20
Fragen zur Integration einer FortiGate Firewall 60F
Guten Morgen Zusammen,
wir möchten in unserem Handwerksbetrieb eine FortiGate60F Firewall installieren. Nun stellt sich die Frage, wie diese am sinnvollsten integriert werden sollte.
Vorhanden ist aktuell eine Fritzbox als DSL Router, die Telefonie erfolgt über eine Auerswald 5020 Telefonanlage.
Variante 1:
Eine Digitalisierungsbox von der Telekom haben wir noch im Schrank liegen. Daher war der erste Gedanke, die Digitaliserungsbox als Modem zu konfigurieren und dann dahinter die FortiGate die Einwahl erledigen zu lassen. Die Fritzbox könnte dann als IP-Client wieder hinter der FortiGate angeschlossen werden.
Kann mir jemand von euch sagen, ob das so funktionieren wird, oder sind da Probleme mit der Telefonie zu erwarten? Oder wird die Fritzbox gar nicht mehr benötigt für die Telefonie mit der Auerswald Anlage?
Variante 2:
Die Fritzbox bleibt unverändert Router in Verbindung mit der Auerswald und die FortiGate wird als Exposed Host konfiguriert.
Ich möchte nun die Firewall verbauen und alles soweit anschließen. Sobald die Firewall im Netz erreichbar ist, soll ein Techniker per Fernwartung die Firewall mit uns zusammen konfigurieren.
wir möchten in unserem Handwerksbetrieb eine FortiGate60F Firewall installieren. Nun stellt sich die Frage, wie diese am sinnvollsten integriert werden sollte.
Vorhanden ist aktuell eine Fritzbox als DSL Router, die Telefonie erfolgt über eine Auerswald 5020 Telefonanlage.
Variante 1:
Eine Digitalisierungsbox von der Telekom haben wir noch im Schrank liegen. Daher war der erste Gedanke, die Digitaliserungsbox als Modem zu konfigurieren und dann dahinter die FortiGate die Einwahl erledigen zu lassen. Die Fritzbox könnte dann als IP-Client wieder hinter der FortiGate angeschlossen werden.
Kann mir jemand von euch sagen, ob das so funktionieren wird, oder sind da Probleme mit der Telefonie zu erwarten? Oder wird die Fritzbox gar nicht mehr benötigt für die Telefonie mit der Auerswald Anlage?
Variante 2:
Die Fritzbox bleibt unverändert Router in Verbindung mit der Auerswald und die FortiGate wird als Exposed Host konfiguriert.
Ich möchte nun die Firewall verbauen und alles soweit anschließen. Sobald die Firewall im Netz erreichbar ist, soll ein Techniker per Fernwartung die Firewall mit uns zusammen konfigurieren.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2197644617
Url: https://administrator.de/contentid/2197644617
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
20 Kommentare
Neuester Kommentar
Warum plant Ihr den Einsatz nicht sauber mit dem Techniker? Die Kosten für die Vorabplanung kostet die Einrichtung später weniger.
Die "Vorplanung" erfolgte telefonisch. Wir schilderten unseren Aufbau des Netzwerkes, der Techniker hatte dann empfohlen die Fritzbox per Exposed Host zu konfigurieren. Für die Einrichtung bzw. Konfiguration sind dann 4h angesetzt. Mit scheint die Lösung allerdings mit separatem Modem vernünftiger, daher eben die Frage.
Die Telekom DSL Verbindung kann die 60F doch selbst aufbauen?!
Was mir nicht klar ist, ob die Fritzbox dann noch für Telefonie oder Fax benötigt wird, oder ob das die Auerswald alles alleine regeln kann?!
Die Telekom DSL Verbindung kann die 60F doch selbst aufbauen?!
Was mir nicht klar ist, ob die Fritzbox dann noch für Telefonie oder Fax benötigt wird, oder ob das die Auerswald alles alleine regeln kann?!
Hi
Der Techniker hat recht. Fritzbox per Exposed Host zu konfigurieren und an der WAN schnittstelle der Fortigate anhängen.
Dann kann der Techniker den rest von der Ferne machen.
Ja die Fritzbox wird noch als Modem für dein Internet für die Telefonie und Fax benötigt die Fortigate ist eine Firewall und kein Modem.
