grauerstar
Goto Top

Port Weiterleitung bei DynDNS Forti FortiOS 5.2

Hallo,

Ich hab zum üben, eine "alte" Forinet Fortigate 40C bekommen und kann mir momentan keinen Anschluss mit fester IP leisten. Mein Telekom Modem steht vor der Firewall und bekommt jeden Tag eine neue IP Adresse deshalb benutze ich ein DynDNS.
Fortinet beschreibt die Funktionen ja extrem gut. Aber mit DynDNS funktioniert das weiterleiten nicht.... da ich bei den Virtuellen IP's bei "External IP Address/Range" ja meine IP Adresse eintragen muss. Leider funktioniert das nicht egal ob ich meine Aktuelle IP (die mit der ich nach außen aufscheine) weder die interne IP die ich vom Modem bekomm 192.168.x.x


Habt ihr eine Lösung für mich oder brauch ich hier eine Fixe IP ?

Vielen Dank für jede ernstgemeinte Antwort

Content-Key: 383728

Url: https://administrator.de/contentid/383728

Printed on: April 13, 2024 at 12:04 o'clock

Member: Pjordorf
Pjordorf Aug 17, 2018 at 13:39:46 (UTC)
Goto Top
Hallo,

Zitat von @GrauerStar:
Habt ihr eine Lösung für mich oder brauch ich hier eine Fixe IP ?
Schalte ein MODEM vor deiner 40C, dann bekommt deine Fortigate 40C die Öffentliche IP und kannst dein DyndDNS nutzen. Ob dein Telekom Modem das kann, du scheinst dort nämlich einen Router zu betreiben und kein Modem. Vielleicht lässt sich dein uns unbekannter Telekom (Router / Modem) ja dazu konfigurieren.
https://www.telekom.de/hilfe/geraete-zubehoer/router

Gruß,
Peter
Member: aqui
aqui Aug 17, 2018 updated at 15:39:46 (UTC)
Goto Top
Mein Telekom Modem steht vor der Firewall
Ist das wirklich ein reines Modem ??
Oder verwechselst du hier wieder mal laienhaft Modem und Router wie es leider sehr oft passiert hier ??
Ein reines Modem macht KEIN IP Forwarding sondern ist lediglich ein passiver Medienwandler der DSL Framing auf einen Ethernet Breitbandanschluss adaptiert wie ihn (vermutlich) deine Fortinet hat. Also OHNE IP Routing Funktion.
Reine Modems sind z.B. sowas: https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-d-link-dsl321 ...
Hybrid, ADSL/VDSL: https://www.draytek.de/vigor130.html
Rein ADSL:
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-allnet-all033 ...
Grundlagen ob Modem oder Router Kopplung kannst du hier nachlesen:
Kopplung von 2 Routern am DSL Port
Schaltest du einen kompletten Router dafor hast du eine sog. Router Kaskade.
Aus Konfig Sicht sind das ziemliche Unterschiede. Kollege @Pjordorf hat es oben ja schon auf den Punkt gebracht.
Bei einem reinen Modem davor (technsich bessere Lösung) terminiert das Internet direkt auf der Firewall.
Bei einer Router Kaskade terminiert es auf dem davor liegenden Router.

Er vermutet ja schon das du in Wahrheit sehr wahrscheinlich gar kein Modem hast sondern einen Router davor. Dann muss natürlich auf dem vorgelagerten Router das Port Forwarding und auch DynDNS gemacht werden !
Klar, denn der "sieht" ja direkt das Internet. Nicht aber die Firewall die hinter dessen NAT Firewall liegt.
Die dahinter kaskadiete Firewall hat dann ja an ihrem WAN Port eine private und statisch konfigurierte RFC 1918 IP Adresse aus dem lokalen LAN Netz des Routers auf die du dann forwardest.
Beispiel:
FritzBox vor der Firewall:
FritzBox WAN Adresse: Dynamisch je nach PPPoE des Providers (hier greift DynDNS)
FritzBox LAN Adresse: 192.168.178.1 /24
Fortinet WAN Port: 192.168.178.254 /24 (Auf diese IP forwardet die FB)
Fortinet LAN Port: 172.16.1.1 /24 (Oder ein anderes RFC 1918 Privat IP Netz deiner Wahl)

Internet===(WAN_FritzBox_LAN.1)---Koppelnetz 192.168.178.0 /24---(.254 WAN_Fortinet_LAN.1)---Lokales LAN 172.16.1.0 /24

Grundlagen dazu auch hier am Beispiel einer pfSense Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Member: affabanana
affabanana Aug 17, 2018 at 16:26:10 (UTC)
Goto Top
Hallo Zusammen

Aber FortiOS 5.4 kann man beim DynDns die Externe IP freischalten,
Damit spielt die Interface IP keine Rolle mehr.

