5
Nur Remotesubnet über site to site VPN Zyxel - Fortigate erreichbar. Keine DMZ
Leider wird ein ping zur DMZ verworfen.
Die Zyxel USG 200 hat eine FW: 3.0 AQU.2 die Neueste.
Der VPN steht! zu einer Fortigate 60B. FW. v4.0,build0217,110616 (MR1 Patch 10).
Bloss erreiche ich nur das angegebene Subnet.( LocalSubnet Fortigate= 192.168.1.0/24)
Das Subnet Der USG200: LocalSubnet Fortigate= 192.168.100.0/24
Die DMZ ist: 192.168.200.0/24
Die Zyxel USG 200 ersetzt eine Fortinet 50. Mit dieser waren alle Services in der DMZ über den VPN (internal - DMZ, erreichbar.
Die auffälligste Änderung am VPN Fortigate 60B zu USG200 ist, dass ich in der Phase2 den.
Quick Mode Selector :source adress 192.168.1.0/24
:destination adress 192.168.100.0/24
definieren MUSS.
Wer hat eine Idee oder noch besser Erfahrung mit den beiden FWs und weiss wo ich ansetzen muss?
TIA
Kimi
Die Zyxel USG 200 hat eine FW: 3.0 AQU.2 die Neueste.
Der VPN steht! zu einer Fortigate 60B. FW. v4.0,build0217,110616 (MR1 Patch 10).
Bloss erreiche ich nur das angegebene Subnet.( LocalSubnet Fortigate= 192.168.1.0/24)
Das Subnet Der USG200: LocalSubnet Fortigate= 192.168.100.0/24
Die DMZ ist: 192.168.200.0/24
Die Zyxel USG 200 ersetzt eine Fortinet 50. Mit dieser waren alle Services in der DMZ über den VPN (internal - DMZ, erreichbar.
Die auffälligste Änderung am VPN Fortigate 60B zu USG200 ist, dass ich in der Phase2 den.
Quick Mode Selector :source adress 192.168.1.0/24
:destination adress 192.168.100.0/24
definieren MUSS.
Wer hat eine Idee oder noch besser Erfahrung mit den beiden FWs und weiss wo ich ansetzen muss?
TIA
Kimi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 192811
Url: https://administrator.de/contentid/192811
Ausgedruckt am: 15.11.2024 um 07:11 Uhr
5 Kommentare
Neuester Kommentar
Dir auch kein Hallo,
wärst Du noch so Gütig, und würdest dir die Mühe machen uns einen Traceroute von beiden Seiten zu schicken?
Meine Glaskugel ist gerade im Eimer.
Dir auch kein Tschüss.
wärst Du noch so Gütig, und würdest dir die Mühe machen uns einen Traceroute von beiden Seiten zu schicken?
Meine Glaskugel ist gerade im Eimer.
Dir auch kein Tschüss.
Ja klar, wenn ich so höflich dazu aufgefordert werde 
Hier der tracert:
C:\Users\xxx>tracert 192.168.100.5
Routenverfolgung zu Bla006 [192.168.100.5] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms 192.168.1.254
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 26 ms 25 ms 25 ms Bla006 [192.168.100.5]
Ablaufverfolgung beendet.
C:\Dokumente und Einstellungen\xxx>tracert 192.168.200.254
Routenverfolgung zu 192.168.200.254 über maximal 30 Abschnitte
1 <1 ms <1 ms <1 ms 192.168.100.1
2 21 ms 21 ms 21 ms 212.161.219.109
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * ^C
Hier habe ich abgebrochen, weil das nichts mehr wird...
Die IP 212.161.219.109 ist von meinem Provider.
Mir hats allerdings nicht weiter geholfen.
thanks in advance
Kimi
Hier der tracert:
C:\Users\xxx>tracert 192.168.100.5
Routenverfolgung zu Bla006 [192.168.100.5] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms 192.168.1.254
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 26 ms 25 ms 25 ms Bla006 [192.168.100.5]
Ablaufverfolgung beendet.
C:\Dokumente und Einstellungen\xxx>tracert 192.168.200.254
Routenverfolgung zu 192.168.200.254 über maximal 30 Abschnitte
1 <1 ms <1 ms <1 ms 192.168.100.1
2 21 ms 21 ms 21 ms 212.161.219.109
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * ^C
Hier habe ich abgebrochen, weil das nichts mehr wird...
Die IP 212.161.219.109 ist von meinem Provider.
Mir hats allerdings nicht weiter geholfen.
thanks in advance
Kimi
Routenverfolgung zu 192.168.200.254 über maximal 30 Abschnitte
1 <1 ms <1 ms <1 ms 192.168.100.1
2 21 ms 21 ms 21 ms 212.161.219.109
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * ^C
da hast du doch schon das Problem, der Host weiß kennt die Route in das Netz nicht,
und daher landet es bei seinem Standart Gateway, was dem Router deines Providers entspricht.
Also, Route setzen, und alle mal auf die Schenkel klopfen ;)
- du hast offensichtlich nicht alle remote (dmz) netze in der lokalen encryption domain, daher wird der traffic zur dmz auch nicht in den tunnel geroutet sondern ins internet, wo es aber versackt
Herzliche Dank an Euch beide.
durch eure Hilfe bin ich auf eine Lösung gestossen.
Ich habe einen Range definiert der beide Subnetze enthält diese dann in der Localpolicy der Phase 2 angegeben. Mit der FW dann wieder eingeschränkt auf die benötigten Resourcen.
Eine weitere Lösung, habe ich aber nicht getestet:
Eine zweite Phase2 mit dem nötigen Subnetz und demselben Phase1 GW.
Greetz
Kimi
durch eure Hilfe bin ich auf eine Lösung gestossen.
Ich habe einen Range definiert der beide Subnetze enthält diese dann in der Localpolicy der Phase 2 angegeben. Mit der FW dann wieder eingeschränkt auf die benötigten Resourcen.
Eine weitere Lösung, habe ich aber nicht getestet:
Eine zweite Phase2 mit dem nötigen Subnetz und demselben Phase1 GW.
Greetz
Kimi
