Lappi und Firewall, geht nix mehr.
Der Switch funktioniert, da auch die "Maschine" darüber ihre Verbindung zum Cluster-Rechner herstellt, der
einzige Unterschied hierbei ist das sie sich in einem anderen Subnetz befindet.
Edit:
Noch ein paar Angaben zur HW. Also die Switches sind DELL Powerconnect 5424
Firewall wie gesagt Fortigate 50B (eigtl pix war aber geade nicht lieferbar und dafür hätte
ich auch ne tolle dokumentation gehabt)
Server : 2 x Dell Power Edge R310 und 3 x Dell PowerEdge R510
Edit2:
Das Thema Vlan taucht doppelt auf, zum einen derSwitch v. Dell, für den ich so ein paar ports für die Maschine
absplitte wollte, was auch glaube ich kein Problem ist.
Und zum zweiten bei der Fortigate, die einem die Möglichkeit gibt zusätzlich zu den "festen" (Internal, Wan1, Wan2)
noch ein VLAN Interface zu definieren.
hmm das mit den tagged ports könnte mein Problem sien
Das ist jetzt unverständlich und irreführend ! Was bitte ist "( hat für Redundanz 2 xWan und 3 x internal Lan als Anschlüsse )" ???
Ist das der Laptop oder die Firewall ??
Wenns die Firewall ist darfst du niemals 2oder mehrere Anschlüsse parallel in einen switch stecken ! Damit loopst du das Netzwerk und nichts geht mehr. Das gehört zum Grundwissen der Informatik !!
Ausnahme: Firewall und Switch supporten Spanning Tree, dann (und nur dann) ist das möglich da dann redundante Links eh in den Blocking Modus gehen und inaktiv sind (logisch um den Loop zu vermeiden !)
Ist das der Laptop oder die Firewall ??
Wenns die Firewall ist darfst du niemals 2oder mehrere Anschlüsse parallel in einen switch stecken ! Damit loopst du das Netzwerk und nichts geht mehr. Das gehört zum Grundwissen der Informatik !!
Ausnahme: Firewall und Switch supporten Spanning Tree, dann (und nur dann) ist das möglich da dann redundante Links eh in den Blocking Modus gehen und inaktiv sind (logisch um den Loop zu vermeiden !)
Sorry irgendwie hab ich da ein Komma vergessen. Aber Interpunktion,
und zu wissen wann man einen Satz besser beenden sollte war noch nie meine Stärke.
Die Firewall hat um für Redundanz zu sorgen 2 Wan Ports.
Aus der Firewall geht ein Kabel von einem der 3 verfügbaren Lan-Ports (internal) in den Switch.
Mein Notebook hängt am zweiten der drei lan ports. Wenn ich jetzt mit meinem Notebook
aus der Firewall in den Switch wechsle hab ich keine Verbindung mehr, wobei
das ja eigentlich funktionieren sollte, könnte aber an den von die erwähnten "tagged
interfaces" liegen, da muss ich mich heute abend mal einlesen.
Mit was hast du in der schnelle die Grafik erstellt ? Die Shapes gefallen mir
gut, probier das gerade in Visio, damit es evtl klarer wird.
und zu wissen wann man einen Satz besser beenden sollte war noch nie meine Stärke.
Die Firewall hat um für Redundanz zu sorgen 2 Wan Ports.
Aus der Firewall geht ein Kabel von einem der 3 verfügbaren Lan-Ports (internal) in den Switch.
Mein Notebook hängt am zweiten der drei lan ports. Wenn ich jetzt mit meinem Notebook
aus der Firewall in den Switch wechsle hab ich keine Verbindung mehr, wobei
das ja eigentlich funktionieren sollte, könnte aber an den von die erwähnten "tagged
interfaces" liegen, da muss ich mich heute abend mal einlesen.
Mit was hast du in der schnelle die Grafik erstellt ? Die Shapes gefallen mir
gut, probier das gerade in Visio, damit es evtl klarer wird.
OK, 2 WAN Ports die zu 2 unterschiedlichen Providern gehen und die FW macht dann ein Link Loadbalancing wie es z.B. dieser Router macht, richtig ??
OK, das ist erstmal nicht das Thema und problemlos, wichtiger sind die internen Interfaces.
