4
FortiSwitch als WAN Switch
Hallo,
ich suche eine etwas spezielle Lösung!
Wir haben im Ursprung eine Fortigate 100F gehabt an der am WAN 1 ein Company Connect Anschluss hängt, über den WAN PORT sind 75 Tunnel verbunden und auch die Regeln verlinkt!
Jetzt haben wir eine 2te Fortigate 100F dazu gebaut und ein HA gebaut als ACTIVE-PASSIVE!
Jetzt hätte ich das eigentlich so gemacht, die FortiSwitch mit den Fortigate über Fortilink verbunden und VLANs für den jetzigen WAN und für die 2 zukünftigen WANS eingerichtet und dann Port zu Ordnung auf der FortiSwitch mit VLANS gemacht. Dann hätte ich die Tunnel umziehen müssen und die Regeln.
Ist aber nicht gewünscht!
Jetzt sit die Frage ob man nicht den WAN Port der Fortigate nicht doch nutzen kann und hier finde ich keine Lösung.
ich suche eine etwas spezielle Lösung!
Wir haben im Ursprung eine Fortigate 100F gehabt an der am WAN 1 ein Company Connect Anschluss hängt, über den WAN PORT sind 75 Tunnel verbunden und auch die Regeln verlinkt!
Jetzt haben wir eine 2te Fortigate 100F dazu gebaut und ein HA gebaut als ACTIVE-PASSIVE!
Jetzt hätte ich das eigentlich so gemacht, die FortiSwitch mit den Fortigate über Fortilink verbunden und VLANs für den jetzigen WAN und für die 2 zukünftigen WANS eingerichtet und dann Port zu Ordnung auf der FortiSwitch mit VLANS gemacht. Dann hätte ich die Tunnel umziehen müssen und die Regeln.
Ist aber nicht gewünscht!
Jetzt sit die Frage ob man nicht den WAN Port der Fortigate nicht doch nutzen kann und hier finde ich keine Lösung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 532626
Url: https://administrator.de/contentid/532626
Printed on: April 28, 2024 at 05:04 o'clock
4 Comments
Latest comment
Sorry, aber man vesteht bei der Beschreibung nur Bahnhof und Ägypten was du mit den Ports veranstalten willst.
Firewall Cluster im Active-Passive Mode ist noch klar aber der Rest dann nicht mehr...
Normal hat man nach dem Company Connect einen kleinen Switch der die beiden WAN Ports der FWs auf den Company Connect zusammenführt und dann auf der anderen Seite der beiden FWs wieder das gleiche mit den LAN Ports.
Alternativ kann man das auch auf einem pysischen VLAN Switch mit 2 VLANs abbilden. Ein simpler Allerwelts Klassiker in so einem klasssichen Active-Passive FW Design.
Da wird dann alles gemütlich automatisch umgeschaltet im Failover.
Der Rest deiner Intention mit der Port Frickelei ist leider unverständlich...
Firewall Cluster im Active-Passive Mode ist noch klar aber der Rest dann nicht mehr...
Normal hat man nach dem Company Connect einen kleinen Switch der die beiden WAN Ports der FWs auf den Company Connect zusammenführt und dann auf der anderen Seite der beiden FWs wieder das gleiche mit den LAN Ports.
Alternativ kann man das auch auf einem pysischen VLAN Switch mit 2 VLANs abbilden. Ein simpler Allerwelts Klassiker in so einem klasssichen Active-Passive FW Design.
Da wird dann alles gemütlich automatisch umgeschaltet im Failover.
Der Rest deiner Intention mit der Port Frickelei ist leider unverständlich...
Naja,
okay versuche ich es mal anders.
Wir haben ein neu erstelltes HA (es fehlt nur noch zur Vervollständigung das WAN)
Vor den Fortigates haben wir eine FortiSwitch (24Port) , die soll mit einem Kabel zu je einem WAN1 von den Fortigates um den Company Connect (incl. Tunnel und Regeln) gesteckt werden.
Die Fortiswich ist mit den Fortigate über einen Fortilink verbunden, damit wir den Managen können, über diesen LINK scheint der Switch nur die VLANs zu kennen die auf dem Fortilink sind (WAn_VLAN 1 und so).
Meine Frage ist einfach ob man es hin bekommt die VLANs für die WAN da irgendwie hinzubekommen.....
OH ich glaube ich muss den Fortiswitch als einzel Switch konfigieren um genau das zu machen!
okay versuche ich es mal anders.
