temuco
Goto Top

Fortigate 60C - Datenverkehr zu bestimmten Adressen über WAN2 leiten

Hallo!

Wir haben eine Fortigate 60C, die über WAN1 sich über ein DSL-Modem ins Internet einwählt. Funktioniert auch seit Jahren problemlos, auch wenn die Verbindung etwas schmal dimensioniert ist.

Nun soll der firmeneigene Exchange-Server aufgegeben und statt dessen die gesamte E-Mail-Kiste in die Cloud zu einem externen Provider portiert/umgezogen werden. Dazu reicht aber die Bandbreite nicht, so dass ein bestehendes CompanyConnect für SAP von 2 auf 5 Mbit in beiden Richtungen aufgerüstet wurde.

Die Telekom hat einen Cisco-Router (800 Series) an ihr Modem angeschlossen. Laut Telekom ist der Router auf "Durchzug" geschaltet und er hat einen Adressbereich von 6 IP-Adressen: xxx.xxx.xxx.1 bis xxx.xxx.xxx.6. – An diesen Router kommen wir nicht heran (Black-Box von der Telekom). Er hat die IP-Adresse .1

Ein zweiter Cisco-Router (1800 Series), der ausschließlich für SAP konfiguriert ist, hat die IP-Adresse .2, so dass 3 bis 6 noch frei sind. An diesen Router kommen wir auch nicht heran, da er vom SAP-Dienstleister verwaltet wird.

Nun zum eigenen Problem:

Wir haben eine Adresse erhalten, sagen wir "email.dienstleister.tld", die über die CompanyConnect-Leitung geroutet werden sollte. Nun würde ich gerne wissen, wie ich das mit der Fortigate am besten realisiere. Folgendes habe ich bisher eingestellt:

WAN2
Addressing mode: manual
IP/Netmask: xxx.xxx.xxx.3/255.255.255.255

Policy internal -> WAN1
Source: Internes_Netzwerk
Destination: E-Mail-Dienstleister
Service: ANY
Action: DENY

Damit will ich auf jeden Fall vermeiden, dass diese Adresse über WAN1 bedient wird.

Policy internal -> WAN2

Source: Internes_Netzwerk
Destination: E-Mail-Dienstleister
Service: ANY
Action: ACCEPT

Natürlich sind die Adressen "Internes_Netzwerk" und "E-Mail-Dienstleister" im Bereich Address->Address bzw. Address->Group angelegt.

Reicht das oder habe ich was vergessen oder gar ganz falsch gemacht? Ich frage deswegen, da ich heute genau das über Fernwartung versucht habe, allerdings erfolglos. Ein Kollege versicherte mir telefonisch, dass WAN2 mit dem Cisco-Router der Telekom verbunden sei, so dass man ihn eigentlich erreichen sollte.

Eigentlich sollte die Fortigate anhand der Policies wissen, dass der Datenverkehr zu dem E-Mail-Dienstleister über WAN1 verboten ist und b) nur über WAN2 erfolgen sollte.

Hier ein vereinfachtes Schaubild der jetzigen Konstelation:

215de3df1bea508ed5a9bb8f3f904de0

Es wäre toll, wenn jemand sich meinen Beitrag kurz anschaut und mir sagen könnte, ob es so funktionieren kann, bevor ich weiter forsche oder die Verkabelung überprüfen lasse.

Im Voraus herzlichen Dank!

temuco

Content-ID: 206798

Url: https://administrator.de/forum/fortigate-60c-datenverkehr-zu-bestimmten-adressen-ueber-wan2-leiten-206798.html

Ausgedruckt am: 26.12.2024 um 02:12 Uhr

djfflow
djfflow 22.05.2013 um 09:15:07 Uhr
Goto Top
Hallo,

ich vermute du musst ncoh eine Route einrichten, sodass die Adressen zu E-Mail-Dienstleister über WAN2 gehen.
Allein durch die Policy weiß die Fortigate ja noch nicht wo E-Mail-Dienstleister zu erreichen ist.
temuco
temuco 22.05.2013 um 10:21:51 Uhr
Goto Top
Zitat von @djfflow:
Hallo,

ich vermute du musst ncoh eine Route einrichten, sodass die Adressen zu E-Mail-Dienstleister über WAN2 gehen.
Allein durch die Policy weiß die Fortigate ja noch nicht wo E-Mail-Dienstleister zu erreichen ist.

