Fortigate IPSEC VPN, Routing Webproxy
Moinsen zusammen,
in der Hoffnung das es hier einen Fortigate Profi gibt mein bescheidenes Problem.
Folgende Konfiguration gibt es bei uns:
Physikalisches Netz
1. Internetleitung über Provider
VPN:
VPN_SSL
VPN_IPsec
Partnerunternehmen:
VPN IPSec
Das Partnerunternehmen war bis vor kurzem über MPSL Router direkt mit unserer Firewall physikalisch verbunden.
Seit ein paar Tagen ist die Verbindung ersetzt worden durch ein IPSec VPN.
Wir nutzen bei der Fortigate den Explizit Proxy, hier wird sämtlicher Datenverkehr (Webanfragen) über http und https an einen Zscaler Server übergeben, bis auf die Adressen die in der proxy.pac als Ausnahmen definiert sind.
Das hat bislang wunderbar funktioniert, seit der Umstellung der externen Firma die ja nun ebenfalls per IPSec angebunden ist, funktionieren aber die Webaufrufe aus dem VPN_IPSec nicht mehr.
Im Log kann ich sehen, das der Webtraffic über die Internetleitung geleitet wird. Normales Surfen geht, aber die speziellen Seiten der Partnerfirma können natürlich nicht mehr aufgelöst werden, weil die Partnerfirma nur Traffic aus dem angeschlossen VPN Tunnel zulässt.
Ich vermute, dass liegt daran, weil beide IPSec Verbindungen ja aus dem Physikalischen Netz (Internetleitung) kommen. Der ausgehendene Verkehr geht aber richtigerweiße zum Zscaler.
Lange Rede, hoffentlich kurze Lösung: Wie bekomme ich die definierten "Ausnahmen-Adressen" über ein anderes Netz geroutet? Die müssten ja von unserem VPN IPSec Tunnel in den 2. VPN IPSec Tunnel geroutet werden.
Freue mich über Feedback!
Grüße
Stefan
in der Hoffnung das es hier einen Fortigate Profi gibt mein bescheidenes Problem.
Folgende Konfiguration gibt es bei uns:
Physikalisches Netz
1. Internetleitung über Provider
VPN:
VPN_SSL
VPN_IPsec
Partnerunternehmen:
VPN IPSec
Das Partnerunternehmen war bis vor kurzem über MPSL Router direkt mit unserer Firewall physikalisch verbunden.
Seit ein paar Tagen ist die Verbindung ersetzt worden durch ein IPSec VPN.
Wir nutzen bei der Fortigate den Explizit Proxy, hier wird sämtlicher Datenverkehr (Webanfragen) über http und https an einen Zscaler Server übergeben, bis auf die Adressen die in der proxy.pac als Ausnahmen definiert sind.
Das hat bislang wunderbar funktioniert, seit der Umstellung der externen Firma die ja nun ebenfalls per IPSec angebunden ist, funktionieren aber die Webaufrufe aus dem VPN_IPSec nicht mehr.
Im Log kann ich sehen, das der Webtraffic über die Internetleitung geleitet wird. Normales Surfen geht, aber die speziellen Seiten der Partnerfirma können natürlich nicht mehr aufgelöst werden, weil die Partnerfirma nur Traffic aus dem angeschlossen VPN Tunnel zulässt.
Ich vermute, dass liegt daran, weil beide IPSec Verbindungen ja aus dem Physikalischen Netz (Internetleitung) kommen. Der ausgehendene Verkehr geht aber richtigerweiße zum Zscaler.
Lange Rede, hoffentlich kurze Lösung: Wie bekomme ich die definierten "Ausnahmen-Adressen" über ein anderes Netz geroutet? Die müssten ja von unserem VPN IPSec Tunnel in den 2. VPN IPSec Tunnel geroutet werden.
Freue mich über Feedback!
Grüße
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4812230130
Url: https://administrator.de/forum/fortigate-ipsec-vpn-routing-webproxy-4812230130.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo samrein,
Bei der Partner Fortigate FQDN Adressobjekte erstellen (wenn per DNS auflösbar), sonst Subnetz bzw. IP-Adressobjekte, für jede der Adressen und eine Policy Route erstellen:
Eine entsprechende Firewall Policy muss natürlich auch erstellt werden.
Jetzt geht der Traffic beim Partner zumindest über das richtige Interface raus.
Die Zieladressen sollten bei eurer Fortigate bereits bekannt sein, wenn nicht, auch hier die Objekte und eine Firewall Policy erstellen:
Vielleicht muss auch beii euch noch eine Policy Route erstellt werden, aber vermutlich fehlt nur die das Routing auf der Partner-Site.
Bin nicht der Fortigate Profi, aber so ähnlich habe ich es bei uns eingerichtet.
Ob es ein physisches oder ein VPN Interface ist, ist der FG eigentlich egal, man muss beim erstellen der Routen und Policys nur die richtigen auswählen
Hoffe ich konnte Dir weiterhelfen.
Viele Grüße
Ralf
Bei der Partner Fortigate FQDN Adressobjekte erstellen (wenn per DNS auflösbar), sonst Subnetz bzw. IP-Adressobjekte, für jede der Adressen und eine Policy Route erstellen:
Incoming Interface: entsprechend der Internen Clients
Source Address: IP/Netmask oder ein Adressobjekt der internen Clients
Destination Address: Adressobjekte der "speziellen Adressen"
Protocol: entsprechend anpassen oder auf ANY belassen
Outgoing Interface: VPN zu eigenem Unternehmen
Jetzt geht der Traffic beim Partner zumindest über das richtige Interface raus.
Die Zieladressen sollten bei eurer Fortigate bereits bekannt sein, wenn nicht, auch hier die Objekte und eine Firewall Policy erstellen:
Incoming Interface: VPNzu Partnerunternehmen
Outgoing Interface: Interface für die "speziellen Adressen"
Source: Adressobjekt für Client Netz des Partnerunternehmens
Destination: Adressobjekte der "speziellen Adressen"
Service: entsprechende auswählen
NAT: würde ich aktivieren, wenn die Adressen sich nicht in eurem Netz befinden
Bin nicht der Fortigate Profi, aber so ähnlich habe ich es bei uns eingerichtet.
Ob es ein physisches oder ein VPN Interface ist, ist der FG eigentlich egal, man muss beim erstellen der Routen und Policys nur die richtigen auswählen
Hoffe ich konnte Dir weiterhelfen.
Viele Grüße
Ralf