9
Fortigate 60 hinter DD-WRT Router
Hallo zusammen,
folgende Problematik:
Ein Bekannter hat sich eine Fortigate 60 gekauft. Jetzt wollte er das ganze an seinen Privaten DSL Anschluss nutzen. Problem hierbei ist das scheinbar die Fortigate nicht mit Dynamischer IP seitens des ISP arbeiten kann. Jetzt hab ich Ihm vorgeschlagen das er doch die Fortigate an seinen bestehenden DD-WRT Router hängen sollte. Wobei zukünftig sämtliche Clients über die Fortigate ins Web gehen sollen.
Gesagt getan.
Wenn er jetzt die Clients an die Fortigate anbindet kann er zwar den DD-WRT Router pingen aber kein ping bzw. keine Namensauflösung ins Web funktioniert.
1.Frage
Hat jemand evtl. eine andere Lösung für das Problem?
2.Frage
Wenn das so funktionieren würde könnte man dann über einen DDNS Eintrag auf dem DD-WRT Router auf das SSL-VPN(portforwarding usw.) der Fortigate zugreifen?
3.Frage
Hat evtl. jemand so etwas in der Art schon mal gemacht? Wenn ja wie müsste in etwa die config für die Fortigate aussehen?
Danke im voraus!
PS. Rechtschreibung gehört definitiv nicht zu meinen stärken.
folgende Problematik:
Ein Bekannter hat sich eine Fortigate 60 gekauft. Jetzt wollte er das ganze an seinen Privaten DSL Anschluss nutzen. Problem hierbei ist das scheinbar die Fortigate nicht mit Dynamischer IP seitens des ISP arbeiten kann. Jetzt hab ich Ihm vorgeschlagen das er doch die Fortigate an seinen bestehenden DD-WRT Router hängen sollte. Wobei zukünftig sämtliche Clients über die Fortigate ins Web gehen sollen.
Gesagt getan.
Wenn er jetzt die Clients an die Fortigate anbindet kann er zwar den DD-WRT Router pingen aber kein ping bzw. keine Namensauflösung ins Web funktioniert.
1.Frage
Hat jemand evtl. eine andere Lösung für das Problem?
2.Frage
Wenn das so funktionieren würde könnte man dann über einen DDNS Eintrag auf dem DD-WRT Router auf das SSL-VPN(portforwarding usw.) der Fortigate zugreifen?
3.Frage
Hat evtl. jemand so etwas in der Art schon mal gemacht? Wenn ja wie müsste in etwa die config für die Fortigate aussehen?
Danke im voraus!
PS. Rechtschreibung gehört definitiv nicht zu meinen stärken.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 138694
Url: https://administrator.de/forum/fortigate-60-hinter-dd-wrt-router-138694.html
Ausgedruckt am: 17.04.2025 um 05:04 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
das hängt im wesentlichen davon ab welche Fortigate 60 dein bekannter gekauft hat.
Fortigate 60 a (ADSL) siehe hier, sollte funktionieren.
Fortigate 60b geht anscheinend nicht!
(selber link, beide Geräte sind aufgelistet)
brammer
das hängt im wesentlichen davon ab welche Fortigate 60 dein bekannter gekauft hat.
Fortigate 60 a (ADSL) siehe hier, sollte funktionieren.
Fortigate 60b geht anscheinend nicht!
(selber link, beide Geräte sind aufgelistet)
brammer
Hallo,
ich nehme an, das dein Bekannter eine Fortigate-60 und nicht das neuere Modell Fortigate-60B besitzt.
Welche Firmware ist denn auf dem Gerät installiert? Die aktuellste Version für dei fortigate-60 ist FortiOS 3.00 MR7patch9 (build 753)
Für den Internetzugang kann dein Bekannter die Fortigate direkt an sein DSL-Model anschließen und die Zugangsdaten in der Fortigate unter System --> Network bei dem entsprechenden Interface eintragen.