Herzlichen Dank! Routen kann ich aber nur auf IP-Ebene vergeben und vom Dienstleister haben wir nur eine FQDN, deren IP-Adresse sich ändern kann. OK, ich versuche es mit der jetzt gültigen IP-Adresse. Wenn diese sich später ändert, dann hat man eben keine E-Mails mehr, solange die Route nicht angepasst wurde... face-smile

Was mich aber wundert, ist die Tatsache, dass die Fortigate nicht auf Pinganfragen auf WAN2 antwortet – auf WAN1 ja.
kontext
kontext 22.05.2013, aktualisiert am 19.05.2016 um 10:02:52 Uhr
Goto Top
Zitat von @temuco:
> Zitat von @djfflow:
Was mich aber wundert, ist die Tatsache, dass die Fortigate nicht auf Pinganfragen auf WAN2 antwortet – auf WAN1 ja.

Hast du den PING auf WAN2 freigeschaltet?
Das kann man, wenn ich mich richtig erinnere, direkt beim Interface machen ...

Gruß
@kontext
temuco
temuco 22.05.2013 aktualisiert um 10:32:50 Uhr
Goto Top
Zitat von @kontext:
Hast du den PING auf WAN2 freigeschaltet?
Das kann man, wenn ich mich richtig erinnere, direkt beim Interface machen ...

Eigentlich schon, aber ich schaue gerne nochmals nach.

Edit: Ja, freigeschaltet.

Ich habe hier (auch im Eingangsposting) eine kleine vereinfachte Skizze des jetziges Netzwerkaufbaus:

215de3df1bea508ed5a9bb8f3f904de0
Dirmhirn
Dirmhirn 22.05.2013 um 12:33:37 Uhr
Goto Top
Hi!

IP/Netmask: xxx.xxx.xxx.3/255.255.255.255
die Netmask ist falsch, so sitzt die IP ja alleine im Subnetz.

sg Dirm
temuco
temuco 22.05.2013 um 12:58:52 Uhr
Goto Top
Zitat von @Dirmhirn:
Hi!

IP/Netmask: xxx.xxx.xxx.3/255.255.255.255
die Netmask ist falsch, so sitzt die IP ja alleine im Subnetz.

Das ist ja die IP-Adresse des Interfaces – die von WAN2. Ich bin immer still davon ausgegangen, dass diese die Maske 255.255.255.255 haben muss. Nun habe ich testhalber die Maske 255.255.255.248 verwendet, ändert sich aber nichts.
Dirmhirn
Dirmhirn 22.05.2013 um 13:09:35 Uhr
Goto Top
kannst du die .3 nicht mal Pingen? kann dein Kollege sich einmal direkt anhängen und pingen?
kannst du die .1 an dem Laborswitch pingen?

btw. hast du in der Skizze eh eine falsche IP hingeschrieben face-wink
temuco
temuco 22.05.2013 um 13:18:50 Uhr
Goto Top
Zitat von @Dirmhirn:
kannst du die .3 nicht mal Pingen? kann dein Kollege sich einmal direkt anhängen und pingen?

Der Kollege kann das leider nicht. Ich werde daher morgen hinfahren, um es selbst zu machen.

Zitat von @Dirmhirn:
kannst du die .1 an dem Laborswitch pingen?

Ja. Der Telekom-Router antwortet darauf.

Zitat von @Dirmhirn:
btw. hast du in der Skizze eh eine falsche IP hingeschrieben face-wink

Welche?
Dirmhirn
Dirmhirn 22.05.2013 um 14:45:45 Uhr
Goto Top
> Zitat von @Dirmhirn:
> ----
> btw. hast du in der Skizze eh eine falsche IP hingeschrieben face-wink

Welche?

eure externe, weil du sie im Post ausgeixt hast.

du musst eine Route einrichten, so werden die Pakete einfach blockiert - der Client sendet sie ja ans Std-Gateway.

btw. was sagen eigentlich die Logs?
werden die Pakete geblockt? oder kommen sie gar nie an der FGT an? du kannst bei den Rules auch angeben, dass sie geloggt werden.

sg Dirm
exchange
exchange 23.05.2013 um 22:11:46 Uhr
Goto Top
Hallo,
also mit der .255er Maske wird das nichts.
von .1 bis .6 nutzbarer IP Raum ist eine 29 Bit Maske und die hat die Maske von 255.255.255.248.

