7
Fortigate SSL-VPN und VOIP über IPSEC
Hallo liebe Community,
ich habe aktuell folgende Fragen.
Kurz zur Thematik, es gibt ein Glasfaser 1GBit Anschluss mit fester IP (über den laufen die VPNs) und ein 500 Mbit von Vodafon diese Anschlüsse sind an einem Fortigate 80D Cluster.
Es werden für einzelne User SSL-VPNS gebaut worden mit SPLIT-Tunneling, jetzt ist es gewünscht das eine spezielle Webseite über den Tunnel aufgerufen werden soll und ch habe das Problem, dass ich keine Ahnung habe wie ich das lösen soll!
Es gibt ausserdem noch HomeOffice dort ist ein IPSEC Tunnel über den nur die Alcatel VOIP Telefone arbeiten, hier ist folgendes
1. Benutzer telefoniert in die weite Welt keine Fehler!
2. Es wird von einem VOIP (homeOffice) in das nächste Homeoffice telefoniert es baut sich nach 15min erst das Gespräch auf.
3. Es wird von HomeOffice in den Betrieb telefoniert keine Fehler
Ich hoffe Ihr könnt mir helfen und wenn etwas fehlt an Infos versuche ich die nachzuliefern!
ich habe aktuell folgende Fragen.
Kurz zur Thematik, es gibt ein Glasfaser 1GBit Anschluss mit fester IP (über den laufen die VPNs) und ein 500 Mbit von Vodafon diese Anschlüsse sind an einem Fortigate 80D Cluster.
Es werden für einzelne User SSL-VPNS gebaut worden mit SPLIT-Tunneling, jetzt ist es gewünscht das eine spezielle Webseite über den Tunnel aufgerufen werden soll und ch habe das Problem, dass ich keine Ahnung habe wie ich das lösen soll!
Es gibt ausserdem noch HomeOffice dort ist ein IPSEC Tunnel über den nur die Alcatel VOIP Telefone arbeiten, hier ist folgendes
1. Benutzer telefoniert in die weite Welt keine Fehler!
2. Es wird von einem VOIP (homeOffice) in das nächste Homeoffice telefoniert es baut sich nach 15min erst das Gespräch auf.
3. Es wird von HomeOffice in den Betrieb telefoniert keine Fehler
Ich hoffe Ihr könnt mir helfen und wenn etwas fehlt an Infos versuche ich die nachzuliefern!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 523733
Url: https://administrator.de/contentid/523733
Printed on: April 26, 2024 at 08:04 o'clock
7 Comments
Latest comment
Moin,
Gruß,
Dani
Es werden für einzelne User SSL-VPNS gebaut worden mit SPLIT-Tunneling, jetzt ist es gewünscht das eine spezielle Webseite über den Tunnel aufgerufen werden soll und ch habe das Problem, dass ich keine Ahnung habe wie ich das lösen soll!
solange die Webseite eine dedizierte IP-Adresse hast, könntest du eine Route probagieren, welche sagt, dass das Ziel über das Rechenzentrum erreichbar ist. Wenn es eine Instanz in der Cloud ist, wo die IP-Adrsse jeden Tag wechseln könnte, hast du ein Problem. 2. Es wird von einem VOIP (homeOffice) in das nächste Homeoffice telefoniert es baut sich nach 15min erst das Gespräch auf.
Sind die RTP-Ports zwischen den beiden Lokationen/Notebooks denn offen? Sprich die Firewalls sauber konfiguriert. Alcatel hat leider das "dumme" Feature, dass Telefonate zwischen zwei Nebenstellen direkt abgewickelt werden. DAs lässt sich bis dato auch nicht ändern.Gruß,
Dani
Hallo,
Zur Sicherheit von SSL VPN sagen wir mal nichts
Oder du baust dir ein NAT dazu auf, dann steht hinter der IP Adresse des Server eben noch eine RFC 1928 Adresse. Dann hast du aber ein Problem mit dem Browser Zertifikat.
brammer
Zur Sicherheit von SSL VPN sagen wir mal nichts
Zitat von @Dani:
Moin,
Nun, dafür ginge es dann Alternativ über den FQDN...Moin,
Es werden für einzelne User SSL-VPNS gebaut worden mit SPLIT-Tunneling, jetzt ist es gewünscht das eine spezielle Webseite über den Tunnel aufgerufen werden soll und ch habe das Problem, dass ich keine Ahnung habe wie ich das lösen soll!
solange die Webseite eine dedizierte IP-Adresse hast, könntest du eine Route probagieren, welche sagt, dass das Ziel über das Rechenzentrum erreichbar ist. Wenn es eine Instanz in der Cloud ist, wo die IP-Adrsse jeden Tag wechseln könnte, hast du ein Problem. Oder du baust dir ein NAT dazu auf, dann steht hinter der IP Adresse des Server eben noch eine RFC 1928 Adresse. Dann hast du aber ein Problem mit dem Browser Zertifikat.
Gruß,
Dani
Dani
brammer
Moin brammer,
Gruß,
Dani
Nun, dafür ginge es dann Alternativ über den FQDN...
setzt voraus, dass Fortinet damit klar kommt und keine IP-Adressen von Objekten cached.Gruß,
Dani
jetzt ist es gewünscht das eine spezielle Webseite über den Tunnel aufgerufen werden soll
Normal macht man das mit einer Policy Route. Du selektierst den Traffic anhand einer Regel (Ziel IP und TCP Ports 80, 443) und setzt dafür ein dediziertes Gateway, sprich das VPN bzw. Tunnel IP.Das einfache PBR Grundprinzip ist hier erklärt:
Cisco Router 2 Gateways für verschiedene Clients
Bedenke das das beidseitig passieren muss, sprich also beide Tunnel Endgeräte müssen das machen ansonsten endest du mit einem asymertischen Routing was dann weniger gut ist !
Hallo bei den IPSEC Tunneln ist der Service "all" eingetragen worden!
Hallo aqui,
du menst ich baue eine Regel, als Beispiel
SSL-Tunnel (Manfred) als Ziel die Webseite Service Https und fertig?
du menst ich baue eine Regel, als Beispiel
SSL-Tunnel (Manfred) als Ziel die Webseite Service Https und fertig?
Nein !
Eine Regel: Selektiere allen Traffic auf Webserver X und senden die an Gateway Y, wobei Gateway Y der VPN Tunnel ist.
Das PBR Beispiel oben ist doch selbsterklärend. Du musst mal in das Handbuch der Fortinet im Kapitel Policy Based Routing sehen wie das dort zu konfigurieren ist. Jeder Hersteller hat da eine etwas andere Syntax.
Eine Regel: Selektiere allen Traffic auf Webserver X und senden die an Gateway Y, wobei Gateway Y der VPN Tunnel ist.
Das PBR Beispiel oben ist doch selbsterklärend. Du musst mal in das Handbuch der Fortinet im Kapitel Policy Based Routing sehen wie das dort zu konfigurieren ist. Jeder Hersteller hat da eine etwas andere Syntax.