In einer Firewall ist es üblich das jeder Port ein separates LAN Interface darstellt ! Wenn du nun deinen Laptop aus einem LAN Interface mit einem IP Netz rausziehst und in ein anderes LAN Interface bringst (das was mit dem Switch "verlängert" ist) dann stimmen natürlich die IP Adressen nicht mehr und nichts geht mehr...ist ja logisch. Mal ganz abgesehen davon ob dort IPs dynamisch vergeben werden oder ggf. statisch eingetragen werden müssen.
Sollte in der FW ein Switch sein, dann müssen auf alle Fälle IP Interfaces einzelnen Switchports oder Gruppen von Switchports dediziert zugewiesen werden. Auch logisch, denn sonst wären ja alle FW Interfcaes wieder zusammengeschaltet über einen OSI Layer 2 Switch. Was natürlich völlige Blödsinn ist und die Firewall konterkarieren würde.
In die Falle bist du vermutlich getappt. Außerdem solltest du bedenken das eine FW per Default sämtlichen Traffic blockt und du erst mit Accesslisten sagst welches Interface mit welchem sprechen darf....auch logisch bei einer FW !
Das mit dem "Einlesen" ist also wirklich eine gute Sache statt planlos und naiv draufloszustecken...sorry ! Eigentlich ja auch eine Grundtugend eines Studenten...
Ja, die Skizze ist Visio bzw. Omni Graffle mit dem Mac. Teile der Icons kommen von Cisco
OK, das ist erstmal nicht das Thema und problemlos, wichtiger sind die internen Interfaces.
In einer Firewall ist es üblich das jeder Port ein separates LAN Interface darstellt ! Wenn du nun deinen Laptop aus einem LAN Interface mit einem IP Netz rausziehst und in ein anderes LAN Interface bringst (das was mit dem Switch "verlängert" ist) dann stimmen natürlich die IP Adressen nicht mehr und nichts geht mehr...ist ja logisch. Mal ganz abgesehen davon ob dort IPs dynamisch vergeben werden oder ggf. statisch eingetragen werden müssen.
Sollte in der FW ein Switch sein, dann müssen auf alle Fälle IP Interfaces einzelnen Switchports oder Gruppen von Switchports dediziert zugewiesen werden. Auch logisch, denn sonst wären ja alle FW Interfcaes wieder zusammengeschaltet über einen OSI Layer 2 Switch. Was natürlich völlige Blödsinn ist und die Firewall konterkarieren würde.
In die Falle bist du vermutlich getappt. Außerdem solltest du bedenken das eine FW per Default sämtlichen Traffic blockt und du erst mit Accesslisten sagst welches Interface mit welchem sprechen darf....auch logisch bei einer FW !
Das mit dem "Einlesen" ist also wirklich eine gute Sache statt planlos und naiv draufloszustecken...sorry ! Eigentlich ja auch eine Grundtugend eines Studenten...
Ja, die Skizze ist Visio bzw. Omni Graffle mit dem Mac. Teile der Icons kommen von Cisco
Ja genau, die Firewall bietet LoadBalancing über 2 Provider wobei das nicht genutzt wird bzw auch nicht geplant ist.
So hab jetzt mal meine Skizze wie ichs mir anfangs vorgestellt, bzw geplant hatte rausgekramt und angehängt.
Das mit den IP Adressen ist mir klar. DHCP ist für und von allen geräte ausgeschaltet. Sind schon alle statisch konfigurriert.
In der Fortigate lässt sich aber nur das Interface "internal" konfigurieren, und nicht 3 verschiedene, daher auch mein Verständnisproblem
auf was sich ein mögliches Vlan Interface dann bezieht. Deshalb hab ich auch
angenommen, das es sich um einen Switch handelt, was auch die Feststellung das es mit gleicher IP (am Notebook) an jedem
Port geht untermauern sollte. Glaub mir eigtl bin ich nicht der der komplett planlos an so eine sache rangeht.
Und ich denk das war auch in diesem Falle nicht so, nur übersteigt das ganze Thema meinen Wissensstand doch noch
"etwas". Nur hab ich, wie ich eingangs schon betonte gar keine andere Wahl.