Er nimmt einfach die erste öffentliche die er kriegen kann

gruss affabanana.

PS: 40c geht aber leider nur bis 5.2.xx
Member: GrauerStar
GrauerStar Aug 18, 2018 updated at 11:27:23 (UTC)
Goto Top
Zitat von @aqui:

Mein Telekom Modem steht vor der Firewall
Ist das wirklich ein reines Modem ??

Nein ist es nicht, ich dachte das sei klar wenn ich schreibe das es sich um einen Privaten Anschluss handelt, ich hab das leider so im Kopf und hab es deswegen auch falsch geschrieben.

Ich hab auch noch nie gesehen das ich als Privatperson ein reines Modem bekomme? KA wie das in Deutschland ist....


Oder verwechselst du hier wieder mal laienhaft Modem und Router wie es leider sehr oft passiert hier ??

Jop, sorry

Ein reines Modem macht KEIN IP Forwarding sondern ist lediglich ein passiver Medienwandler der DSL Framing auf einen Ethernet Breitbandanschluss adaptiert wie ihn (vermutlich) deine Fortinet hat. Also OHNE IP Routing Funktion.
Reine Modems sind z.B. sowas: https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-d-link-dsl321 ...
Hybrid, ADSL/VDSL: https://www.draytek.de/vigor130.html
Rein ADSL:
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-allnet-all033 ...

Schnelles Internet gibt es bei uns nicht wirklich daher hab ich einen Hybrid(Modem)Router = LTE + VDSL


Grundlagen ob Modem oder Router Kopplung kannst du hier nachlesen:
Kopplung von 2 Routern am DSL Port
Schaltest du einen kompletten Router dafor hast du eine sog. Router Kaskade.

Stimmt das hab ich .... ich kenne den Fachbegriff leider noch nicht (Abendschule beginnt erst im September) daher hab ich es versucht zu erklären... Das ist wohl nicht meine Starke Seite...

Aus Konfig Sicht sind das ziemliche Unterschiede. Kollege @Pjordorf hat es oben ja schon auf den Punkt gebracht.
Bei einem reinen Modem davor (technsich bessere Lösung) terminiert das Internet direkt auf der Firewall.

Gibt es Hybrid Modem zum kaufen? (muss gestehen hab jetzt nur kurz gegoogelt und keines gefunden, vorallem weiß ich das das LTE nur mit der Mac Adresse von dem Hybrid(Modem)Router funktioniert darf ich da überhaut ein eigens verwenden? Das müsste ich im Vertrag vorher durchlesen.

Bei einer Router Kaskade terminiert es auf dem davor liegenden Router.

Was willst du mir hiermit sagen? Ja die Firewall bekommt eine interne IP vom Hybrid(Modem)Router.


Er vermutet ja schon das du in Wahrheit sehr wahrscheinlich gar kein Modem hast sondern einen Router davor. Dann muss natürlich auf dem vorgelagerten Router das Port Forwarding und auch DynDNS gemacht werden !

Das macht das Hybrid(Modem)Router DynDNS funktioniert super und auch die Port-Weiterleitung bis zur Firewall ab da funktioniert das weiterleiten nicht mehr....

Klar, denn der "sieht" ja direkt das Internet. Nicht aber die Firewall die hinter dessen NAT Firewall liegt.
Die dahinter kaskadiete Firewall hat dann ja an ihrem WAN Port eine private und statisch konfigurierte RFC 1918 IP Adresse aus dem lokalen LAN Netz des Routers auf die du dann forwardest.
Beispiel:
FritzBox vor der Firewall:
FritzBox WAN Adresse: Dynamisch je nach PPPoE des Providers (hier greift DynDNS)
FritzBox LAN Adresse: 192.168.178.1 /24
Fortinet WAN Port: 192.168.178.254 /24 (Auf diese IP forwardet die FB)
Fortinet LAN Port: 172.16.1.1 /24 (Oder ein anderes RFC 1918 Privat IP Netz deiner Wahl)

