4
Keine DNS-Auflösung bei site-to-site vpn-verbindung über fortigate 80c
Bin neu im Forum und brauche dringend Hilfe bei der Einrichtung einer VPN Site-to-Site Verbindung mit Fortigate 80c
Hallo zusammen,
ich habe die Aufgabe, zwei Standorte über einen VPN-Tunnel zu verbinden. Als Firewall sind zwei Fortigate 80 C vorhanden. Der Tunnel steht soweit, d.h., ich kann den Server bei Standort A von Standort B über die IP-Adresse anpingen. Das Problem ist nun, dass ich den Server über die Namensauflösung nicht erreiche, d.h., wenn ich den Namen des Servers (Server01) mit dem Ping aus Standort B absetze, wird er nicht gefunden. Bei Standort A klappt alles. Die Infrastruktur in Standort A sieht so aus, dass hier ein Win2003 SBS Server steht, der DHCP und DNS ausführt. In Standort B steht kein Server, nur Clients, die sich am Server bei Standort A anmelden sollen und auf die Daten zugreifen müssen.
Folgende Netzwerk-Konfiguration liegt vor:
Standort A: 192.168.250.0/255.255.255.0; DNS: 192.168.250.1; Server: 192.168.250.1; GW: 192.168.250.4 (Fortigate 80C)
Standort B: 192.168.2.0/255.255.255.0; GW: 192.168.2.99 (Fortigate 80C)
Die Fortigates sind an DSL-Modems angeschlossen.
Ich hoffe, dass ich mich verständlich ausgedrückt habe und würde mich über rasche Hilfe sehr freuen.
mfg
Schorre
Hallo zusammen,
ich habe die Aufgabe, zwei Standorte über einen VPN-Tunnel zu verbinden. Als Firewall sind zwei Fortigate 80 C vorhanden. Der Tunnel steht soweit, d.h., ich kann den Server bei Standort A von Standort B über die IP-Adresse anpingen. Das Problem ist nun, dass ich den Server über die Namensauflösung nicht erreiche, d.h., wenn ich den Namen des Servers (Server01) mit dem Ping aus Standort B absetze, wird er nicht gefunden. Bei Standort A klappt alles. Die Infrastruktur in Standort A sieht so aus, dass hier ein Win2003 SBS Server steht, der DHCP und DNS ausführt. In Standort B steht kein Server, nur Clients, die sich am Server bei Standort A anmelden sollen und auf die Daten zugreifen müssen.
Folgende Netzwerk-Konfiguration liegt vor:
Standort A: 192.168.250.0/255.255.255.0; DNS: 192.168.250.1; Server: 192.168.250.1; GW: 192.168.250.4 (Fortigate 80C)
Standort B: 192.168.2.0/255.255.255.0; GW: 192.168.2.99 (Fortigate 80C)
Die Fortigates sind an DSL-Modems angeschlossen.
Ich hoffe, dass ich mich verständlich ausgedrückt habe und würde mich über rasche Hilfe sehr freuen.
mfg
Schorre
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 141903
Url: https://administrator.de/contentid/141903
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
wo hast du du den DNS bei Standort B eingetragen? Wenn du dort den 192.168.250.1 unter
einträgst, sollten alle Anfragen nach Standort A geleitet werden! Probier das mal aus. Ansonsten noch mal die Firewall Policy Settings vornehmen. Route, etc. steht ja, bzw. wird bei Aufbau des Tunnels automatisch angelegt. Du hast es ja selber oben geschrieben. GW ist 192.168.2.99 für Standort B. Somit geht nur Traffic über den Tunnel, der den Spezifikationen entspricht.
Trag einfach mal den DNS am DHCP Server ein. Sollte ja die FG80C sein.
mfg Crusher
wo hast du du den DNS bei Standort B eingetragen? Wenn du dort den 192.168.250.1 unter
System - DHCP - Service - Advanced
einträgst, sollten alle Anfragen nach Standort A geleitet werden! Probier das mal aus. Ansonsten noch mal die Firewall Policy Settings vornehmen. Route, etc. steht ja, bzw. wird bei Aufbau des Tunnels automatisch angelegt. Du hast es ja selber oben geschrieben. GW ist 192.168.2.99 für Standort B. Somit geht nur Traffic über den Tunnel, der den Spezifikationen entspricht.
Trag einfach mal den DNS am DHCP Server ein. Sollte ja die FG80C sein.
mfg Crusher
Hi Crusher,
vielen Dank für Deine Hilfe. Namensauflösung klappt jetzt. Ich hatte zwar an der Stelle, die Du beschrieben hast, den DNS früher schon mal eingetragen - aber leider ohne Erfolg. Vielleicht lag es auch daran, dass ich unter Network - Options einen DNS -Eintrag (208.91.112.53 u. .52 - kam anscheinend von FG) stehen hatte.
Das Thema ist somit erledigt. Darf ich Dich noch was anderes zum Thema Site-to-Site VPN fragen?
Die oben beschriebene Infrastruktur habe ich in einer Testumgebung, die dem realen Einsatz gleicht, aufgebaut. Eine Änderung zur realen Firmenstruktur besteht aber noch. In Standord B wird momenta das gleiche Netz 192.168.250.0/255.255.25.0 verwendet. Für mich stellt sich nun die Frage, ob ich in Standord B die Netzadressen ändern muss, oder ob ich über die virtuellen IP´s der FG die Einstellungen treffen soll. Ich hab das mit den virtuellen IP´s schon mal probiert - hatte aber keinen Erfolg damit. Ergebnis daraus war, dass ich bei beiden Standorten keine Internetverbindung und auch keinen Tunnel mehr hatte.