Alternativ kann er aber auch den DD-WRT-Router für den Internetzugang benutzen, dann muß er ein Transfernetz zwischen dem Router und der Fortigate einrichten. Dabei wird am Router die IP-Adresse der Fortigate als "DMZ-PC" eingetragen, und auf der Fortigate der Router als "Default Gateway"
Jetzt zu deinen Fragen:
1. Siehe oben.
2. Das sollte zu realisieren sein.
3. Beide Varianten wurden bereits mehrfach eingerichtet.
Ich würde Variante A (direkter Internetzugang über die Fortigate) bevorzugen, da das einfacher einzurichten ist. Dein Bekannter benötigt dann einfach nur ein DSL-Modem.
mfg
Harald
ich nehme an, das dein Bekannter eine Fortigate-60 und nicht das neuere Modell Fortigate-60B besitzt.
Welche Firmware ist denn auf dem Gerät installiert? Die aktuellste Version für dei fortigate-60 ist FortiOS 3.00 MR7patch9 (build 753)
Für den Internetzugang kann dein Bekannter die Fortigate direkt an sein DSL-Model anschließen und die Zugangsdaten in der Fortigate unter System --> Network bei dem entsprechenden Interface eintragen.
Alternativ kann er aber auch den DD-WRT-Router für den Internetzugang benutzen, dann muß er ein Transfernetz zwischen dem Router und der Fortigate einrichten. Dabei wird am Router die IP-Adresse der Fortigate als "DMZ-PC" eingetragen, und auf der Fortigate der Router als "Default Gateway"
Jetzt zu deinen Fragen:
1. Siehe oben.
2. Das sollte zu realisieren sein.
3. Beide Varianten wurden bereits mehrfach eingerichtet.
Ich würde Variante A (direkter Internetzugang über die Fortigate) bevorzugen, da das einfacher einzurichten ist. Dein Bekannter benötigt dann einfach nur ein DSL-Modem.
mfg
Harald
Hi,
setzen ebenfalls Fortigate 60B, 110C aktuell ein. Transfernetz ist für uns lebenswichtig, da Kunden SDSL mit Cisco/ QSC One Hardware haben. Generell kommt die Fortigate damit sehr gut klar. Sonst hätte wir keine Möglichkeit, das Kundennetzwerk zu administrieren.
Beschreib doch mal, wie dei Kumpel vorgegangen ist. Was schon alles unter Network und Firewall eingerichtet ist. Kann nachher mal auf unseren FGs schauen, wo da im einzelnen was zu finden ist. Betrifft dann aber 60B bzw. 110C. Sollte aber größtenteils 1:1 übertragbar sein.
Wo hat er die eigentlich her? Wenn die Gebraucht und aus der Garantie ist, dann wird er vermutlich Virensignaturen, etc. nicht mehr aktualisieren können. Dazu benötigt man Forticare Pakete, die verdammt teuer - für Privatpersonen - sind.
mfg Crusher
setzen ebenfalls Fortigate 60B, 110C aktuell ein. Transfernetz ist für uns lebenswichtig, da Kunden SDSL mit Cisco/ QSC One Hardware haben. Generell kommt die Fortigate damit sehr gut klar. Sonst hätte wir keine Möglichkeit, das Kundennetzwerk zu administrieren.
Beschreib doch mal, wie dei Kumpel vorgegangen ist. Was schon alles unter Network und Firewall eingerichtet ist. Kann nachher mal auf unseren FGs schauen, wo da im einzelnen was zu finden ist. Betrifft dann aber 60B bzw. 110C. Sollte aber größtenteils 1:1 übertragbar sein.
Wo hat er die eigentlich her? Wenn die Gebraucht und aus der Garantie ist, dann wird er vermutlich Virensignaturen, etc. nicht mehr aktualisieren können. Dazu benötigt man Forticare Pakete, die verdammt teuer - für Privatpersonen - sind.
mfg Crusher
Hallo,
danke ersmtal für die schnelle Ersthilfe.
@brammer
Es handelt sich um eine Fortigate-60
@harald21
Auf der Fortigate-60 ist die Firmware Version FortiOS 3.00 MR7patch9 (build 753)
@Crusher79
Soweit ich weis hat er nur auf dem WAN Port 1 eine IP aus dem Netz des DD-WRT Routers eingetragen.