So jetzt aber erstmal hier noch die Zeichnung, vielleicht macht die alles etwas klarer. Und eben mein Problem ist der externe Ftp, den direkt
an die Firewall unter Verwendung eines Vlan Interfaces, oder an den Switch....,
Oder sagen wir besser, eins meiner Probleme......
Edit:
Mir ist gerade noch eingefallen, das die IP der Firewall sich natürlich nur auf das Interface "internal"
bezieht, für Wan1 ist eben die 192.168.2.99 als IP gesetzt
So hab jetzt mal meine Skizze wie ichs mir anfangs vorgestellt, bzw geplant hatte rausgekramt und angehängt.
Das mit den IP Adressen ist mir klar. DHCP ist für und von allen geräte ausgeschaltet. Sind schon alle statisch konfigurriert.
In der Fortigate lässt sich aber nur das Interface "internal" konfigurieren, und nicht 3 verschiedene, daher auch mein Verständnisproblem
auf was sich ein mögliches Vlan Interface dann bezieht. Deshalb hab ich auch
angenommen, das es sich um einen Switch handelt, was auch die Feststellung das es mit gleicher IP (am Notebook) an jedem
Port geht untermauern sollte. Glaub mir eigtl bin ich nicht der der komplett planlos an so eine sache rangeht.
Und ich denk das war auch in diesem Falle nicht so, nur übersteigt das ganze Thema meinen Wissensstand doch noch
"etwas". Nur hab ich, wie ich eingangs schon betonte gar keine andere Wahl.
So jetzt aber erstmal hier noch die Zeichnung, vielleicht macht die alles etwas klarer. Und eben mein Problem ist der externe Ftp, den direkt
an die Firewall unter Verwendung eines Vlan Interfaces, oder an den Switch....,
Oder sagen wir besser, eins meiner Probleme......
Edit:
Mir ist gerade noch eingefallen, das die IP der Firewall sich natürlich nur auf das Interface "internal"
bezieht, für Wan1 ist eben die 192.168.2.99 als IP gesetzt
Hallo,
also erstmal zu den Ports:
Eine Fortigate-50B hat 2 separate WAN-Ports und einen internen 3-Port-Switch, das heist bei Routing und den Firewall-Policies hat man nur "wan1", "wan2" und "internal". An den internen Ports kann man dann noch VLAN's einrichten.
Für direkt angeschlossene Netze braucht man keine Routen einzutragen. Die einzige Route, die man benötigt, ist die Default Route.
Hier mein Vorschlag für die Konfiguration:
Speedport:
1. interne IP-Adresse: 192.168.2.1
2. Einstellung für den "DMZ-PC": 192.168.2.99
Fortigate:
1. wan1 IP-Adresse: 192.168.2.99
2. wan2 IP-Adresse: 192.168.3.99
3. interne IP-Adresse: 192.168.1.99
4. Default Route (statisch): 192.168.2.1
5. Policy Routen benötigst du nicht.
Das heißt, du verwendest einfach den wan2-Port für deine DMZ, die Bezeichnung "wan2" sagt ja schließlich nicht, das man den Port nicht für etwas anderes benutzen darf. Ich sehe auch keinen Grund Server (192.168.1.x) und PC's (192.168.0.x) zu trennen, ich würde beide an den internen Ports anschließen (evtl über einen der separaten Switche).
mfg
Harald
also erstmal zu den Ports:
Eine Fortigate-50B hat 2 separate WAN-Ports und einen internen 3-Port-Switch, das heist bei Routing und den Firewall-Policies hat man nur "wan1", "wan2" und "internal". An den internen Ports kann man dann noch VLAN's einrichten.
Für direkt angeschlossene Netze braucht man keine Routen einzutragen. Die einzige Route, die man benötigt, ist die Default Route.
Hier mein Vorschlag für die Konfiguration:
Speedport:
1. interne IP-Adresse: 192.168.2.1
2. Einstellung für den "DMZ-PC": 192.168.2.99
Fortigate:
1. wan1 IP-Adresse: 192.168.2.99
2. wan2 IP-Adresse: 192.168.3.99
3. interne IP-Adresse: 192.168.1.99
4. Default Route (statisch): 192.168.2.1
5. Policy Routen benötigst du nicht.
Das heißt, du verwendest einfach den wan2-Port für deine DMZ, die Bezeichnung "wan2" sagt ja schließlich nicht, das man den Port nicht für etwas anderes benutzen darf. Ich sehe auch keinen Grund Server (192.168.1.x) und PC's (192.168.0.x) zu trennen, ich würde beide an den internen Ports anschließen (evtl über einen der separaten Switche).
mfg
Harald
Vielen Dank Harald, als war meine Annahme das es sich bei den "internal" ports um ein switch
handelt zumindest mal korrekt.
