kimi01n
Goto Top

Nur Remotesubnet über site to site VPN Zyxel - Fortigate erreichbar. Keine DMZ

Leider wird ein ping zur DMZ verworfen.

Die Zyxel USG 200 hat eine FW: 3.0 AQU.2 die Neueste.
Der VPN steht! zu einer Fortigate 60B. FW. v4.0,build0217,110616 (MR1 Patch 10).
Bloss erreiche ich nur das angegebene Subnet.( LocalSubnet Fortigate= 192.168.1.0/24)
Das Subnet Der USG200: LocalSubnet Fortigate= 192.168.100.0/24
Die DMZ ist: 192.168.200.0/24

Die Zyxel USG 200 ersetzt eine Fortinet 50. Mit dieser waren alle Services in der DMZ über den VPN (internal - DMZ, erreichbar.
Die auffälligste Änderung am VPN Fortigate 60B zu USG200 ist, dass ich in der Phase2 den.
Quick Mode Selector :source adress 192.168.1.0/24
:destination adress 192.168.100.0/24
definieren MUSS.

Wer hat eine Idee oder noch besser Erfahrung mit den beiden FWs und weiss wo ich ansetzen muss?
TIA
Kimi

Content-ID: 192811

Url: https://administrator.de/forum/nur-remotesubnet-ueber-site-to-site-vpn-zyxel-fortigate-erreichbar-keine-dmz-192811.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Epixc0re
Epixc0re 15.10.2012 aktualisiert um 19:54:00 Uhr
Goto Top
Dir auch kein Hallo,

wärst Du noch so Gütig, und würdest dir die Mühe machen uns einen Traceroute von beiden Seiten zu schicken?

Meine Glaskugel ist gerade im Eimer.

Dir auch kein Tschüss.
kimi01n
kimi01n 15.10.2012 um 23:40:15 Uhr
Goto Top
Ja klar, wenn ich so höflich dazu aufgefordert werde face-wink

Hier der tracert:
C:\Users\xxx>tracert 192.168.100.5

Routenverfolgung zu Bla006 [192.168.100.5] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms 192.168.1.254
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 26 ms 25 ms 25 ms Bla006 [192.168.100.5]

Ablaufverfolgung beendet.


C:\Dokumente und Einstellungen\xxx>tracert 192.168.200.254

Routenverfolgung zu 192.168.200.254 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms 192.168.100.1
2 21 ms 21 ms 21 ms 212.161.219.109
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * ^C
Hier habe ich abgebrochen, weil das nichts mehr wird...
Die IP 212.161.219.109 ist von meinem Provider.
Mir hats allerdings nicht weiter geholfen.
thanks in advance
Kimi
Epixc0re
Epixc0re 16.10.2012 um 00:28:37 Uhr
Goto Top
Zitat von @kimi01n:
C:\Dokumente und Einstellungen\xxx>tracert 192.168.200.254

Routenverfolgung zu 192.168.200.254 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms 192.168.100.1
2 21 ms 21 ms 21 ms 212.161.219.109
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * ^C


da hast du doch schon das Problem, der Host weiß kennt die Route in das Netz nicht,
und daher landet es bei seinem Standart Gateway, was dem Router deines Providers entspricht.


Also, Route setzen, und alle mal auf die Schenkel klopfen ;)
spacyfreak
spacyfreak 16.10.2012 um 06:53:47 Uhr
Goto Top
- du hast offensichtlich nicht alle remote (dmz) netze in der lokalen encryption domain, daher wird der traffic zur dmz auch nicht in den tunnel geroutet sondern ins internet, wo es aber versackt
kimi01n
kimi01n 16.10.2012 um 10:33:40 Uhr
Goto Top
Herzliche Dank an Euch beide.
durch eure Hilfe bin ich auf eine Lösung gestossen.
Ich habe einen Range definiert der beide Subnetze enthält diese dann in der Localpolicy der Phase 2 angegeben. Mit der FW dann wieder eingeschränkt auf die benötigten Resourcen.

Eine weitere Lösung, habe ich aber nicht getestet:
Eine zweite Phase2 mit dem nötigen Subnetz und demselben Phase1 GW.

Greetz
Kimi