Hast Du Erfahrung mit dem Anwenden der virtuellen IP´s? Wenn ja, wäre nett, wenn Du mir die Einstellungen mitteilen könntest.
Aber nochmal vielen Dank für die Hilfe mit der Namensauflösung.
mfg
Schorre
vielen Dank für Deine Hilfe. Namensauflösung klappt jetzt. Ich hatte zwar an der Stelle, die Du beschrieben hast, den DNS früher schon mal eingetragen - aber leider ohne Erfolg. Vielleicht lag es auch daran, dass ich unter Network - Options einen DNS -Eintrag (208.91.112.53 u. .52 - kam anscheinend von FG) stehen hatte.
Das Thema ist somit erledigt. Darf ich Dich noch was anderes zum Thema Site-to-Site VPN fragen?
Die oben beschriebene Infrastruktur habe ich in einer Testumgebung, die dem realen Einsatz gleicht, aufgebaut. Eine Änderung zur realen Firmenstruktur besteht aber noch. In Standord B wird momenta das gleiche Netz 192.168.250.0/255.255.25.0 verwendet. Für mich stellt sich nun die Frage, ob ich in Standord B die Netzadressen ändern muss, oder ob ich über die virtuellen IP´s der FG die Einstellungen treffen soll. Ich hab das mit den virtuellen IP´s schon mal probiert - hatte aber keinen Erfolg damit. Ergebnis daraus war, dass ich bei beiden Standorten keine Internetverbindung und auch keinen Tunnel mehr hatte.
Hast Du Erfahrung mit dem Anwenden der virtuellen IP´s? Wenn ja, wäre nett, wenn Du mir die Einstellungen mitteilen könntest.
Aber nochmal vielen Dank für die Hilfe mit der Namensauflösung.
mfg
Schorre
Hi,
vermutlich DNS vom Provider, o.ä.. Wie gesagt, muss DNS Server sein der die Domäne kennt. Also einfach der Windows Server. Läuft ja nun damit.
Rate dir zu UNTERSCHIEDLICHEN Adressbereichen. Virtuelle IP nur in sofern, dass ich z.B. Firma die das Intranet gestaltet dort hinterlegt habe und dann Firewall Policy mit den entsprechenden Eintrag erstellt hab. Kannst auch versch. Adressen unter einem "Schlagwort" - jetzt alles sehr trivial formuliert!!! - zusammen fassen.
Z.B. Name "Großkonzern" - beinhaltet alle IPs der versch. Lokationen - z.B. Bonn, Berlin, München .... Dient der besseren übersicht, etc.Odedr um Server im LAN wie FTP damit anzuspechen ....
Ist aber jetzt alles Offtopic!
Ja, es ist möglich 2x gleiche Netzt über VPN zu verbinden. Ist aber ziemlich tricky. Habe es mit der Fortigate nicht probiert.
Da Server etc. eh bei Lokation A stehen, würde ich einfach den Adressbereich von B ändern! Wenn es nur Clients gibt, auf denen keine "Mini-Server" für z.B. Fax, etc. laufen, merken noch nicht einmal die Anwender was!
Heisst für dich evtl. nur: Netzwerkdrucker und evtl. vorhandenes NAS, etc. an der Lokation B anzupassen.
Generell ist es möglich, aber gehört schon zur Königsdisziplin! Kenne deinen Background nicht, aber rate dir es ganz einfach zu gestalten! 2x Adressbereiche und den verkehr dazwischen zu verschlüsseln. Reicht normal erstmal soweit aus.
mfg Crusher
vermutlich DNS vom Provider, o.ä.. Wie gesagt, muss DNS Server sein der die Domäne kennt. Also einfach der Windows Server. Läuft ja nun damit.
Rate dir zu UNTERSCHIEDLICHEN Adressbereichen. Virtuelle IP nur in sofern, dass ich z.B. Firma die das Intranet gestaltet dort hinterlegt habe und dann Firewall Policy mit den entsprechenden Eintrag erstellt hab. Kannst auch versch. Adressen unter einem "Schlagwort" - jetzt alles sehr trivial formuliert!!! - zusammen fassen.
Z.B. Name "Großkonzern" - beinhaltet alle IPs der versch. Lokationen - z.B. Bonn, Berlin, München .... Dient der besseren übersicht, etc.Odedr um Server im LAN wie FTP damit anzuspechen ....
Ist aber jetzt alles Offtopic!
Ja, es ist möglich 2x gleiche Netzt über VPN zu verbinden. Ist aber ziemlich tricky. Habe es mit der Fortigate nicht probiert.
Da Server etc. eh bei Lokation A stehen, würde ich einfach den Adressbereich von B ändern! Wenn es nur Clients gibt, auf denen keine "Mini-Server" für z.B. Fax, etc. laufen, merken noch nicht einmal die Anwender was!
Heisst für dich evtl. nur: Netzwerkdrucker und evtl. vorhandenes NAS, etc. an der Lokation B anzupassen.
Generell ist es möglich, aber gehört schon zur Königsdisziplin! Kenne deinen Background nicht, aber rate dir es ganz einfach zu gestalten! 2x Adressbereiche und den verkehr dazwischen zu verschlüsseln. Reicht normal erstmal soweit aus.
mfg Crusher
Hi Crusher,
danke für die Info. Werde es auch so machen und mit unterschiedlichen Adressbereichen arbeiten arbeiten.
mfg Schorre
danke für die Info. Werde es auch so machen und mit unterschiedlichen Adressbereichen arbeiten arbeiten.
mfg Schorre