Genau so ähnlich hab ich mir das gedacht, nur das ich dafür wan2 benutzen kann wusste ich nicht.
Nur hat das mit der statischen Route einfach nicht hingehauen, wie gesagt war das einzige das ging eine blanko
policy route sozusagen.
Nur rein interessehalber, wie funktioniert das mit dem Vlan interface ? Ich kann da ja kein Port "fest" zuordnen,
d.h. ich definier einfach einen (in meinem fall hatte ich das testweise mit der 192.168.3.99 gemacht) und die
Firewall erkennt dann, das es sich bei der angeschlossenen Device um eine dem Vlan zugehörigen handelt,
anhand vom Subnetz ?
Das mit dem trennen war nur deshalb, weil die 'maschine' eine permanente
Verbindung zum Cluster-Server hat, und der Monteur die ( leider hatte ich Vorlesung als er da war, und war deshalb
nicht vor Ort ) wie ich jetzt gesehen hab über ICS miteinander verbunden hat, weil
der Switch zum damaligen Zeitpunkt noch nicht geliefert war. Allerdings weiss ich auch noch nicht inwieweit
die in die Domäne integrierbar sind, deshalb auch die Überlegung es einfach so zu belassen im eigenen
Subnetz und eine Route hinzuzufügen, so dass man von der Workstation zumindest die Arbeitsdaten auf den
internen Fileserver schieben kann.
Wenn ich das jetzt richtig sehe unterscheidet sich deine Empfehlung nur unwesentlich von meiner config.
Also einfach den FTP auf wan2, wieder auf default route eintragen anstatt policy und DMZ im Speedport eintragen.
Eben ich dachte mir auch, wie ja in der Zeichnung auch schon vermerkt, das ich dann die anderen server und workstations über einen
Switch an einen der internen Ports hängen, so ist es momentan auch geregelt.
Deine Tipps werde ich morgen aber auf jeden Fall gleich mal ausprobieren und dann hier Rückmeldung geben, auf jeden Fall
danke schonmal.
Ach und noch kurz zu der Grundtugend Lesen, ich hab jetzt gerade noch eine 200seitige Abhandlung über die Migration von Active Directory
unter Win2008 Server als Bettlektüre vor mir, und ich kann mir wahrlich schöneres an einem Freitag Abend vorstellen. Was ich
damit sagen will, man kann mir vielleicht Unwissen oder manchmal etwas Begriffsstutzigkeit vorwerfen,
aber sicher nicht die fehlende Bereitschaft . Trotzdem natürlich auch dir eine Danke für deine Hilfe, Aqui.
Dein Tutorial und die Beiträge von Harald zur Fortigate Firewall waren überhaupt erst die Gründe warum es mich hierher verschlagen hat.
mfg
handelt zumindest mal korrekt.
Genau so ähnlich hab ich mir das gedacht, nur das ich dafür wan2 benutzen kann wusste ich nicht.
Nur hat das mit der statischen Route einfach nicht hingehauen, wie gesagt war das einzige das ging eine blanko
policy route sozusagen.
Nur rein interessehalber, wie funktioniert das mit dem Vlan interface ? Ich kann da ja kein Port "fest" zuordnen,
d.h. ich definier einfach einen (in meinem fall hatte ich das testweise mit der 192.168.3.99 gemacht) und die
Firewall erkennt dann, das es sich bei der angeschlossenen Device um eine dem Vlan zugehörigen handelt,
anhand vom Subnetz ?
Das mit dem trennen war nur deshalb, weil die 'maschine' eine permanente
Verbindung zum Cluster-Server hat, und der Monteur die ( leider hatte ich Vorlesung als er da war, und war deshalb
nicht vor Ort ) wie ich jetzt gesehen hab über ICS miteinander verbunden hat, weil
der Switch zum damaligen Zeitpunkt noch nicht geliefert war. Allerdings weiss ich auch noch nicht inwieweit
die in die Domäne integrierbar sind, deshalb auch die Überlegung es einfach so zu belassen im eigenen
Subnetz und eine Route hinzuzufügen, so dass man von der Workstation zumindest die Arbeitsdaten auf den
internen Fileserver schieben kann.
