finchen961988
Goto Top

Fortigate und VRRP

Hallo liebes Forum,

ich habe eine etwas spezielle Aufgabe und komme mit den HowTos von Fortinet nicht klar

https://docs.fortinet.com/document/fortiswitch/6.4.2/administration-guid ...


Zur Erkklärung, ich habe einen Kunden der hat einen aktiven LWL Anschluss von EWE mit einem Juniper Router und zusätzlich eine Backup - Leitung.
Laut dem Anbieter EWE muss vor dem Fortigate -Cluster (HA-Active/Passive) ein VRRP oder HSRP fähiger Switch.
Wenn die Aktive Leitung ausfällt, dann soll die Backup Leitung die Einstellung übernehmen und alles soll laufen!
Als ISP-Gerät wird Juniper eingesetzt.

Als Switch habe ich einen FortiSwitch 224 genommen, den ich per Fortilink mit den beiden Fortigates verbunden habe.

Ich habe ein VLAN erstellt mit dem Namen VLAN_WAN und auf die ersten 2 Ports als natives Vlan eingerichtet.
Über die normale Leitung geht alles, aber ich bekomme das VRRP nicht zu laufen.

Ich habe versucht über konfig der Switch

Auf den Port 1 (Verbindung zur aktiven Leitung) folgendes zu machen:

config system interface

edit port1

set vrrp-virtual-mac enable

config vrrp

edit 5

set vrip 10.31.101.120

set priority 255

end

end

Auf den Port 2 (Verbindung zur Backup Leitung):

config system interface

edit port2

set vrrp-virtual-mac enable

config vrrp

edit 5

set vrip 10.31.101.120

set priority 50

end

end

Leider geht dies nicht, meine Frage hier ist, gibt es ein Trick dafür?

Fortinet bietet auf den Switche der Serie VRRP an, aber der Support ist eher grottig.

Content-ID: 610440

Url: https://administrator.de/forum/fortigate-und-vrrp-610440.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

aqui
aqui 06.10.2020 um 23:15:36 Uhr
Goto Top
Was an deinem Konstrukt irgendwie unverständlich ist ist die Frage warum man vor einem Firewall HA Cluster noch einen VRRP Switch haben muss ?? Eigentlich doch überflüssig.
Das Firewall Cluster bedient doch beide WAN Verbindungen redundant uns stellt sich den Endgeräten ja mit einer gemeinsamen IP als redundantes Gateway dar.
Warum also dann noch VRRP. Deine ganze Beschreibung bzw. das tatsächliche Design ist höchst unverständlich.
Ggf. solltest du besse rnochmal eine kleine Skizze hier posten wie das Design wirklich im Detail aussieht. Nach deiner Beschreibung zu urteilen ist ein zusätzliche VRRP Cluster schlicht überflüssig.
Wie VRRP sinnvoll eingesetzt wird erklärt dir dieses Tutorial:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Das was dort über die VRRP Router erledigt wird macht bei dir ja schon das bestehende Firewall Cluster !
certifiedit.net
certifiedit.net 06.10.2020 um 23:44:57 Uhr
Goto Top
Zu dem wird das SPOF damit nicht aufgelöst, wenn nur ein Gerät durch den ISP gestellt wird.

Ganz generell solltest du aufgrund der Menge an Fragen zu den Geräten mal einen Partner und/oder Schulungen für Fortinet suchen.
142583
142583 07.10.2020 um 08:29:20 Uhr
Goto Top
Wie heißen die beiden Fortigate zum welchen Firmwarestand haben sie?

Ich kann mich daran erinnern dass ich vor vielen Jahren auch einmal über diese Information gestolpert war, als ich in der luxuriösen Lage war mich zu entscheiden welche Firewalls wir in Zukunft einsetzen.

Ich kann mich noch dran erinnern, dass das sehr merkwürdig auf mich gewirkt hat ich aber dennoch Fortinet bei uns habe 3 Monate laufen lassen.

Ob dieses, ich nenne es mal seltenes HA-Design, seinerzeit dazu beitrug dass Fortinet nicht den Zuschlag erhielt daran kann ich mich nicht mehr erinnern.
Der-Phil
Der-Phil 07.10.2020 um 08:58:41 Uhr
Goto Top
Hallo!

Punkt 1: Die Anleitung, die Du postest ist für einen Fortiswitch - keine Fortigate
Punkt 2: Ich blicke absolut nicht durch, was Du vor hast. HA mit Fortigates macht man mit FGCP - nicht mit VRRP, wenn es nicht GANZ gute Gründe gibt, dass das nicht möglich ist. Ich sehe hier keine.


Nimmst Du FGCP, tritt die Fortigate transparent als "ein Gerät" auf und hat den Provider nicht zu interessieren.
SD-WAN würde bedeuten, dass die Backupleitung andere IPs trägt, als die Hauptleitung. Ob das der Fall ist, sehe ich hier nicht.

Phil
Finchen961988
Finchen961988 07.10.2020 aktualisiert um 18:58:07 Uhr
Goto Top
Also,

laut dem Anbieter muss vor der Firewall ein VRRP oder HSRP fähiger Switch davor.
Laut dem Anieter übernimmt die Backup-Leitung alle Einstellungen der aktiven Leitungen.

Ich habe eine FortiSwitch 224e genommen und den Switch per Fortilink angebunden.

Ich werde morgen eine Zeichung nach liefern.

Es ist auch ein FortiSwitch geworden, weil ich das Fortigate HA ja mit zwei Kabeln an den Juniper von dem Anbieter anschließen musste, weil der Anbieter nur ein Port an dem Juniper freischaltet und ich somit die Lösung mit den FortiSwitch gewählt habe.

Es steht auch nirgendwo, dass es nicht geht und vom Support kommt auch nicht zurück, dass es nicht geht.

Wie gesagt ich werde morgen mal nee Zeichnug nach liefern.
certifiedit.net
certifiedit.net 07.10.2020 um 19:05:58 Uhr
Goto Top
Das ist ungefähr so sinnvoll wie eine 8 spurige Allee an einen Feldweg zu koppeln. Aber nun gut.
Finchen961988
Finchen961988 11.10.2020 um 10:07:15 Uhr
Goto Top
Werde morgen die Zeichnung nachliefern.

Habe Visio nur auf dem Firmennotebook und das liegt inner Firma.
aqui
aqui 11.10.2020 aktualisiert um 14:26:03 Uhr
Goto Top
Nur schonmal vorab als "Einstimmung" für Montag... face-wink
Ein klassisches Standard VRRP Szenario nach deinem Setup sähe so aus:

vrrp

Abgesehen davon sharen in einem Firewall Active/Passive Cluster beide Member auch ohne VRRP immer eine aktive Virtual IP, so das VRRP eigentlich auch überflüssig ist. Normalerweise ist VRRP eine Router Funktion und wird bei geclusterten Firewalls, egal ob Active/Active oder Active/Passive, selten bis nie angewandt. Schon da stellt sich die Frage der Sinnhaftigkeit von VRRP in diesem Design.
Weiter fragt man sich dann ernsthaft warum da auch noch ein Switch als überflüssiger "Durchlauferhitzer" dazu muss ?!
Aber Montag wirst du uns ja "aufklären". Es bleibt also spannend... ! face-wink