4h für die Konfiguration finde ich persönlich aber nur passend wenn man alles über die Gui neu konfiguriert.
Wenn man bereits Kunden mit ähnlicher Konfiguration hat kann man diese auch umendern und einspielen das würde weniger Zeit in anspruch nehmen.
LG
Der Techniker hat recht. Fritzbox per Exposed Host zu konfigurieren und an der WAN schnittstelle der Fortigate anhängen.
Dann kann der Techniker den rest von der Ferne machen.
Ja die Fritzbox wird noch als Modem für dein Internet für die Telefonie und Fax benötigt die Fortigate ist eine Firewall und kein Modem.
4h für die Konfiguration finde ich persönlich aber nur passend wenn man alles über die Gui neu konfiguriert.
Wenn man bereits Kunden mit ähnlicher Konfiguration hat kann man diese auch umendern und einspielen das würde weniger Zeit in anspruch nehmen.
LG
1
Damit deine (Netz)Daten dann bei 20 anderen Firewalls drin stehen? Gut, billig gerechtfertigt alles.
Zitat von @Mystery-at-min:
Damit deine (Netz)Daten dann bei 20 anderen Firewalls drin stehen? Gut, billig gerechtfertigt alles.
Damit deine (Netz)Daten dann bei 20 anderen Firewalls drin stehen? Gut, billig gerechtfertigt alles.
Deine Kommentare in diesem Thread sind absolut unnötig und helfen zur Lösung kein Stück weiter. Das ist wirklich grausam in diesem Forum...
Zitat von @Ausserwoeger:
Hi
Der Techniker hat recht. Fritzbox per Exposed Host zu konfigurieren und an der WAN schnittstelle der Fortigate anhängen.
Dann kann der Techniker den rest von der Ferne machen.
Ja die Fritzbox wird noch als Modem für dein Internet für die Telefonie und Fax benötigt die Fortigate ist eine Firewall und kein Modem.
4h für die Konfiguration finde ich persönlich aber nur passend wenn man alles über die Gui neu konfiguriert.
Wenn man bereits Kunden mit ähnlicher Konfiguration hat kann man diese auch umendern und einspielen das würde weniger Zeit in anspruch nehmen.
LG
Hi
Der Techniker hat recht. Fritzbox per Exposed Host zu konfigurieren und an der WAN schnittstelle der Fortigate anhängen.
Dann kann der Techniker den rest von der Ferne machen.
Ja die Fritzbox wird noch als Modem für dein Internet für die Telefonie und Fax benötigt die Fortigate ist eine Firewall und kein Modem.
4h für die Konfiguration finde ich persönlich aber nur passend wenn man alles über die Gui neu konfiguriert.
Wenn man bereits Kunden mit ähnlicher Konfiguration hat kann man diese auch umendern und einspielen das würde weniger Zeit in anspruch nehmen.
LG
Vielen Dank für deine Antwort. Aber dann habe ich auch doppeltes NAT was wieder zu Problemen führen kann oder?!
Sicherheit ist unnötig? Willst du, dass im Zweifel Rückschlüsse auf dein Netz in zig FWs stehen? Ggf. sogar persönliche Daten?
Zitat von @Mystery-at-min:
Damit deine (Netz)Daten dann bei 20 anderen Firewalls drin stehen? Gut, billig gerechtfertigt alles.
Damit deine (Netz)Daten dann bei 20 anderen Firewalls drin stehen? Gut, billig gerechtfertigt alles.
?? !
Das ist normales Routing wie bei jeder anderen Firma auch wo sollten da welche Daten stehen ?
Das Interne Netz kennt nur die Fortigate und die Externe IP ist sowieso bekannt.
LG
du schreibst nichts von routing, sondern von der kompletten firewall konfiguration.
Zitat von @hukiman:
Vielen Dank für deine Antwort. Aber dann habe ich auch doppeltes NAT was wieder zu Problemen führen kann oder?!
Vielen Dank für deine Antwort. Aber dann habe ich auch doppeltes NAT was wieder zu Problemen führen kann oder?!
Ja das ist richtig. Probleme sind mir nicht bekannt. Ich würde aber auch doppeltes NAT vermeiden.
