5
Fortigate IPSEC VPN, Routing Webproxy
Moinsen zusammen,
in der Hoffnung das es hier einen Fortigate Profi gibt mein bescheidenes Problem.
Folgende Konfiguration gibt es bei uns:
Physikalisches Netz
1. Internetleitung über Provider
VPN:
VPN_SSL
VPN_IPsec
Partnerunternehmen:
VPN IPSec
Das Partnerunternehmen war bis vor kurzem über MPSL Router direkt mit unserer Firewall physikalisch verbunden.
Seit ein paar Tagen ist die Verbindung ersetzt worden durch ein IPSec VPN.
Wir nutzen bei der Fortigate den Explizit Proxy, hier wird sämtlicher Datenverkehr (Webanfragen) über http und https an einen Zscaler Server übergeben, bis auf die Adressen die in der proxy.pac als Ausnahmen definiert sind.
Das hat bislang wunderbar funktioniert, seit der Umstellung der externen Firma die ja nun ebenfalls per IPSec angebunden ist, funktionieren aber die Webaufrufe aus dem VPN_IPSec nicht mehr.
Im Log kann ich sehen, das der Webtraffic über die Internetleitung geleitet wird. Normales Surfen geht, aber die speziellen Seiten der Partnerfirma können natürlich nicht mehr aufgelöst werden, weil die Partnerfirma nur Traffic aus dem angeschlossen VPN Tunnel zulässt.
Ich vermute, dass liegt daran, weil beide IPSec Verbindungen ja aus dem Physikalischen Netz (Internetleitung) kommen. Der ausgehendene Verkehr geht aber richtigerweiße zum Zscaler.
Lange Rede, hoffentlich kurze Lösung: Wie bekomme ich die definierten "Ausnahmen-Adressen" über ein anderes Netz geroutet? Die müssten ja von unserem VPN IPSec Tunnel in den 2. VPN IPSec Tunnel geroutet werden.
Freue mich über Feedback!
Grüße
Stefan
in der Hoffnung das es hier einen Fortigate Profi gibt mein bescheidenes Problem.
Folgende Konfiguration gibt es bei uns:
Physikalisches Netz
1. Internetleitung über Provider
VPN:
VPN_SSL
VPN_IPsec
Partnerunternehmen:
VPN IPSec
Das Partnerunternehmen war bis vor kurzem über MPSL Router direkt mit unserer Firewall physikalisch verbunden.
Seit ein paar Tagen ist die Verbindung ersetzt worden durch ein IPSec VPN.
Wir nutzen bei der Fortigate den Explizit Proxy, hier wird sämtlicher Datenverkehr (Webanfragen) über http und https an einen Zscaler Server übergeben, bis auf die Adressen die in der proxy.pac als Ausnahmen definiert sind.
Das hat bislang wunderbar funktioniert, seit der Umstellung der externen Firma die ja nun ebenfalls per IPSec angebunden ist, funktionieren aber die Webaufrufe aus dem VPN_IPSec nicht mehr.
Im Log kann ich sehen, das der Webtraffic über die Internetleitung geleitet wird. Normales Surfen geht, aber die speziellen Seiten der Partnerfirma können natürlich nicht mehr aufgelöst werden, weil die Partnerfirma nur Traffic aus dem angeschlossen VPN Tunnel zulässt.
Ich vermute, dass liegt daran, weil beide IPSec Verbindungen ja aus dem Physikalischen Netz (Internetleitung) kommen. Der ausgehendene Verkehr geht aber richtigerweiße zum Zscaler.
Lange Rede, hoffentlich kurze Lösung: Wie bekomme ich die definierten "Ausnahmen-Adressen" über ein anderes Netz geroutet? Die müssten ja von unserem VPN IPSec Tunnel in den 2. VPN IPSec Tunnel geroutet werden.
Freue mich über Feedback!
Grüße
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4812230130
Url: https://administrator.de/contentid/4812230130
Printed on: April 23, 2024 at 14:04 o'clock
5 Comments
Latest comment
Hallo samrein,
Bei der Partner Fortigate FQDN Adressobjekte erstellen (wenn per DNS auflösbar), sonst Subnetz bzw. IP-Adressobjekte, für jede der Adressen und eine Policy Route erstellen:
Eine entsprechende Firewall Policy muss natürlich auch erstellt werden.
Jetzt geht der Traffic beim Partner zumindest über das richtige Interface raus.