Wenn ich das jetzt richtig sehe unterscheidet sich deine Empfehlung nur unwesentlich von meiner config.
Also einfach den FTP auf wan2, wieder auf default route eintragen anstatt policy und DMZ im Speedport eintragen.
Eben ich dachte mir auch, wie ja in der Zeichnung auch schon vermerkt, das ich dann die anderen server und workstations über einen
Switch an einen der internen Ports hängen, so ist es momentan auch geregelt.
Deine Tipps werde ich morgen aber auf jeden Fall gleich mal ausprobieren und dann hier Rückmeldung geben, auf jeden Fall
danke schonmal.
Ach und noch kurz zu der Grundtugend Lesen, ich hab jetzt gerade noch eine 200seitige Abhandlung über die Migration von Active Directory
unter Win2008 Server als Bettlektüre vor mir, und ich kann mir wahrlich schöneres an einem Freitag Abend vorstellen. Was ich
damit sagen will, man kann mir vielleicht Unwissen oder manchmal etwas Begriffsstutzigkeit vorwerfen,
aber sicher nicht die fehlende Bereitschaft .
Trotzdem natürlich auch dir eine Danke für deine Hilfe, Aqui.Dein Tutorial und die Beiträge von Harald zur Fortigate Firewall waren überhaupt erst die Gründe warum es mich hierher verschlagen hat.
mfg
Mit dem VLAN ist es vermutlich so das du auf der Fortigate mehrere VLANs definieren kannst und diesen VLANs dann tagged (802.1q) einen Port zuweisen kannst. Pro VLAN hat die Fortigate wann ein virtuelles IP Interface.
Mit einem VLAN fähigen Switch kannst du dann mit einem 802.1q Trunk diese VLANs wieder aufnehmen und auf die physischen VLANs verteilen. Das ist gängige Proxis bei Firewalls wenn man eine Kopplung zwischen mehreren VLANs machen muss.
So umgeht man die physische Limitierung der Firewall Ports.
Dies Tutorial beschreibt das Prinzip:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bei dem o.a. Vorschlag musst du zwangsweise mit NAT arbeiten auf der FW. Der SP forwardet auch alles eingehende an die FW (DMZ Konfig). Im Grunde ist es dann zu überlegen ob du dir die ganze Konfig mit dem SP als Router nicht sparst und ihn nur als Modem laufen lässt.
Das geht aber nur wenn die Fortigate PPPoE supportet am WAN Port !!
Damit sparst du dir dann die ganze unsägliche Frickelei mit Port Forwarding, DMZ usw.
Kann die Fortigate das trägst du die ISP Zugangsdaten auf der Fortigate ein, konfiurierst den WAN Port auf PPPoE und stellst den Speedport mit PPPoE Passthrough über sein Web Setup als einfaches Modem ein.
Somit hast du dann alle Funktionen zentral auf der Fortigate.
Die kann das so oder so besser als der SP und was die LAN und DMZ Ports anbetrifft belässt du es einfach beim Vorschlag von harald21.
Mit einem VLAN fähigen Switch kannst du dann mit einem 802.1q Trunk diese VLANs wieder aufnehmen und auf die physischen VLANs verteilen. Das ist gängige Proxis bei Firewalls wenn man eine Kopplung zwischen mehreren VLANs machen muss.
So umgeht man die physische Limitierung der Firewall Ports.
Dies Tutorial beschreibt das Prinzip:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bei dem o.a. Vorschlag musst du zwangsweise mit NAT arbeiten auf der FW. Der SP forwardet auch alles eingehende an die FW (DMZ Konfig). Im Grunde ist es dann zu überlegen ob du dir die ganze Konfig mit dem SP als Router nicht sparst und ihn nur als Modem laufen lässt.
Das geht aber nur wenn die Fortigate PPPoE supportet am WAN Port !!
Damit sparst du dir dann die ganze unsägliche Frickelei mit Port Forwarding, DMZ usw.