Was hat denn der DNS Name "email.dienstleister.tld" für eine IP Adresse? Für diese IP Adresse musst Du ein Routing einstellen. Dort darfst Du dann auch deine .255 Maske benutzen face-smile

Policys testweise erstmal auf Any Any Accept.

Kann ja sein, dass ich schon zu Müde bin aber die Skizze verstehe ich ganz. Ist auf der LWL Strecke ein VLAN oder hast Du gnadenlos alles auf der Leitung? Was ist dein eigentliches LAN Netz?

Im Grunde hast Du doch 2 WAN Leitungen und eine, ich vermute, VPN Strecke für dein SAP. Die WAN Leitungen auf WAN1 und WAN2 . Den SAP Router kannst Du an die Company Connect direkt dran hängen. Dann einen Port von dem Router direkt auf die FG. Auf der 60C kannst Du den Switch auftrennen und jeden Port getrennt konfigurieren.

Gruß
temuco
temuco 24.05.2013 um 13:00:35 Uhr
Goto Top
Danke! Komme erst jetzt dazu, dir zur antworten.

Ich habe folgende Einstellungen vorgenommen:

WAN2
IP/Netmask: 80.149.94.3/255.255.255.248

Statische Route
aaa.bbb.ccc.ddd/255.255.255.255 wobei diese die Adresse des Dienstleisters ist ("email.dienstleister.tld"). Ich darf sie leider nicht weitergeben, sonst bekomme ich Ärger.

Internal->WAN1
Firewall-Policy testhalber alles auf ACDCEPT.

Internal->WAN2
Firewall-Policy testhalber alles auf ACDCEPT.

Nun kann ich jetzt die FG60C anpingen (80.149.94.3), nicht jedoch den CISCO-Router (80.149.94.1) - Nach Durchsicht der Logs konnte ich auch nichts finden.

Kann ja sein, dass ich schon zu Müde bin aber die Skizze verstehe
ich ganz. Ist auf der LWL Strecke ein VLAN oder hast Du gnadenlos
alles auf der Leitung? Was ist dein eigentliches LAN Netz?

Keine virtuelle LANs. Zunächst ging es nur darum, den Zugriff auf SAP über den SAP-Router (ist über VPN mit dem SAP-Dienstleister verbunden), den Telekom-Router (stellte die Telekom als Black-Box zur Verfügung) und das Modem für das CompanyConnect zu ermöglichen. Dazu wird über DHCP einfach eine Route an die Clients verteilt.

Nun soll jetzt das CompanyConnect zuusätzlich für die Clud basierende E-Mail-Lösung mit verwendet werden.

Im Grunde hast Du doch 2 WAN Leitungen und eine, ich vermute, VPN
Strecke für dein SAP.

Ja, richtig. Siehe vorigen Text.

Die WAN Leitungen auf WAN1 und WAN2 . Den SAP Router
kannst Du an die Company Connect direkt dran hängen.
Dann einen Port von dem Router direkt auf die FG. Auf der 60C
kannst Du den Switch auftrennen und jeden Port getrennt
konfigurieren.

Kann ich alles nicht:

SAP-Router: Stellt der SAP-Dienstleister zur Verfügung und darf für sonst nichts zusätzlich verwendet werden. Nur ein Port ist aktiv, während die anderen abgeschaltet wurden. Wir haben nicht einmal einen Zugang zu diesem Gerät, um ihn eventuell umkonfigurieren zu können. Auch richtig, wenn der SAP-Dienstleister für Datenschutz und -integrität haftet.

Telekom-Router: Auch dieser ist kastriert. Nur ein Port ist freigeschaltet, während die anderen alle gesperrt wurden. Zugang zum Gerät rückt die Telekom nicht raus, so dass es ebenfalls als Black-Box anzusehen ist. Wir wissen nur den Adressbereich (die bereits beschriebenen 6 Adressen) und dass er auf "Durchzug" geschaltet ist. Wozu dann ein Router? Das weiß sicher die Telekom.

Das DSL-Modem hat zwei LAN-Schnittstellen, aber wie du schon vermuten wirst, nur eine ist aktiv!

Daher die Mimik über den kleinen 8-Port-Switch.

Das alles, um für Klarheit zu sorgen.