Die Zieladressen sollten bei eurer Fortigate bereits bekannt sein, wenn nicht, auch hier die Objekte und eine Firewall Policy erstellen:
Vielleicht muss auch beii euch noch eine Policy Route erstellt werden, aber vermutlich fehlt nur die das Routing auf der Partner-Site.
Bin nicht der Fortigate Profi, aber so ähnlich habe ich es bei uns eingerichtet.
Ob es ein physisches oder ein VPN Interface ist, ist der FG eigentlich egal, man muss beim erstellen der Routen und Policys nur die richtigen auswählen
Hoffe ich konnte Dir weiterhelfen.
Viele Grüße
Ralf
Bei der Partner Fortigate FQDN Adressobjekte erstellen (wenn per DNS auflösbar), sonst Subnetz bzw. IP-Adressobjekte, für jede der Adressen und eine Policy Route erstellen:
Incoming Interface: entsprechend der Internen Clients
Source Address: IP/Netmask oder ein Adressobjekt der internen Clients
Destination Address: Adressobjekte der "speziellen Adressen"
Protocol: entsprechend anpassen oder auf ANY belassen
Outgoing Interface: VPN zu eigenem UnternehmenJetzt geht der Traffic beim Partner zumindest über das richtige Interface raus.
Die Zieladressen sollten bei eurer Fortigate bereits bekannt sein, wenn nicht, auch hier die Objekte und eine Firewall Policy erstellen:
Incoming Interface: VPNzu Partnerunternehmen
Outgoing Interface: Interface für die "speziellen Adressen"
Source: Adressobjekt für Client Netz des Partnerunternehmens
Destination: Adressobjekte der "speziellen Adressen"
Service: entsprechende auswählen
NAT: würde ich aktivieren, wenn die Adressen sich nicht in eurem Netz befindenBin nicht der Fortigate Profi, aber so ähnlich habe ich es bei uns eingerichtet.
Ob es ein physisches oder ein VPN Interface ist, ist der FG eigentlich egal, man muss beim erstellen der Routen und Policys nur die richtigen auswählen
Hoffe ich konnte Dir weiterhelfen.
Viele Grüße
Ralf
Hallo Ralf,
danke für Deine Rückmeldung, die einzelen Punkte werde ich prüfen. Da ich auf der Partnerseite keinen Zugriff habe, hab die Informationen weitergeleitet. Bin gespannt.
Danke und ein schönes Wochenende
Grüße
Stefan
danke für Deine Rückmeldung, die einzelen Punkte werde ich prüfen. Da ich auf der Partnerseite keinen Zugriff habe, hab die Informationen weitergeleitet. Bin gespannt.
Danke und ein schönes Wochenende
Grüße
Stefan
Moin Stefan,
habe ich gestern vergessen...auf deiner FG muss natürlich eine Route für das Client-Subnetz, hinter der FG der externen Firma, vorhanden sein bzw. erstellt werden.
Ohne die Route schickt deine FG alles was eigentlich zurück muss, an ihr Default Gateway.
Viele Grüße
Ralf
habe ich gestern vergessen...auf deiner FG muss natürlich eine Route für das Client-Subnetz, hinter der FG der externen Firma, vorhanden sein bzw. erstellt werden.
Ohne die Route schickt deine FG alles was eigentlich zurück muss, an ihr Default Gateway.
Viele Grüße
Ralf
Hallo Ralf,
danke, das schaue ich mir am Montag nochmal genauer an. Aus dem Kopf müsste das aber schon so sein, weil die SSL VPN ja im gleichen Subnetz sind wie die IPSec Zugänge.
Vielen Dank für den Hinweis Ralf.
Grüße
Stefan
danke, das schaue ich mir am Montag nochmal genauer an. Aus dem Kopf müsste das aber schon so sein, weil die SSL VPN ja im gleichen Subnetz sind wie die IPSec Zugänge.
Vielen Dank für den Hinweis Ralf.
Grüße
Stefan
Hallo Ralf,
tatsächlich ist es so, das nur ein Teil unseres Subnetzes auf der Gegenseite freigeschaltet ist. Das müssen die Kollegen dann einrichten, war natürlich blöd, dass es ein Teil des Subnetzes ja funktioniert hat.
Danke Ralf
Gruß
Stefan
tatsächlich ist es so, das nur ein Teil unseres Subnetzes auf der Gegenseite freigeschaltet ist. Das müssen die Kollegen dann einrichten, war natürlich blöd, dass es ein Teil des Subnetzes ja funktioniert hat.
Danke Ralf
Gruß
Stefan