Kann die Fortigate das trägst du die ISP Zugangsdaten auf der Fortigate ein, konfiurierst den WAN Port auf PPPoE und stellst den Speedport mit PPPoE Passthrough über sein Web Setup als einfaches Modem ein.
Somit hast du dann alle Funktionen zentral auf der Fortigate.
Die kann das so oder so besser als der SP und was die LAN und DMZ Ports anbetrifft belässt du es einfach beim Vorschlag von harald21.
Hallo,
die Beschreibung von aqui bzgl. der VLAN's auf der Fortigate ist vollkommen korrekt.
Die Fortigate kann auf allen Interfacen entweder mit einer manuellen IP, IP über DHCP oder mit PPPoE konfiguriert werden. Allerdings habe ich es schon mehrfach erlebt, das man der DSL-Router als Modem konfiguriert, und es trotzdem nicht funktioniert. Ob diese Inkompatibilität jetzt am am verwendeten Modem (Router) oder an der Fortigate liegt kann ich icht sagen, mit dem Transfernetz funktioniert es auf alle Fälle.
mfg
Harald
die Beschreibung von aqui bzgl. der VLAN's auf der Fortigate ist vollkommen korrekt.
Die Fortigate kann auf allen Interfacen entweder mit einer manuellen IP, IP über DHCP oder mit PPPoE konfiguriert werden. Allerdings habe ich es schon mehrfach erlebt, das man der DSL-Router als Modem konfiguriert, und es trotzdem nicht funktioniert. Ob diese Inkompatibilität jetzt am am verwendeten Modem (Router) oder an der Fortigate liegt kann ich icht sagen, mit dem Transfernetz funktioniert es auf alle Fälle.
mfg
Harald
Ersteinmal entschuldigung das ich erst so spät Rückmeldung geben kann.
Hab es zeitlich leider nicht geschafft vorher wieder dran zu gehen.. Die Konfig läuft jetzt
soweit mit der default route. Ebenso hab ich am Speedport Nat Regeln eingerichtet, und brauche ich
ja noch eine Regel das alles eingehende auf dem wan1 interface an wan2 übermittelt wird, das hab
ich auch schonmal eingerichtet, konnte aber den externen zugriff noch nicht testen.
Meine Frage wäre jetzt nur noch wie ich denn von jetzt auf den
für extern bestimmten server ausm "internen" Netz was draufpacken kann. Dafür benötigts
ja sicher auch noch ne route, nur woltle das bislang noch nicht so hinhauen. Geht das überhaupt,
da ja alles interne per default auf wan1 geroutet wird ?
Eine weiteres Problem das sich nun auftut, bzw eine Frage die sich mir stellt:
Wie realisiert man besten den Zugriff für Kunden auf den Fileserver. Anfangs wollte
ich das über einen VPN mit IPsec machen. Nun ist es aber so, dass eine Lösung gewünscht ist,
bei der kein Client beim Kunden installiert werden muss, das ganze also am besten über den
Browser abzurufen wäre. Ach und trotzdem sollte das ganze ein hohes Maß an Sicherheit bieten
und keine unnötigen zsätzlichen Lizenzkosten verschlingen. Er hatte sich halt einfach FTP vorgestellt,
was sich aber meiner Meinung mit der Sicherheit ganz gewaltig beisst, alleine durch die Tatsache das
die Logins samt Pwds plain übertragen werden, und dadurch zumindest als alleinige Lösung ohne weitere
Sicherheitsmaßnahmen ausscheidet.
Nun gut hab mich jetzt noch etwas umgeschaut, und das einzig halbwegs sicher wäre wohl VPN über ssl,
nur find ich bezüglich des Fortigate 50B da widersprüchliche Informationen, in einem Datenblatt ist es vermerkt, in
anderen nicht. Sitz leider auch bis Samstag nicht mehr davor, so dass ich nicht nachschauen kann.
Die Lösungen die z.b. Cisco dafür anbietet sind alles andere als günstig, gerade da man, wie ich
es verstanden habe, für jeden Client eine Lizenz braucht. Stimmt es das man bei Fortigate keine Lizenzen dafür
zahlen muss ? Wenn ja würde sich dann der Umstieg auf einen etwas größeren Fortigate deshalb lohnen, oder gibt es Alternativen, vielleicht ist mein Ansatz ja auch vollkommen daneben.
