7
Fortinet IPSEC Netze
Moin Moin,
gibt es eine andere Möglichkeit bei der Forti einen IPSEC zu erstellen wo viele Netze sind ohne großen Aufwand? Ich finde es bei der Sophos wesentlich besser gemacht.
Anbei mal ein Beispiel was ich meine, bei der Sophos kann ich z.B. viele local Netze rein tackern und brauch nur einmal das Remote Netz eintragen.
Bei der Forti habe ich keine Möglichkeit, man kann nur ein neuen Phase 2 Selector hinzufügen.
Vielleicht gibt es dort eine andere Möglichkeit? Danke
gibt es eine andere Möglichkeit bei der Forti einen IPSEC zu erstellen wo viele Netze sind ohne großen Aufwand? Ich finde es bei der Sophos wesentlich besser gemacht.
Anbei mal ein Beispiel was ich meine, bei der Sophos kann ich z.B. viele local Netze rein tackern und brauch nur einmal das Remote Netz eintragen.
Bei der Forti habe ich keine Möglichkeit, man kann nur ein neuen Phase 2 Selector hinzufügen.
Vielleicht gibt es dort eine andere Möglichkeit? Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 657788
Url: https://administrator.de/contentid/657788
Printed on: April 26, 2024 at 18:04 o'clock
7 Comments
Latest comment
Hallo Huibuh,
Du kannst alle Local- und Remote Netze in zwei Adressgruppen packen. In der Phase 2 musst den Typ "Named Address" anstelle von "Subnet" auswählen.
Gruß Maik
Du kannst alle Local- und Remote Netze in zwei Adressgruppen packen. In der Phase 2 musst den Typ "Named Address" anstelle von "Subnet" auswählen.
Gruß Maik
perfekt, Danke Maik
Moin,
Zusätzlich lohnt es bei Fortinet immer sich mit der Kommandozeile zu beschäftigen, damit geht vieles schneller als mit der GUI.
/Thomas
Zusätzlich lohnt es bei Fortinet immer sich mit der Kommandozeile zu beschäftigen, damit geht vieles schneller als mit der GUI.
/Thomas
Hey Thomas,
jo damit habe ich schon einiges erledigen können.
jo damit habe ich schon einiges erledigen können.
Es gibt natürlich viele Wege, aber der prädestinierte für FortiGates ist eigentlich VTI in der Form, die 0.0.0.0/0.0.0.0-Selektoren zu belassen, und mit Routen in den Tunnel zu arbeiten (auch hier bietet sich an, mit Address-Gruppen zu arbeiten; es geht mehr darum, wo in der Konfiguration man das Routing der Übersicht halber sehen möchte). Bei einer VTI-Implementierung mit Transit-Netz auf der Gegenseite, ist das gewählte Transit-Netz für die FortiGate egal.
Grüße
Richard
Grüße
Richard
Klar, viele Wege führen nach Rom aber meines Wissens geht die 0.0.0.0 Selektoren nur von Forti zu Forti?
Das ist leider nicht der Fall in meinem Szenario aber haut ja jetzt alles hin mit der Gruppierung.
Das ist leider nicht der Fall in meinem Szenario aber haut ja jetzt alles hin mit der Gruppierung.
Nein, das habe ich schon mit Cisco ASA und pfSense gemacht. Du benutzt auf diesen halt ein freies /30er-Netz, damit du einen Gateway für ihre Routen hast, aber auf der FortiGate muss das nicht gesetzt werden.
Aus leidvoller Erfahrung mit Verbindungspartnern, die Instruktionen nur halb lesen, weiß ich auch, dass es sogar mit einer klassischen Phase2-Konfiguration auf der anderen Seite geht, sofern auf Seiten der FortiGate nur ein Netz erreichbar sein muss. Von mehreren Phase2-Einträgen (für mehrere Remote-Netze) wird dann nur eine ausgehandelt, die anderen als getrennt in der FortiGate angezeigt. Diese hinkende Verbindung recht, um alle in Routen erfassten Ziele in allen Netzen am anderen Ende zu erreichen. Und da die passene Phase2 ausgehandelt wird, erreicht die Gegenstelle umgekehrt das Netz an der FortiGate.
Aus leidvoller Erfahrung mit Verbindungspartnern, die Instruktionen nur halb lesen, weiß ich auch, dass es sogar mit einer klassischen Phase2-Konfiguration auf der anderen Seite geht, sofern auf Seiten der FortiGate nur ein Netz erreichbar sein muss. Von mehreren Phase2-Einträgen (für mehrere Remote-Netze) wird dann nur eine ausgehandelt, die anderen als getrennt in der FortiGate angezeigt. Diese hinkende Verbindung recht, um alle in Routen erfassten Ziele in allen Netzen am anderen Ende zu erreichen. Und da die passene Phase2 ausgehandelt wird, erreicht die Gegenstelle umgekehrt das Netz an der FortiGate.