samrein
Goto Top

Fortigate IPSEC VPN, Routing Webproxy

Moinsen zusammen,

in der Hoffnung das es hier einen Fortigate Profi gibt mein bescheidenes Problem.

Folgende Konfiguration gibt es bei uns:


Physikalisches Netz
1. Internetleitung über Provider

VPN:
VPN_SSL
VPN_IPsec

Partnerunternehmen:
VPN IPSec


Das Partnerunternehmen war bis vor kurzem über MPSL Router direkt mit unserer Firewall physikalisch verbunden.
Seit ein paar Tagen ist die Verbindung ersetzt worden durch ein IPSec VPN.

Wir nutzen bei der Fortigate den Explizit Proxy, hier wird sämtlicher Datenverkehr (Webanfragen) über http und https an einen Zscaler Server übergeben, bis auf die Adressen die in der proxy.pac als Ausnahmen definiert sind.

Das hat bislang wunderbar funktioniert, seit der Umstellung der externen Firma die ja nun ebenfalls per IPSec angebunden ist, funktionieren aber die Webaufrufe aus dem VPN_IPSec nicht mehr.

Im Log kann ich sehen, das der Webtraffic über die Internetleitung geleitet wird. Normales Surfen geht, aber die speziellen Seiten der Partnerfirma können natürlich nicht mehr aufgelöst werden, weil die Partnerfirma nur Traffic aus dem angeschlossen VPN Tunnel zulässt.

Ich vermute, dass liegt daran, weil beide IPSec Verbindungen ja aus dem Physikalischen Netz (Internetleitung) kommen. Der ausgehendene Verkehr geht aber richtigerweiße zum Zscaler.

Lange Rede, hoffentlich kurze Lösung: Wie bekomme ich die definierten "Ausnahmen-Adressen" über ein anderes Netz geroutet? Die müssten ja von unserem VPN IPSec Tunnel in den 2. VPN IPSec Tunnel geroutet werden.

Freue mich über Feedback!

Grüße
Stefan

Content-Key: 4812230130

Url: https://administrator.de/contentid/4812230130

Printed on: June 21, 2024 at 11:06 o'clock

Member: niewiederit
niewiederit Dec 02, 2022 at 09:24:47 (UTC)
Goto Top
Hallo samrein,

Bei der Partner Fortigate FQDN Adressobjekte erstellen (wenn per DNS auflösbar), sonst Subnetz bzw. IP-Adressobjekte, für jede der Adressen und eine Policy Route erstellen:
Incoming Interface: entsprechend der Internen Clients
Source Address: IP/Netmask oder ein Adressobjekt der internen Clients
Destination Address: Adressobjekte der "speziellen Adressen"  
Protocol: entsprechend anpassen oder auf ANY belassen
Outgoing Interface: VPN zu eigenem Unternehmen
Eine entsprechende Firewall Policy muss natürlich auch erstellt werden.
Jetzt geht der Traffic beim Partner zumindest über das richtige Interface raus.
Die Zieladressen sollten bei eurer Fortigate bereits bekannt sein, wenn nicht, auch hier die Objekte und eine Firewall Policy erstellen:
Incoming Interface: VPNzu Partnerunternehmen
Outgoing Interface: Interface für die "speziellen Adressen"  
Source: Adressobjekt für Client Netz des Partnerunternehmens
Destination: Adressobjekte der "speziellen Adressen"  
Service: entsprechende auswählen
NAT: würde ich aktivieren, wenn die Adressen sich nicht in eurem Netz befinden
Vielleicht muss auch beii euch noch eine Policy Route erstellt werden, aber vermutlich fehlt nur die das Routing auf der Partner-Site.

Bin nicht der Fortigate Profi, aber so ähnlich habe ich es bei uns eingerichtet.

Ob es ein physisches oder ein VPN Interface ist, ist der FG eigentlich egal, man muss beim erstellen der Routen und Policys nur die richtigen auswählen face-wink

Hoffe ich konnte Dir weiterhelfen.

Viele Grüße

Ralf
Member: samrein
samrein Dec 02, 2022 at 12:59:29 (UTC)
Goto Top
Hallo Ralf,
danke für Deine Rückmeldung, die einzelen Punkte werde ich prüfen. Da ich auf der Partnerseite keinen Zugriff habe, hab die Informationen weitergeleitet. Bin gespannt.
Danke und ein schönes Wochenende
Grüße
Stefan
Member: niewiederit
Solution niewiederit Dec 03, 2022 at 09:33:34 (UTC)
Goto Top
Moin Stefan,

habe ich gestern vergessen...auf deiner FG muss natürlich eine Route für das Client-Subnetz, hinter der FG der externen Firma, vorhanden sein bzw. erstellt werden.
Ohne die Route schickt deine FG alles was eigentlich zurück muss, an ihr Default Gateway.

Viele Grüße

Ralf
Member: samrein
samrein Dec 03, 2022 at 11:17:09 (UTC)
Goto Top
Hallo Ralf,

danke, das schaue ich mir am Montag nochmal genauer an. Aus dem Kopf müsste das aber schon so sein, weil die SSL VPN ja im gleichen Subnetz sind wie die IPSec Zugänge.
Vielen Dank für den Hinweis Ralf.

Grüße
Stefan
Member: samrein
samrein Dec 05, 2022 at 13:10:44 (UTC)
Goto Top
Hallo Ralf,

tatsächlich ist es so, das nur ein Teil unseres Subnetzes auf der Gegenseite freigeschaltet ist. Das müssen die Kollegen dann einrichten, war natürlich blöd, dass es ein Teil des Subnetzes ja funktioniert hat.

Danke Ralf

Gruß
Stefan