Wir haben ein neu erstelltes HA (es fehlt nur noch zur Vervollständigung das WAN)
Vor den Fortigates haben wir eine FortiSwitch (24Port) , die soll mit einem Kabel zu je einem WAN1 von den Fortigates um den Company Connect (incl. Tunnel und Regeln) gesteckt werden.
Die Fortiswich ist mit den Fortigate über einen Fortilink verbunden, damit wir den Managen können, über diesen LINK scheint der Switch nur die VLANs zu kennen die auf dem Fortilink sind (WAn_VLAN 1 und so).
Meine Frage ist einfach ob man es hin bekommt die VLANs für die WAN da irgendwie hinzubekommen.....
OH ich glaube ich muss den Fortiswitch als einzel Switch konfigieren um genau das zu machen!
Nur damit wir eine gemeinsame Sprache sprechen... HA = High Availability (Firewall Cluster) ?!
Der WAN Port einer Firewall hat in der Regel keine VLANs ! Wozu auch ?! Das ist immer ein dedizierter Port der direkt im Internet hängt mit einer öffentlichen IP oder er geht, wie bei dir, mit einem reinen Punkt zu Punkt Link auf den Company Connect Router des Providers.
Was sollen genau WAN VLAN's sein ???
Sieh besser ins Handbuch oder nimm dir jemanden an die Hand der genau weiss was er da macht.
Aber Gelöst ist Gelöst wenn du es denn meinst...
Vor den Fortigates haben wir eine FortiSwitch (24Port)
Eine ?? Ist das auch eine Firewall (feminin) oder ist das ein stinknormaler LAN Switch (Switch=maskulin, der Switch, https://de.wiktionary.org/wiki/Switch) ?über einen Fortilink verbunden, damit wir den Managen können
Was ist das genau ?? Ein proprietärer Point to Point Link rein nur fürs Hardware Management der Komponenten oder fliessen da auch "normale" Ethernet Produktiv Daten drüber ?ob man es hin bekommt die VLANs für die WAN da irgendwie hinzubekommen.....
Sorry, aber da weiss kein normaler Netzwerker was damit gemeint ist.Der WAN Port einer Firewall hat in der Regel keine VLANs ! Wozu auch ?! Das ist immer ein dedizierter Port der direkt im Internet hängt mit einer öffentlichen IP oder er geht, wie bei dir, mit einem reinen Punkt zu Punkt Link auf den Company Connect Router des Providers.
Was sollen genau WAN VLAN's sein ???
OH ich glaube ich muss...
"Glauben" heisst in der IT immer = nicht wissen ! Sieh besser ins Handbuch oder nimm dir jemanden an die Hand der genau weiss was er da macht.
Aber Gelöst ist Gelöst wenn du es denn meinst...
Auch wenn das schon als gelöst markiert ist...
Ein FortiSwitch ist ein relativ normaler Switch mit der kleinen Besonderheit, dass er aus der FortiGate (also der Firewall) heraus gemanaged werden kann. Das ist sehr nett für Niederlassungen wo nur ein wenig Infrastruktur steht, da kann man alles zental verwalten.
FortiLink ist das dazugehörige proprietäre Protokoll von FortiNet, eben um die Firewall mit dem Swicht zu verbinden. Hierzu wird jeweils ein Port pro Geräte ausschließlich fürs Mangement deklariert, darüber läuft dann auch kein produktives Paket.
VLANs können jetzt geräteübergreifend genutzt werden.
Man kann also durchaus einen Fortiswitch nutzen, um eine HA-Cluster mit dem Provider-Router zu verbinden sofern vom Provider nicht schon ein Switch zur Verfügung gestellt ist.
Den Hintergrund der WAN-VLANs habe ich auch nicht ganz verstanden...
Gruß
Bernhard
Ein FortiSwitch ist ein relativ normaler Switch mit der kleinen Besonderheit, dass er aus der FortiGate (also der Firewall) heraus gemanaged werden kann. Das ist sehr nett für Niederlassungen wo nur ein wenig Infrastruktur steht, da kann man alles zental verwalten.
FortiLink ist das dazugehörige proprietäre Protokoll von FortiNet, eben um die Firewall mit dem Swicht zu verbinden. Hierzu wird jeweils ein Port pro Geräte ausschließlich fürs Mangement deklariert, darüber läuft dann auch kein produktives Paket.
VLANs können jetzt geräteübergreifend genutzt werden.
Man kann also durchaus einen Fortiswitch nutzen, um eine HA-Cluster mit dem Provider-Router zu verbinden sofern vom Provider nicht schon ein Switch zur Verfügung gestellt ist.
Den Hintergrund der WAN-VLANs habe ich auch nicht ganz verstanden...
Gruß
Bernhard