Wenn du einen Internet Zugang mit mehreren Öffenlichen IP adressen hast würde ich auf Routing umstellen und der Fortigate auf dem WAN Anschluss eine öffenliche IP geben.
Dadurch ist dann die Konfiguration von VPN für Heimarbeitsplätze einfacher.
Ich mache immer einen DNS Eintrag wie zb. vpn.domain.de damit wenn sich deine öffenliche IP ändern sollte man nicht alle VPN clients umstellen muss und man das mit dem umstellen des DNS eintrags lösen kann.
Falls das benötigt wird.
LG
Zitat von @Mystery-at-min:
Sicherheit ist unnötig? Willst du, dass im Zweifel Rückschlüsse auf dein Netz in zig FWs stehen? Ggf. sogar persönliche Daten?
Sicherheit ist unnötig? Willst du, dass im Zweifel Rückschlüsse auf dein Netz in zig FWs stehen? Ggf. sogar persönliche Daten?
??
Wie soll den eine internetverbindung funktionieren wenn dein eigener Provider deine IP adresse nicht kennt ?
Wie soll eine Postzustellung eines briefes funktionieren wenn niemand die adresse kennt.
Kein Routing heisst kein Internet.
Was soll das mit Sicherheit zu tun haben ?
Eine Firewall wie die Fortigate sorgt für Sicherheit.
LG
Wovon redest du?
Ferner behaupte ich mal, so wie du das schreibst, dass die hälfte vergessen wird und dann steht bei Kunde x im Zweifel von Kunde a - w Daten drin. Das hat NIX mit Routing zu tun.
Abgesehen davon sorgt eine Firewall nicht für Sicherheit, wenn du einfach ne Blaupause von anderen Kunden drauf haust. (Außer du nimmst any,any, dann haben alle die gleich Hohe Sicherheit....)
Wenn man bereits Kunden mit ähnlicher Konfiguration hat kann man diese auch umendern und einspielen das würde weniger Zeit in anspruch nehmen.
Ferner behaupte ich mal, so wie du das schreibst, dass die hälfte vergessen wird und dann steht bei Kunde x im Zweifel von Kunde a - w Daten drin. Das hat NIX mit Routing zu tun.
Abgesehen davon sorgt eine Firewall nicht für Sicherheit, wenn du einfach ne Blaupause von anderen Kunden drauf haust. (Außer du nimmst any,any, dann haben alle die gleich Hohe Sicherheit....)
Er schreibt doch, dass er die Konfiguration UMÄNDERT...
Sicherheit ist nicht unnötig, deine Kommentare jedoch schon. Das hier ist ein Forum, wenn jeder alles wüsste, müsste hier keiner eine Frage stellen. Es kann nur leider nicht jeder so ein allwissendes Genie sein, wie du es zu glauben vermagst...
Es ist wirklich schade, das unzählige Themen hier im Forum von solchen Beiträgen einfach komplett am Ziel vorbeiführen und es letztendlich zu keiner Lösung des Problems kommt.
Egal - die Diskussion ist damit für mich beendet, zurück zum Thema:
Wir haben nur eine öffentliche IP.
Okay, also bedeutet für mich:
Die FritzBox bleibt unverändert, ich verbinde dann nur einen Port der Fritzbox mit dem WAN1 Port der FortiGate?
Muss ich dann vorher an der FortiGate etwas konfigurieren oder erkennt die automatisch, das ein Router angeschlossen ist und zieht sich eine IP?
An der Fritzbox Exposed Host für die FortiGate konfigurieren
Die FortiGate ist aktuell am Port A schon mit dem FortiSwitch verbunden, der bereits im Fritzbox Netzwerk hängt. Kann es hier zu Problemen kommen in der Standardkonfig?
Sicherheit ist nicht unnötig, deine Kommentare jedoch schon. Das hier ist ein Forum, wenn jeder alles wüsste, müsste hier keiner eine Frage stellen. Es kann nur leider nicht jeder so ein allwissendes Genie sein, wie du es zu glauben vermagst...
Es ist wirklich schade, das unzählige Themen hier im Forum von solchen Beiträgen einfach komplett am Ziel vorbeiführen und es letztendlich zu keiner Lösung des Problems kommt.
