kaoth123

FortiGate 80C - Juniper SRX220 - Site to Site IPsec

Hallo liebes Forum,

wir haben eine FortiGate 80C und wollen eine "Site to Site IPsec" Verbindung herstellen.
Auf der anderen Seite steht eine Juniper SRX220.

Laut "IPsec Monitor" auf der FortiGate 80C ist die Verbindung online.
Die Juniper SRX220 zeigt auch an, dass die Verbindung steht.

Auf unserer FortiGate 80C ist auch das Routing auf das andere Netzwerk eingestellt.
Leider können wir aber keine Daten zwischen den beiden Netzwerken austauschen.


FortiGate 80C (192.168.55.0/24) <----- Internet -----> Juniper SRX220 (192.168.1.0/24)


Hier stimmt bestimmt etwas mit dem Routing nicht. Ich kenne mich aber mit der Juniper SRX220 nicht besonders gut aus.
Es wäre super, wenn mir einer von euch helfen könnte.

Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 627418

Url: https://administrator.de/forum/fortigate-80c-juniper-srx220-site-to-site-ipsec-627418.html

Ausgedruckt am: 13.06.2025 um 05:06 Uhr

142583
142583 02.12.2020 um 19:03:38 Uhr
Goto Top
Wie muss man sich das vorstellen mit "ist auch das Routing auf das andere Netzwerk eingestellt"

Wie ist der Output für eine Traceroute von A nach B und von B nach A?
aqui
aqui 02.12.2020 um 19:33:10 Uhr
Goto Top
Auf unserer FortiGate 80C ist auch das Routing auf das andere Netzwerk eingestellt.
Wenn damit statische Routen gemeint sind ist das Unsinn und auch kontraproduktiv wie oben schon erwähnt.
Die Routes werden bei IPsec VPNs automatisch über die Phase 2 SAs übertragen.
Es ist zu 98% ziemlich sicher das es deshalb am IP Routing selber nicht liegen kann.
Wie vermutlich immer liegt es an fehlenden Firewall Regeln die die VPN Netze passieren lassen.
Kaoth123
Kaoth123 03.12.2020 um 10:02:59 Uhr
Goto Top
Hallo "IT-Prof" und "aqui".

Erstmal vielen Dank für die Antwort.
Ja, ich meinte die statischen Routen.
Hier habe ich mich nur an diverse Anleitungen im Internet gehalten.
Dort wird immer auf der FortiGate noch die statische Route eingerichtet.

Ein Traceroute schlägt ohne Ergebnis fehl.
Die Firewall auf der FortiGate ist entsprechend eingerichtet. Da sollte es keine Probleme geben.

Ich vermute, dass der Fehler auf der Juniper Seite liegt. Aber da brauche ich Hilfe.
Da es hier ein gewerblicher Eisatz ist, nehmen wir gerne auch professionelle Hilfe in Anspruch.


Gruß
142583
142583 03.12.2020 um 10:09:01 Uhr
Goto Top
Was heißt schlägt fehl?

Pakete nehmen nicht den Tunnel und gehen ins Internet? Von beiden Seiten aus?
Kaoth123
Kaoth123 03.12.2020 aktualisiert um 10:23:43 Uhr
Goto Top
Wenn ich einen Traceroute von der Komandozeile der FortiGate starte, dann läuft die ins nichts.
Genauso auch von der Juniper.

32 hops ohne Ergebnis.
142583
142583 03.12.2020 um 11:04:02 Uhr
Goto Top
Nicht Mal der erste Router ist zu sehen?
Kaoth123
Kaoth123 03.12.2020 um 12:23:25 Uhr
Goto Top
Leider nein. face-sad
142583
142583 03.12.2020 um 12:29:06 Uhr
Goto Top
Ich kenne euer Netzwerk nicht, aber das ist mindestens merkwürdig.
Kaoth123
Kaoth123 03.12.2020 um 12:32:27 Uhr
Goto Top
Haha danke.... face-wink
aqui
aqui 03.12.2020 um 12:36:59 Uhr
Goto Top
dann läuft die ins nichts.
ICMP hast du auf der Firewall im Regelwerk aktiviert ?! Zudem solltest du immer eine Absender IP im Traceroute definieren um nicht in irgendwelchen Regelwerken hängenzubleiben.
Als Alternative ein Traceroute mit TCP oder UDP verwenden.
(Traceroute Beispiel pfSense)
trace
142583
142583 03.12.2020 um 12:37:39 Uhr
Goto Top
Das das nicht unbedingt normal ist, das ist dir klar? Das Thema gehört untersucht.

Traceroute ist von OS zu OS unterschiedlich implementiert und kann auch geblockt werden.