Er hat sich das Ding über eBay ersteigert wegen der SSL-VPN Funktion.
Hab die Config von der Fortigate selber noch nicht gesehen bzw. hatte vorher noch nicht mit den Produkten von Fortinet was zu tun.
Werde mir das ganze morgen mal zu gemüte führen.
Eine Frage hätte ich noch.
Kann die Fortigate-60 mit einer dynamischen IP vom ISP umgehen oder gehen nur statische IP Adressen?
danke ersmtal für die schnelle Ersthilfe.
@brammer
Es handelt sich um eine Fortigate-60
@harald21
Auf der Fortigate-60 ist die Firmware Version FortiOS 3.00 MR7patch9 (build 753)
@Crusher79
Soweit ich weis hat er nur auf dem WAN Port 1 eine IP aus dem Netz des DD-WRT Routers eingetragen.
Er hat sich das Ding über eBay ersteigert wegen der SSL-VPN Funktion.
Hab die Config von der Fortigate selber noch nicht gesehen bzw. hatte vorher noch nicht mit den Produkten von Fortinet was zu tun.
Werde mir das ganze morgen mal zu gemüte führen.
Eine Frage hätte ich noch.
Kann die Fortigate-60 mit einer dynamischen IP vom ISP umgehen oder gehen nur statische IP Adressen?
Hallo,
die Fortigate kann auf den Interfacen auf verschiedene Arten konfiguriert werden:
1. "Manuell", d.h. manuell eingetragene statische IP
2. "DHCP", d.h. die Fortigate erhält ihre IP über einen DHCP-Server aus dem an diesem Interface angeschlossenen Netzwerk.
3. "PPPoE", d.h. hier muß an das Interface noch ein DSL-Modem angeschlossen werden. Auf der Fortigate sind dann die Zugangsdaten des Providers einzutragen. Man erhält dann von Provider eine IP zugewiesen (entweder dynamisch oder statisch, je nach Vertrag). Hier kann man dann auch einen DynDNS-Account (muß bereits existieren) angeben, um dort die Namensauflösung zu konfigurieren.
Die Fortigate ist zwar relativ einfach zu konfigurieren (wg. dem übersichtlichen Webinterface), das Einrichten eines SSL-VPN ist allerdings eine der schwierigeren Aufgaben.
mfg
Harald
die Fortigate kann auf den Interfacen auf verschiedene Arten konfiguriert werden:
1. "Manuell", d.h. manuell eingetragene statische IP
2. "DHCP", d.h. die Fortigate erhält ihre IP über einen DHCP-Server aus dem an diesem Interface angeschlossenen Netzwerk.
3. "PPPoE", d.h. hier muß an das Interface noch ein DSL-Modem angeschlossen werden. Auf der Fortigate sind dann die Zugangsdaten des Providers einzutragen. Man erhält dann von Provider eine IP zugewiesen (entweder dynamisch oder statisch, je nach Vertrag). Hier kann man dann auch einen DynDNS-Account (muß bereits existieren) angeben, um dort die Namensauflösung zu konfigurieren.
Die Fortigate ist zwar relativ einfach zu konfigurieren (wg. dem übersichtlichen Webinterface), das Einrichten eines SSL-VPN ist allerdings eine der schwierigeren Aufgaben.
mfg
Harald
Bin nocht nicht dazu gekommen, mal kurz zu spicken.
SSL-VPN läuft aber auf sämtlichen "meiner" FG. Ganz so schwierig ist es nicht .Man benötigt nur den FortiClient. Den bekommt man im DL Bereich des Herstellers. Da es über Firma läuft, hab ich ka ob sich jeder dort registrieren und Firmware, Software runterladen kann oder ob man FG vorher registrieren muss.
Mit dem Client ist es relativ einfach. Problematisch sind nur Zertifikate. Aber man kann auch nur mit PSK arbeiten. Hatten kürlich Probleme. Generierstes Zertifikat lief unter Windows, aber Linux und Mac wollten keine Verbindung aufbauen.
mfg Crusher
SSL-VPN läuft aber auf sämtlichen "meiner" FG. Ganz so schwierig ist es nicht .Man benötigt nur den FortiClient. Den bekommt man im DL Bereich des Herstellers. Da es über Firma läuft, hab ich ka ob sich jeder dort registrieren und Firmware, Software runterladen kann oder ob man FG vorher registrieren muss.