Egal - die Diskussion ist damit für mich beendet, zurück zum Thema:
Zitat von @Ausserwoeger:
Ja das ist richtig. Probleme sind mir nicht bekannt. Ich würde aber auch doppeltes NAT vermeiden.
Wenn du einen Internet Zugang mit mehreren Öffenlichen IP adressen hast würde ich auf Routing umstellen und der Fortigate auf dem WAN Anschluss eine öffenliche IP geben.
Dadurch ist dann die Konfiguration von VPN für Heimarbeitsplätze einfacher.
Ich mache immer einen DNS Eintrag wie zb. vpn.domain.de damit wenn sich deine öffenliche IP ändern sollte man nicht alle VPN clients umstellen muss und man das mit dem umstellen des DNS eintrags lösen kann.
Falls das benötigt wird.
Ja das ist richtig. Probleme sind mir nicht bekannt. Ich würde aber auch doppeltes NAT vermeiden.
Wenn du einen Internet Zugang mit mehreren Öffenlichen IP adressen hast würde ich auf Routing umstellen und der Fortigate auf dem WAN Anschluss eine öffenliche IP geben.
Dadurch ist dann die Konfiguration von VPN für Heimarbeitsplätze einfacher.
Ich mache immer einen DNS Eintrag wie zb. vpn.domain.de damit wenn sich deine öffenliche IP ändern sollte man nicht alle VPN clients umstellen muss und man das mit dem umstellen des DNS eintrags lösen kann.
Falls das benötigt wird.
Wir haben nur eine öffentliche IP.
Okay, also bedeutet für mich:
Die FritzBox bleibt unverändert, ich verbinde dann nur einen Port der Fritzbox mit dem WAN1 Port der FortiGate?
Muss ich dann vorher an der FortiGate etwas konfigurieren oder erkennt die automatisch, das ein Router angeschlossen ist und zieht sich eine IP?
An der Fritzbox Exposed Host für die FortiGate konfigurieren
Die FortiGate ist aktuell am Port A schon mit dem FortiSwitch verbunden, der bereits im Fritzbox Netzwerk hängt. Kann es hier zu Problemen kommen in der Standardkonfig?
Er schreibt doch, dass er die Konfiguration UMÄNDERT...
und wie oft denkst du, dass das nicht VOLLSTÄNDIG passiert? - Ich geb dir einen Tipp, fast immer und dann ist keine Zeit gespart.
Zu deiner Frage, wenn du sowieso jemanden am Ohr hast, warum fragst du Ihn nicht, das hat nichts mit allwissend oder ähnlichem Gewäsch zu tun. Eher etwas mit "viele Köche verderben den Brei".
Muss ich dann vorher an der FortiGate etwas konfigurieren oder erkennt die automatisch, das ein Router angeschlossen ist und zieht sich eine IP?
Wofür hast du denn den Profi, wenn der dir das nichtmal gesagt hat - oder gibt's den gar nicht?
Abgesehen davon verbitte ich mir solche Statements, wenn du meine Anmerkungen nicht verstehst sind Sie vielleicht _für dich_ unnötig. Andere stolpern vielleicht drüber und merken, dass das Prozedere ggf nicht das optimalste ist.
Wünsch dir viel Erfolg, dass dir das mit den Ansichten nicht auf die Schnauze fällt
Zitat von @Mystery-at-min:
und wie oft denkst du, dass das nicht VOLLSTÄNDIG passiert? - Ich geb dir einen Tipp, fast immer und dann ist keine Zeit gespart.
Zu deiner Frage, wenn du sowieso jemanden am Ohr hast, warum fragst du Ihn nicht, das hat nichts mit allwissend oder ähnlichem Gewäsch zu tun. Eher etwas mit "viele Köche verderben den Brei".
Er schreibt doch, dass er die Konfiguration UMÄNDERT...
und wie oft denkst du, dass das nicht VOLLSTÄNDIG passiert? - Ich geb dir einen Tipp, fast immer und dann ist keine Zeit gespart.
Zu deiner Frage, wenn du sowieso jemanden am Ohr hast, warum fragst du Ihn nicht, das hat nichts mit allwissend oder ähnlichem Gewäsch zu tun. Eher etwas mit "viele Köche verderben den Brei".