Internet===(WAN_FritzBox_LAN.1)---Koppelnetz 192.168.178.0 /24---(.254 WAN_Fortinet_LAN.1)---Lokales LAN 172.16.1.0 /24



Dein Beispiel stimmt so hab ich es(natürlich andere Adressen und keine Fritzbox), sorry bin jetzt ein bisschen verwirrt, oder sagen wir so mir ist nicht wirklich klar wieso es jetzt nicht funktioniert ^^ (sorry bitte nicht böse sein)



Dassssss lese ich jetzt mal genau durch (: DANKE
Member: GrauerStar
GrauerStar Aug 18, 2018 at 11:14:43 (UTC)
Goto Top
Zitat von @affabanana:

Hallo Zusammen

Aber FortiOS 5.4 kann man beim DynDns die Externe IP freischalten,
Damit spielt die Interface IP keine Rolle mehr.

Er nimmt einfach die erste öffentliche die er kriegen kann

gruss affabanana.

PS: 40c geht aber leider nur bis 5.2.xx


Ähhh Danke hilft mir jetzt aber nicht weiter ^^ 5.2 ist ja leider letzt stand.....
Member: GrauerStar
GrauerStar Aug 19, 2018 at 15:42:23 (UTC)
Goto Top
UPDATE LÖSUNG:

Ich hab auf dem Hybrid(Modem)Router ein Firmware Update gemacht und es ging.

So ist der weg:
DynDNS->Hybrid(Modem)Router ->Forti Firewall->Server
x.x.x.x -> 192.x.x.x -> 10.x.x.x -> 80.x.x.x

Bei der Virtuellen Gruppe hab ich als Externe IP die (interne)Ip vom Hybrid(Modem)Router (192.x.x.x) eingegeben.

Danke aber an alle die An der Lösung mitgearbeitet haben.
Member: aqui
aqui Aug 19, 2018 at 15:45:37 (UTC)
Goto Top
Und....ein Router ist ein Router und kein Modem....!!!
Member: GrauerStar
GrauerStar Aug 21, 2018 at 06:16:46 (UTC)
Goto Top
Ich lass mich gern beleeren, ich dachte das ein Rooter keine Verbindung über DSL + LTE ins Internet aufbaut. Darum dachte ich das es eine Modem-Router Kombination ist weshalb ich auch "Hybrid(Modem)Router" geschrieben habe.

Kann ein Rooter ein Gateway sein?
Member: Pjordorf
Pjordorf Aug 21, 2018 at 11:27:34 (UTC)
Goto Top
Hallo,

Zitat von @GrauerStar:
ich dachte das ein Rooter keine Verbindung über DSL + LTE ins Internet aufbaut.
Der Router baut nur eine Verbindung auf über dem Medium was angeschlossen ist. Ist es LTE bekommst du eine Weg über LTE. Ist es vDSL, bekommst du einen Weg über DSL. Einzig die Telekom (mein wissensstand in DE) kann beides geleichzeitig nutzen (und bei dir ändert sich noch nicht mal die WAN IP) kann LTE gleichzeitig zum bestehenden vDSL nutzen und dazu gibt es auch nur ein einziges Gerät, der Speedport Hybrid.
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Hybrid-Internet-wi ...
https://www.teltarif.de/telekom-magenta-hybrid-router-fritzbox/news/6571 ...

Darum dachte ich das es eine Modem-Router Kombination ist weshalb ich auch "Hybrid(Modem)Router" geschrieben habe.
Es ist auch eine vDSL und LTE kombination. Wenn du ein LTE Modem und ein vDSL Modem an ein Router pappst der mehr als ein WAN kann, wirst du trotzdem kein Hybrid erreichen wie es die Telekom mit ihrem Speedport Hybrid erreicht. Deine Verträge geben es nicht her.

Kann ein Rooter ein Gateway sein?
Router, wenn der nicht ein Gateway ist, wie soll der dann Routen? Es kann in ein Netzwerk ohne Probleme mehr als ein Router (GW) existieren, aber beim (Windows) Client gibt es halt nur ein Standard Gateway. Achte auf das wort Standard.face-smile

Gruß,
Peter