Nun weiß ich jetzt aber langsam nicht weiter. Ich erreiche über WAN2 den Telekom-Router nicht. SSchalte ich WAN2 und stelle ich den ursprünglichen Zustand wieder her, kann ich ihn anpingen. Also die Verkabelung ist OK, meine Konfiguration jedoch nicht. Daher freue ich mich über jede Hilfe.

Nochmals vielen Dank!

temuco
temuco
temuco 04.06.2013 um 22:19:24 Uhr
Goto Top
Ich greife das Thema nach einer aus privaten Gründen bedingten Pause wieder auf, denn es gelingt mir einfach nicht, den Datenverkehr zu einer bestimmten Adresse über WAN2 zu leiten. Daher brauche ich unbedingt eure Hilfe.

Was ich bisher eingestellt habe:

IP/Mask WAN2: 80.149.94.3/255.255.255.248

Ich kann sowohl den Telekom-Router (80.149.94.1) wie auch WAN2 der FG (80.149.94.3) anpingen – die sind also erreichbar.

Ich habe es mit einer statischen und einer "Policy" Route versucht:

Statische Route:

Destination IP/Mask: E-Mail-Dienstleister/255.255.255.255
Device: wan2
Gateway: 80.149.94.1
Distance: 10
Priority: 0

Policy-Route:

If incoming traffic matches:
Protocol: 0
Incoming interface: internal
Source address / mask: 192.168.1.0/255.255.255.0
Destination address / mask: E-Mail-Dienstleister/255.255.255.255
Destination Ports From: 1 To: 65535
Type of Service bit pattern: 00 (hex) bit mask: 00 (hex)
Force traffic to:
Outgoing interface: wan2
Gateway Address: 80.149.94.1

Folgende Firewall-Regeln sind angelegt:

Policy internal -> WAN1
Source: 192.168.1.0/255.255.255.0
Destination:0.0.0.0/0.0.0.0
Service: ANY
Action: ACCEPT

Policy internal -> WAN2
Source: 192.168.1.0/255.255.255.0
Destination: E-Mail-Dienstleister
Service: ANY
Action: ACCEPT

Trotzdem geht der Datenverkehr über WAN1 raus, wenn ich die Adresse des E-Mail-Dienstleisters angebe.

Irgendwie stehe ich auf dem Schlauch und benötige eure Hilfe. Was muss ich noch einstellen, damit der Datenverkehr zum E-Mail-Dienstleister über WAN2 rausgeht?

Herzlichen Dank!

temuco
Dirmhirn
Dirmhirn 11.06.2013 um 17:40:24 Uhr
Goto Top
Hi!

funktioniert's schon?

hast du schon mal das logging aktiviert bei den Policies? greifen die?
lösen die Clients die IP richtig auf?

sg Dirm
temuco
temuco 12.06.2013 um 11:42:35 Uhr
Goto Top
Ich konnte erst am Sonntag wieder ran. Ich habe alle vorgenommenen Einstellungen gelöscht und diese wieder eingepflegt und plötzlich ging es. Woran es lag, dass es früher nicht lief, mag ich nicht sagen. Was habe ich gemacht? Das, was ich bereits beschrieben habe!

Was ich nicht verstehe, ist die Tatsache, dass zur statischen Route (ich will den ganzen Datenverkehr zu einer bestimmten Adresse über WAN2 leiten), noch eine Policy-Route notwendig ist, die alles mit einschließt. Ich bin immer davon ausgegangen, wenn ich alles über WAN2 will, dass die statische ausreichend ist.

Nun funktioniert es jetzt, so wie ich es mir immer vorstellte.

An dieser Stelle herzlichen Dank an alle, die mir bei der Lösungsfindung geholfen haben!

Herzliche Grüße

temuco
kontext
kontext 12.06.2013, aktualisiert am 19.05.2016 um 10:02:43 Uhr
Goto Top
Hallo temuco,

naja ab und zu sieht man den Wald vor lauter Bäumen nicht ...
... das kann ein kleiner Konfigurationsfehler gewesen sein
... ein vergessener Haken oder ein Haken zuviel und nichts funktioniert mehr

Da ist es ab und zu besser, so wie du es jetzt gemacht hast, alles zurück auf Anfang und nochmals beginnen.

Bitte nun auch noch die Frage als gelöst markieren ( und alle sind glücklich face-smile

Gruß
@kontext