Ja natürlich muss man hier die Konfiguration an den Kunden anpassen. Passwörter ändern IP ändern usw.
Aber über die CLI geht das einfach schneller als per GUI.
Wenn der Techniker das nicht vollständig an den Kunden anpasst kann ich ihm auch nicht helfen.
Bei mir gibt es keine überbleibsel von anderen Kunden in meinen Firewalls.
Muss ich dann vorher an der FortiGate etwas konfigurieren oder erkennt die automatisch, das ein Router angeschlossen ist und zieht sich eine IP?
Wofür hast du denn den Profi, wenn der dir das nichtmal gesagt hat - oder gibt's den gar nicht?
Abgesehen davon verbitte ich mir solche Statements, wenn du meine Anmerkungen nicht verstehst sind Sie vielleicht _für dich_ unnötig. Andere stolpern vielleicht drüber und merken, dass das Prozedere ggf nicht das optimalste ist.
Wünsch dir viel Erfolg, dass dir das mit den Ansichten nicht auf die Schnauze fällt
Ehrlich gesagt habe ich auch nicht verstanden was du gemeint hast. Du könntest ja etwas umfangreicher beschreiben was du meinst damit es zu keinen Missverständnissen kommt.
Ich muss auch sagen das ich es gut finde wenn sich ein Kunde der sich um die Sicherheit sorgt auch eine Zweitmeinung einholt.
LG
Ich muss auch sagen das ich es gut finde wenn sich ein Kunde der sich um die Sicherheit sorgt auch eine Zweitmeinung einholt.
Dann soll er das am System machen. Aber hier geht's nicht um Sicherheit, sondern irgendwie nur rumge..., das hätte der Spezialist (hoffentlich) in 5min Erklärt (wenn notwendig mehr) und umgesetzt.
Und solange
Bei mir gibt es keine überbleibsel von anderen Kunden in meinen Firewalls.
Das nicht verifiziert ist, würde ich das nicht so sagen. Aber, willst du es drauf ankommen lassen?
Zitat von @Mystery-at-min:
Das nicht verifiziert ist, würde ich das nicht so sagen. Aber, willst du es drauf ankommen lassen?
Das nicht verifiziert ist, würde ich das nicht so sagen. Aber, willst du es drauf ankommen lassen?
Hast du schonmal eine Konfig von einer Fortigate Firewall umgeschrieben ?
Wenn ja weisst du das es keine überbleibsel geben kann.
VPN muss man ändern wegen öffenlicher IP
Passwort muss geändert weden
Name der Firewall muss geändert werden
Interne IP Kofig muss geändert werden
Zuordnung der LAN schnitstellen muss geändert werden
Dail in VPN muss geändert werden
Firewall regeln müssen angepasst werden usw.
Man ist einfach schneller wenn man die Konfig ändert und einspielt. Diese wird auch vorher auf einer gleichen Firewall intern getestet und geprüft.
Wäre etwas gleich oder daten zurückgeblieben in der Konfig würde das auffallen.
Und Ja darauf lasse ich es ankommen weil ich weiss was ich kann.
Eine Konfig über GUI ist für mich einfach nur unnötiger Mehraufwand.
Wenn man das nicht kann bleibt eh nur die Konfig über GUI.
LG
Hallo,
wenn ich Dich richtig verstehe verwendest Du die Fritzbox als DSL-Router und eine Auerswald 5020 als Telefonanlage.
Ich würde die Fritzbox weglassen und eine reines DSL-Modem aufstellen und die Fortigate die Einwahl machen lassen.
Als DSL-Modem ein Draytek oder was ähnliches verwenden, dann hast keinerlei Probleme mit doppelten NAT.
Gruß
Anton
wenn ich Dich richtig verstehe verwendest Du die Fritzbox als DSL-Router und eine Auerswald 5020 als Telefonanlage.
Ich würde die Fritzbox weglassen und eine reines DSL-Modem aufstellen und die Fortigate die Einwahl machen lassen.
Als DSL-Modem ein Draytek oder was ähnliches verwenden, dann hast keinerlei Probleme mit doppelten NAT.