Wie immer schonmal danke für eure Antworten.
mfg
Hab es zeitlich leider nicht geschafft vorher wieder dran zu gehen.. Die Konfig läuft jetzt
soweit mit der default route. Ebenso hab ich am Speedport Nat Regeln eingerichtet, und brauche ich
ja noch eine Regel das alles eingehende auf dem wan1 interface an wan2 übermittelt wird, das hab
ich auch schonmal eingerichtet, konnte aber den externen zugriff noch nicht testen.
Meine Frage wäre jetzt nur noch wie ich denn von jetzt auf den
für extern bestimmten server ausm "internen" Netz was draufpacken kann. Dafür benötigts
ja sicher auch noch ne route, nur woltle das bislang noch nicht so hinhauen. Geht das überhaupt,
da ja alles interne per default auf wan1 geroutet wird ?
Eine weiteres Problem das sich nun auftut, bzw eine Frage die sich mir stellt:
Wie realisiert man besten den Zugriff für Kunden auf den Fileserver. Anfangs wollte
ich das über einen VPN mit IPsec machen. Nun ist es aber so, dass eine Lösung gewünscht ist,
bei der kein Client beim Kunden installiert werden muss, das ganze also am besten über den
Browser abzurufen wäre. Ach und trotzdem sollte das ganze ein hohes Maß an Sicherheit bieten
und keine unnötigen zsätzlichen Lizenzkosten verschlingen.
Er hatte sich halt einfach FTP vorgestellt,was sich aber meiner Meinung mit der Sicherheit ganz gewaltig beisst, alleine durch die Tatsache das
die Logins samt Pwds plain übertragen werden, und dadurch zumindest als alleinige Lösung ohne weitere
Sicherheitsmaßnahmen ausscheidet.
Nun gut hab mich jetzt noch etwas umgeschaut, und das einzig halbwegs sicher wäre wohl VPN über ssl,
nur find ich bezüglich des Fortigate 50B da widersprüchliche Informationen, in einem Datenblatt ist es vermerkt, in
anderen nicht. Sitz leider auch bis Samstag nicht mehr davor, so dass ich nicht nachschauen kann.
Die Lösungen die z.b. Cisco dafür anbietet sind alles andere als günstig, gerade da man, wie ich
es verstanden habe, für jeden Client eine Lizenz braucht. Stimmt es das man bei Fortigate keine Lizenzen dafür
zahlen muss ? Wenn ja würde sich dann der Umstieg auf einen etwas größeren Fortigate deshalb lohnen, oder gibt es Alternativen, vielleicht ist mein Ansatz ja auch vollkommen daneben.
Wie immer schonmal danke für eure Antworten.
mfg
Ruf doch bei Fortigate in München an und frag mal nach ob die 50er SSL VPNs supportet. Ansonsten hast du ja immer noch die Alternative mit SFTP oder SCP z.B. mit WinSCP. Das ist ja beides nun wohl auch auch hinreichend sicher !! Solche Verrenkungen musst du also gar nicht machen wenn du so einen SCP Server in die DMZ (wan2) hängst.
Ja hab denen schon ne Mail geschrieben, mal schauen was rauskommt.
An SFTP hab ich auch gedacht, da hab ich dann allerdings doch wieder das Problem das die Kunden einen client installieren müssten, soweit ich weiss
beherrschen das out of the box weder der IE noch Firefox.
mfg
An SFTP hab ich auch gedacht, da hab ich dann allerdings doch wieder das Problem das die Kunden einen client installieren müssten, soweit ich weiss
beherrschen das out of the box weder der IE noch Firefox.
mfg
Hallo,
1. Zum Traffic intern --> DMZ: Die Clients aus dem internen Netz senden alles an die Fortigate, da diese dort als "Default Gateway" eingetragen ist. Die Fortigate wiederum kennt ja alle direkt angeschlossenen Netze und kann den Traffic entsprechend routen. Die default Route der Fortigate kommt ja erst zum Einsatz, wenn die Fortigate keine andere Route zum Ziel kennt.
