11
FortiGate 80C - Juniper SRX220 - Site to Site IPsec
Hallo liebes Forum,
wir haben eine FortiGate 80C und wollen eine "Site to Site IPsec" Verbindung herstellen.
Auf der anderen Seite steht eine Juniper SRX220.
Laut "IPsec Monitor" auf der FortiGate 80C ist die Verbindung online.
Die Juniper SRX220 zeigt auch an, dass die Verbindung steht.
Auf unserer FortiGate 80C ist auch das Routing auf das andere Netzwerk eingestellt.
Leider können wir aber keine Daten zwischen den beiden Netzwerken austauschen.
FortiGate 80C (192.168.55.0/24) <----- Internet -----> Juniper SRX220 (192.168.1.0/24)
Hier stimmt bestimmt etwas mit dem Routing nicht. Ich kenne mich aber mit der Juniper SRX220 nicht besonders gut aus.
Es wäre super, wenn mir einer von euch helfen könnte.
Gruß
wir haben eine FortiGate 80C und wollen eine "Site to Site IPsec" Verbindung herstellen.
Auf der anderen Seite steht eine Juniper SRX220.
Laut "IPsec Monitor" auf der FortiGate 80C ist die Verbindung online.
Die Juniper SRX220 zeigt auch an, dass die Verbindung steht.
Auf unserer FortiGate 80C ist auch das Routing auf das andere Netzwerk eingestellt.
Leider können wir aber keine Daten zwischen den beiden Netzwerken austauschen.
FortiGate 80C (192.168.55.0/24) <----- Internet -----> Juniper SRX220 (192.168.1.0/24)
Hier stimmt bestimmt etwas mit dem Routing nicht. Ich kenne mich aber mit der Juniper SRX220 nicht besonders gut aus.
Es wäre super, wenn mir einer von euch helfen könnte.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 627418
Url: https://administrator.de/contentid/627418
Printed on: April 27, 2024 at 15:04 o'clock
11 Comments
Latest comment
Wie muss man sich das vorstellen mit "ist auch das Routing auf das andere Netzwerk eingestellt"
Wie ist der Output für eine Traceroute von A nach B und von B nach A?
Wie ist der Output für eine Traceroute von A nach B und von B nach A?
Auf unserer FortiGate 80C ist auch das Routing auf das andere Netzwerk eingestellt.
Wenn damit statische Routen gemeint sind ist das Unsinn und auch kontraproduktiv wie oben schon erwähnt.Die Routes werden bei IPsec VPNs automatisch über die Phase 2 SAs übertragen.
Es ist zu 98% ziemlich sicher das es deshalb am IP Routing selber nicht liegen kann.
Wie vermutlich immer liegt es an fehlenden Firewall Regeln die die VPN Netze passieren lassen.
Hallo "IT-Prof" und "aqui".
Erstmal vielen Dank für die Antwort.
Ja, ich meinte die statischen Routen.
Hier habe ich mich nur an diverse Anleitungen im Internet gehalten.
Dort wird immer auf der FortiGate noch die statische Route eingerichtet.
Ein Traceroute schlägt ohne Ergebnis fehl.
Die Firewall auf der FortiGate ist entsprechend eingerichtet. Da sollte es keine Probleme geben.
Ich vermute, dass der Fehler auf der Juniper Seite liegt. Aber da brauche ich Hilfe.
Da es hier ein gewerblicher Eisatz ist, nehmen wir gerne auch professionelle Hilfe in Anspruch.
Gruß
Erstmal vielen Dank für die Antwort.
Ja, ich meinte die statischen Routen.
Hier habe ich mich nur an diverse Anleitungen im Internet gehalten.
Dort wird immer auf der FortiGate noch die statische Route eingerichtet.
Ein Traceroute schlägt ohne Ergebnis fehl.
Die Firewall auf der FortiGate ist entsprechend eingerichtet. Da sollte es keine Probleme geben.
Ich vermute, dass der Fehler auf der Juniper Seite liegt. Aber da brauche ich Hilfe.
Da es hier ein gewerblicher Eisatz ist, nehmen wir gerne auch professionelle Hilfe in Anspruch.
Gruß
Was heißt schlägt fehl?
Pakete nehmen nicht den Tunnel und gehen ins Internet? Von beiden Seiten aus?
Pakete nehmen nicht den Tunnel und gehen ins Internet? Von beiden Seiten aus?
Wenn ich einen Traceroute von der Komandozeile der FortiGate starte, dann läuft die ins nichts.
Genauso auch von der Juniper.
32 hops ohne Ergebnis.
Genauso auch von der Juniper.
32 hops ohne Ergebnis.
Nicht Mal der erste Router ist zu sehen?
Leider nein. 
Ich kenne euer Netzwerk nicht, aber das ist mindestens merkwürdig.
Haha danke.... 
dann läuft die ins nichts.
ICMP hast du auf der Firewall im Regelwerk aktiviert ?! Zudem solltest du immer eine Absender IP im Traceroute definieren um nicht in irgendwelchen Regelwerken hängenzubleiben.Als Alternative ein Traceroute mit TCP oder UDP verwenden.
(Traceroute Beispiel pfSense)
Das das nicht unbedingt normal ist, das ist dir klar? Das Thema gehört untersucht.
Traceroute ist von OS zu OS unterschiedlich implementiert und kann auch geblockt werden.
Traceroute ist von OS zu OS unterschiedlich implementiert und kann auch geblockt werden.