Mit dem Client ist es relativ einfach. Problematisch sind nur Zertifikate. Aber man kann auch nur mit PSK arbeiten. Hatten kürlich Probleme. Generierstes Zertifikat lief unter Windows, aber Linux und Mac wollten keine Verbindung aufbauen.
mfg Crusher
Hallo,
hat soweit alles bestens funktioniert. War nach euren Tipps relativ einfach.
Hab als erstes die Fortigate direkt ans DSL Modem gehängt.
Danach wollte ich unbedingt meine Idee noch ausprobieren und hat auch sofort funktioniert.
Jetzt steht die Lösung DD-WRT danach Fortigate.
@harald21
Jetzt bin ich an dem schwierigen Punkt angekommen.
1. DynDNS funktioniert
2. Portforwarding auf den SSL-Port der Fortigate müsste nur noch aktiv gesetzt werden
Hab jetzt im Web mehrer Anleitungen zum Thema SSL-VPN (Fortigate Docs usw.) gefunden.
Leider hab ich jetzt noch keine passende Lösung für die X.509 Zertifikate gefunden.
Hat jemand von euch eine kurze Anleitungen zu diesen Thema?
Wenn es sowas gibt würde ich auch eine komplette Lösung nehmen.
hat soweit alles bestens funktioniert. War nach euren Tipps relativ einfach.
Hab als erstes die Fortigate direkt ans DSL Modem gehängt.
Danach wollte ich unbedingt meine Idee noch ausprobieren und hat auch sofort funktioniert.
Jetzt steht die Lösung DD-WRT danach Fortigate.
@harald21
Jetzt bin ich an dem schwierigen Punkt angekommen.
1. DynDNS funktioniert
2. Portforwarding auf den SSL-Port der Fortigate müsste nur noch aktiv gesetzt werden
Hab jetzt im Web mehrer Anleitungen zum Thema SSL-VPN (Fortigate Docs usw.) gefunden.
Leider hab ich jetzt noch keine passende Lösung für die X.509 Zertifikate gefunden.
Hat jemand von euch eine kurze Anleitungen zu diesen Thema?
Wenn es sowas gibt würde ich auch eine komplette Lösung nehmen.
Hallo;
hier mal ein Beispiel zur Konfiguration des Transfer-Netzes DD-WRT - Fortigate:
DD-WRT wan-Port: Dyn. IP vom Provider + DynDNS-Namensauflösung
DD-WRT lan-Port: 192.168.2.1
FGT wan-Port: 192.168.2.2
FGT lan-Port: 192.168.10.1
DD-WRT DMZ-PC: 192.168.2.2
FGT default Router: 192.168.2.1
mfg
Harald
hier mal ein Beispiel zur Konfiguration des Transfer-Netzes DD-WRT - Fortigate:
DD-WRT wan-Port: Dyn. IP vom Provider + DynDNS-Namensauflösung
DD-WRT lan-Port: 192.168.2.1
FGT wan-Port: 192.168.2.2
FGT lan-Port: 192.168.10.1
DD-WRT DMZ-PC: 192.168.2.2
FGT default Router: 192.168.2.1
mfg
Harald
Hallo,
vielleicht habt ich das ganze falsch rüber gebracht.
DD-WRT - Fortigate funktioniert perfekt.
Mein Problem liegt jetzt bei dem SSL-VPN.
Hab leider ein problem beim erstellen der X.509 Zertifikate.
Momentan hab ich leider keine Windows PKI zur verfügung zum ausstellen der Zertifikate.
mfg
elbart0
vielleicht habt ich das ganze falsch rüber gebracht.
DD-WRT - Fortigate funktioniert perfekt.
Mein Problem liegt jetzt bei dem SSL-VPN.
Hab leider ein problem beim erstellen der X.509 Zertifikate.
Momentan hab ich leider keine Windows PKI zur verfügung zum ausstellen der Zertifikate.
mfg
elbart0