2. Zum Zugriff externer Kunden auf den Fileserver der DMZ: Das kannst du auf verschiedene Arten lösen:
a) IPSec-Tunnel: Dafür benötigst du noch den FortiClient (kostenfrei), allerdings ist eine Installation erforderlich.
b) PPTP-Tunnel: Die PPTP-Clients sind bei den meisten Betriebsystemen (auf jeden Fall ab Windows 2000) bereits enthalten
c) SSL-VPN: Hierbei wird der Tunnel über den Browser aufgebaut, auf dem Client ist (fast) keine Installation nötig. Lediglich ein ActiveX-Plugin muß installiert werden. Alternativ gibt es aber auch einen SSLVPN-Client, mit dem man das bereits vorinstallieren kann.
d) Der Zugriff kann über WebDAV erfolgen: Hierbei wird die Verschlüsselung zwischen dem Browser und dem Webserver auf dem DMZ-System eingerichtet.
3. Lizenzen: Die benötigst du bei Fortigates fast nicht - die Nutzbarkeit der Systeme wird lediglich durch die Leistungsfähigkeit der Hardware begrenzt. Jede Fortigate unterstützt lizenztechnisch eine unbegrenzte Anzahl von Clients.
Als Ausnahmen sind noch folgende Punkte zu erwähnen:
a) Du benötigst selbstverständlich eine Support-Subscription für die Hardware, Firmware-Updates und die Unterstützung bei der Konfiguration
b) Ob du eine Subscription für AV- und IDS-Signaturen, AntiSpam und Webfilter benötigst kannst du selbst entscheiden.
c) Mehrere Fortigates zu einem Cluster zusammenzuschließen geht erst ab der FGT-60B
d) Man kann noch Lizenzen für VDOM's erwerben, falls man mit den bereits integrierten 10 VDOM's nicht auskommt. Das ist nur für große Provider interessant und spielt für dich (sowohl gegenwärtig, als auch zukünftig) keine Rolle.
mfg
Harald
1. Zum Traffic intern --> DMZ: Die Clients aus dem internen Netz senden alles an die Fortigate, da diese dort als "Default Gateway" eingetragen ist. Die Fortigate wiederum kennt ja alle direkt angeschlossenen Netze und kann den Traffic entsprechend routen. Die default Route der Fortigate kommt ja erst zum Einsatz, wenn die Fortigate keine andere Route zum Ziel kennt.
Geht das überhaupt, da ja alles interne per default auf wan1 geroutet wird ?
Wird es eben nicht. 2. Zum Zugriff externer Kunden auf den Fileserver der DMZ: Das kannst du auf verschiedene Arten lösen:
a) IPSec-Tunnel: Dafür benötigst du noch den FortiClient (kostenfrei), allerdings ist eine Installation erforderlich.
b) PPTP-Tunnel: Die PPTP-Clients sind bei den meisten Betriebsystemen (auf jeden Fall ab Windows 2000) bereits enthalten
c) SSL-VPN: Hierbei wird der Tunnel über den Browser aufgebaut, auf dem Client ist (fast) keine Installation nötig. Lediglich ein ActiveX-Plugin muß installiert werden. Alternativ gibt es aber auch einen SSLVPN-Client, mit dem man das bereits vorinstallieren kann.
d) Der Zugriff kann über WebDAV erfolgen: Hierbei wird die Verschlüsselung zwischen dem Browser und dem Webserver auf dem DMZ-System eingerichtet.
3. Lizenzen: Die benötigst du bei Fortigates fast nicht - die Nutzbarkeit der Systeme wird lediglich durch die Leistungsfähigkeit der Hardware begrenzt. Jede Fortigate unterstützt lizenztechnisch eine unbegrenzte Anzahl von Clients.
Als Ausnahmen sind noch folgende Punkte zu erwähnen:
a) Du benötigst selbstverständlich eine Support-Subscription für die Hardware, Firmware-Updates und die Unterstützung bei der Konfiguration
b) Ob du eine Subscription für AV- und IDS-Signaturen, AntiSpam und Webfilter benötigst kannst du selbst entscheiden.
c) Mehrere Fortigates zu einem Cluster zusammenzuschließen geht erst ab der FGT-60B
d) Man kann noch Lizenzen für VDOM's erwerben, falls man mit den bereits integrierten 10 VDOM's nicht auskommt. Das ist nur für große Provider interessant und spielt für dich (sowohl gegenwärtig, als auch zukünftig) keine Rolle.
mfg
Harald
