jompsi
Goto Top

FortiGate - Policy Route einrichten

Hallo zusammen

Ich habe eine FortiGate 60D mit Firmware 5.2. Auf dieser FortiGate habe ich 2 WAN Anschlüsse, mit welchen ich ein LoadBalancing(Source IP Based) eingerichtet habe. Nun möchte ich noch Policy Routes erfassen, jedoch mach ich etwas falsch. Ziel ist es, dass Zugriffe über SSH auf die öffentliche IP: XX.XX.YY.YY immer über WAN2 raus gehen.

Was ich zu Policy Routes gefunden habe:
http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%252 ...

Was ich mache:
- Log In auf der Fortigate
- Router -> Static -> Policy Routes -> Create New
-- Protocol: TCP
-- Incoming Interface: LAN
-- Source address: 0.0.0.0/0.0.0.0
-- Destination address: XX.XX.YY.YY/255.255.255.255
-- Source Ports: 22 <-> 22
-- Destionation Port: 22 <-> 22
-- Type of Service: 0x00 <-> 0x00
-- Action: Forward Traffic
-- Outgoing interface: wan2
-- Gateway: IP Next Hop

Diese Konfiguration funktioniert nicht. Auch wenn ich bei der Destination address 0.0.0.0/0.0.0.0 eingebe, damit eigentlich alle SSH Verbindungen über WAN2 laufen sollten, läuft der Traffic nicht über das gewünschte WAN Interface.

Unter Static Routes ist festgelegt, dass alles über wan-load-balance laufen soll und bei der Policy ist alles nach wan-load-balance erlaubt.

Weiss jemand, was ich falsch mache?

Vielen Dank und freundliche Grüsse
jompsi

Content-ID: 265105

Url: https://administrator.de/forum/fortigate-policy-route-einrichten-265105.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

exellent
Lösung exellent 05.03.2015 aktualisiert um 16:52:32 Uhr
Goto Top
Hi jomspi,

dein Fehler liegt hier:
-- Source Ports: 22 <-> 22

bei Source Port trägst du bitte 0-65535 ein. Dann wird es gehen face-smile

Gruß
exellent
jompsi
jompsi 05.03.2015 um 16:55:08 Uhr
Goto Top
Hallo exellent

Du bist meine Rettung gewesen. Vielen Dank face-smile War alles am durchprobieren. Habe es auch mit 0 <-> 0 bei den Ports versucht gehabt, aber ohne Erfolg :/

Aber weshalb kann ich beim Source Port nicht auch 22 eintragen?

Gruss
jompsi
exellent
exellent 05.03.2015 um 17:02:18 Uhr
Goto Top
Hi Jompsi,

gerne face-smile

Dein Source Port ist immer dynamisch. Das heißt deine Anfrage vom Client sucht sich einen freien Port in der Range von 0-65635 und der ZIEL Port ist dann die 22 (SSH).

Ruf mal auf deinem Rechner in der cmd netstat auf. Dort kann man es ganz gut sehen. Du siehst dort unter "lokale Adresse" deinen eigenen Rechner inklusive SOURCE Port und unter "Remote Adresse" die Zieladresse inklusive DESTINATION Port, welcher in deinem Fall Port 22 SSH wäre.

Gruß
exellent
jompsi
jompsi 05.03.2015 um 18:00:35 Uhr
Goto Top
Hey exellent

Das habe ich noch gar nie bedacht und war mir auch nicht klar. Problem gelöst und etwas dazu gelernt. Supi face-smile und vielen Dank
Meine Verbindung geht über Port 54788 raus. Wow

Gruss
jompsi