6
IPsec-VPN zwischen Fortigate 80c und 50c mit geraden und ungeraden IP-Adressen
Liebe Forenmitglieder!
Ich habe ein nicht nachvollziehbares Problem mit einer IPsec-VPN-Verbindung zwischen zwei Standorten mittels einer Fortigate 80c und einer Fortigate 50c.
Folgende 2 Netze möchte ich über ein SDSL-Internet verbinden:
Netz 1: 192.168.0.0 <-> Netz 2. 192.168.1.0
Die Verbindung habe ich wie in der Fortigate-Knowledgebase beschrieben hergestellt und aktiviert. Laut Fortigate-Webconfig ist die Verbindung hergestellt aber leider kann ich nur von einem Computer mit ungerader IP-Adresse (z.B. 192.168.0.17) einen Computer im anderen Netz anpingen (z.B. 192.168.1.2). Bei einer geraden IP (z.B. 192.168.0.16) komme ich nicht ins andere Netz.
Umgekehrt (192.168.1.0) -> 192.168.0.0) funktioniert es seltsamerweise mit jeder IP-Adresse.
Ich habe auch keine sonstigen speziellen Firewall-Richtlinien etc. vergeben, die eine solches Verhalten erkären würden.
Wäre schön wenn mir jemand einen Tip geben könnte!
Schöne Grüße!
Folgende 2 Netze möchte ich über ein SDSL-Internet verbinden:
Netz 1: 192.168.0.0 <-> Netz 2. 192.168.1.0
Die Verbindung habe ich wie in der Fortigate-Knowledgebase beschrieben hergestellt und aktiviert. Laut Fortigate-Webconfig ist die Verbindung hergestellt aber leider kann ich nur von einem Computer mit ungerader IP-Adresse (z.B. 192.168.0.17) einen Computer im anderen Netz anpingen (z.B. 192.168.1.2). Bei einer geraden IP (z.B. 192.168.0.16) komme ich nicht ins andere Netz.
Umgekehrt (192.168.1.0) -> 192.168.0.0) funktioniert es seltsamerweise mit jeder IP-Adresse.
Ich habe auch keine sonstigen speziellen Firewall-Richtlinien etc. vergeben, die eine solches Verhalten erkären würden.
Wäre schön wenn mir jemand einen Tip geben könnte!
Schöne Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 154913
Url: https://administrator.de/contentid/154913
Printed on: April 23, 2024 at 22:04 o'clock
6 Comments
Latest comment
Wenn du die Firewall auf der Fortigate wirklich sicher ausschliessen kannst, dann ist es wie immer vermutlich die lokale Firewall.
Bedenke das du aus einem fremden IP Netz kommst ! Lokale Firewalls blocken soclhe Zugriffe in der Regel immer !
Folgendes solltest du prüfen:
Dann mit Traceroute, Pathping und Wireshark Schritt für Schritt suchen...
Bedenke das du aus einem fremden IP Netz kommst ! Lokale Firewalls blocken soclhe Zugriffe in der Regel immer !
Folgendes solltest du prüfen:
- ICMP erlauben (Ping). In den erweiterten Eigenschaften -> ICMP checken ob der Haken "Auch eingehende Echos antworten" gesetzt ist !
- Dienste wie CIFS Sharing, RDP usw. ggf. für den jeweiligen remoten IP Bereich freigeben oder den "Schrotschuss" Button "Alle Computer inkl. Internet" anklicken !
- Prüfen ob nicht irgendwelche anderen lokalen Firewalls ala Zone Alarm, Kaspersky etc. ihr Unwesen treiben
Dann mit Traceroute, Pathping und Wireshark Schritt für Schritt suchen...
Hallo,
bitte beantworte zuerst zwei Fragen:
1. Welche Firmware haben deine Fortigates?
2. Hast du den IPSec-Tunnel im Interface-Mode oder im Tunnel-Mode hergstellt?
mfg
Harald
bitte beantworte zuerst zwei Fragen:
1. Welche Firmware haben deine Fortigates?
2. Hast du den IPSec-Tunnel im Interface-Mode oder im Tunnel-Mode hergstellt?
mfg
Harald
Hallo,
Danke für die Antworten!
Firmware: v4.0,build0192,091222 (MR1 Patch 2)
Operation Mode: NAT (Tunnel-Modus)
Fremde Firewalls kann ich absolut ausschließen. Hab die Fortigate vom Gesamtnetz getrennt und einen Client direkt an der Lan-Schnittstelle angeschlossen. Die Windows-Firewall am Client ist deaktivert. Trotzdem das gleiche Bild:
Client-Adresse: 192.168.0.18 -> kein Ping/Verbindung
Client-Adresse: 192.168.0.19 -> Ping und RDP funktionieren
Client-Adresse: 192.168.0.20 -> kein Ping/Verbindung
Einzige aktive Firewall-Richtlinie:
Source: Netz 1 (192.168.0.0 / 255.255.255.0)
Destination: Netz 2 (192.168.1.0 / 255.255.255.0)
Schedule: always
Service: any
Action: encrypt
Der VPN-Monitor zeigt an: "Bring down" also sollte die Verbindung aktiv sein. Die Fortigates sind beide neu und es wurden keine sonstigen Einstellungen vorgenommen.