Gruß
Anton
1
Die Auerswald 5020 ist eine eigene und autarke VoIP Anlage, braucht folglich also die FritzBox nicht ! Sie wird stinknormal wie ein PC im lokalen LAN betrieben. Hätte der TO auch als Laie sehr einfach gesehen denn es gibt keinerlei analoge oder ISDN Kabelage zw. FB und Auerswald.
Fazit:
Reines NUR Modem wie Draytek 165/167 oder Zyxel VMG3006 vor die Fortigate, Auerswald wie jetzt auch einfach ins lokale LAN und gut iss.
Ein millionenfaches Standard Szeanrio für das es eigentlichen keinen Thread in einem Admin Forum bedurft hätte !
Fazit:
Reines NUR Modem wie Draytek 165/167 oder Zyxel VMG3006 vor die Fortigate, Auerswald wie jetzt auch einfach ins lokale LAN und gut iss.
Ein millionenfaches Standard Szeanrio für das es eigentlichen keinen Thread in einem Admin Forum bedurft hätte !
1
Heute hat mich der Techniker angerufen mit dem wir dann auch die FortiGate einrichten.
Wir haben das nun auch so festgelegt, das wir die Digitalisierungsbox als Modem vor die Fortigate setzen und dann die Fortigate die Einwahl erledigen lassen.
Ich dank euch für die Rückmeldungen, vor allem der Beitrag von LeReseau war sehr aufschlussreich. Das war mir eben nicht klar, da auch in der Fritzbox die 3 Telefonnummern angelegt sind. Aber dann ist die Auerswald ja null problem.
Wie gesagt besten Dank für eure Hilfe.
Wir haben das nun auch so festgelegt, das wir die Digitalisierungsbox als Modem vor die Fortigate setzen und dann die Fortigate die Einwahl erledigen lassen.
Ich dank euch für die Rückmeldungen, vor allem der Beitrag von LeReseau war sehr aufschlussreich. Das war mir eben nicht klar, da auch in der Fritzbox die 3 Telefonnummern angelegt sind. Aber dann ist die Auerswald ja null problem.
Wie gesagt besten Dank für eure Hilfe.
Moin,
um eine möglichst exakte Lösung nennen zu können, fehlen einfach noch ein paar Eckdaten.
- Welcher Telefonieserver ist in der FritzBox eingetragen? Vermutlich seid ihr bei der Telekom (?) - da wären tel.t-online.de oder irgendwas mit sip-trunk.telekom.de o.ä. möglich - je nach Anschlussart.
- Welche Digitalisierungsbox ist das genau (Smart, Premium, Standard usw.)?
Wenn die FritzBox wegfallen soll, muss ggf. die Konfiguration der Auerswald angepasst werden. Wenn ich Dich richtig verstanden habe, sind die Rufnummern ausschließlich in der FritzBox eingetragen?
Sollte der Anschluss noch per Easy-Login laufen, würde ich empfehlen, diesen auf Benutzer/Passwort mit einem Telekom-Login (bspw. t-online Mailadresse) umzustellen.
Wichtig ist, egal welcher Telekom-Anschluss das ist, dass zumindest die Aurswald über die FortiGate DNS-Anfragen über die dem bei der Einwahl übergebenen DNS Server der Telekom macht.
Gruß
cykes
um eine möglichst exakte Lösung nennen zu können, fehlen einfach noch ein paar Eckdaten.
- Welcher Telefonieserver ist in der FritzBox eingetragen? Vermutlich seid ihr bei der Telekom (?) - da wären tel.t-online.de oder irgendwas mit sip-trunk.telekom.de o.ä. möglich - je nach Anschlussart.
- Welche Digitalisierungsbox ist das genau (Smart, Premium, Standard usw.)?
Wenn die FritzBox wegfallen soll, muss ggf. die Konfiguration der Auerswald angepasst werden. Wenn ich Dich richtig verstanden habe, sind die Rufnummern ausschließlich in der FritzBox eingetragen?
Sollte der Anschluss noch per Easy-Login laufen, würde ich empfehlen, diesen auf Benutzer/Passwort mit einem Telekom-Login (bspw. t-online Mailadresse) umzustellen.
Wichtig ist, egal welcher Telekom-Anschluss das ist, dass zumindest die Aurswald über die FortiGate DNS-Anfragen über die dem bei der Einwahl übergebenen DNS Server der Telekom macht.
Gruß
cykes