Schöne Grüße!
Danke für die Antworten!
Firmware: v4.0,build0192,091222 (MR1 Patch 2)
Operation Mode: NAT (Tunnel-Modus)
Fremde Firewalls kann ich absolut ausschließen. Hab die Fortigate vom Gesamtnetz getrennt und einen Client direkt an der Lan-Schnittstelle angeschlossen. Die Windows-Firewall am Client ist deaktivert. Trotzdem das gleiche Bild:
Client-Adresse: 192.168.0.18 -> kein Ping/Verbindung
Client-Adresse: 192.168.0.19 -> Ping und RDP funktionieren
Client-Adresse: 192.168.0.20 -> kein Ping/Verbindung
Einzige aktive Firewall-Richtlinie:
Source: Netz 1 (192.168.0.0 / 255.255.255.0)
Destination: Netz 2 (192.168.1.0 / 255.255.255.0)
Schedule: always
Service: any
Action: encrypt
Der VPN-Monitor zeigt an: "Bring down" also sollte die Verbindung aktiv sein. Die Fortigates sind beide neu und es wurden keine sonstigen Einstellungen vorgenommen.
Schöne Grüße!
Hallo,
ich nehme an, das beide Fortigates die gleiche Firmware haben?
FortiOS 4.0 MR1patch2 ist nicht besonders stabil, du solltest hier auf FOS 4.0 MR1patch8 updaten.
Sind in der Phase2 Einschränkungen bzgl Source- und Destination-IP hinterlegt? Bitte beide Fortigates überprüfen
mfg
Harald
ich nehme an, das beide Fortigates die gleiche Firmware haben?
FortiOS 4.0 MR1patch2 ist nicht besonders stabil, du solltest hier auf FOS 4.0 MR1patch8 updaten.
Sind in der Phase2 Einschränkungen bzgl Source- und Destination-IP hinterlegt? Bitte beide Fortigates überprüfen
mfg
Harald
Hallo Harald,
Hab jetzt beide Fortigates (80c und 50B) auf die Firmware v4.0,build0209,100929 (MR1 Patch 8) upgedated. Leider immer noch die gleiche Situation.
Die Einstellungen in der Phase zwei sehen folgendermaßen aus:
Fortigate 80c:
1-Encryption: 3DS Authentication: SHA1
2-Encryption: AES128 Authentication: SHA1
Enable replay detection: on
Enable perfect forward secrecy(PFS): on
DH Group: 5
Keylife: Seconds 1800
Auto Keep Alive: off
Quick Mode Selector:
Source address: 192.168.0.0/24
Source port: 0
Destination address: 192.168.1.0/24
Destination port: 0
Protocol: 0
Fortigate 50b:
1-Encryption: 3DS Authentication: SHA1
2-Encryption: AES128 Authentication: SHA1
Enable replay detection: on
Enable perfect forward secrecy(PFS): on
DH Group: 5
Keylife: Seconds 1800
Auto Keep Alive: off
Quick Mode Selector:
Source address: 192.168.1.0/24
Source port: 0
Destination address: 192.168.0.0/24
Destination port: 0
Protocol: 0
Schöne Grüße
Hab jetzt beide Fortigates (80c und 50B) auf die Firmware v4.0,build0209,100929 (MR1 Patch 8) upgedated. Leider immer noch die gleiche Situation.
Die Einstellungen in der Phase zwei sehen folgendermaßen aus:
Fortigate 80c:
1-Encryption: 3DS Authentication: SHA1
2-Encryption: AES128 Authentication: SHA1
Enable replay detection: on
Enable perfect forward secrecy(PFS): on
DH Group: 5
Keylife: Seconds 1800
Auto Keep Alive: off
Quick Mode Selector:
Source address: 192.168.0.0/24
Source port: 0
Destination address: 192.168.1.0/24
Destination port: 0
Protocol: 0
Fortigate 50b:
1-Encryption: 3DS Authentication: SHA1
2-Encryption: AES128 Authentication: SHA1
Enable replay detection: on
Enable perfect forward secrecy(PFS): on
DH Group: 5
Keylife: Seconds 1800
Auto Keep Alive: off
Quick Mode Selector:
Source address: 192.168.1.0/24
Source port: 0
Destination address: 192.168.0.0/24
Destination port: 0
Protocol: 0
Schöne Grüße
Ein Mitglied im Fortigate-Forum hat mir empfohlen den VPN-Modus "Route-Mode" zu verwenden.
Auf diese Weise funktioniert die Verbindung mit jeder IP-Adresse.
Schöne Grüße!
Auf diese Weise funktioniert die Verbindung mit jeder IP-Adresse.
Schöne Grüße!
