6
PPPoE auf FortiGate ohne Hardwarebeschleunigung - wie geschickt lösen
Hallo Admin-Gemeinde,
ich versuche eine elegante Lösung für folgendes Problem zu finden:
TLDR:
- FortiGate 40F (Firewall - macht VLAN 7 und PPPoE-Einwahl)
- DrayTek Vigor167 (Modem - PPPoE Passthrough)
- Telekom Business VDSL2 250MBit/s mit fester /32 IP (will PPPoE)
Problem: FortiGate mögen kein PPPoE mit Hardwarebeschleunigung machen, was zu einer teils deutlich gesteigerten CPU-Auslastung führt (vor allem jetzt nach Upgrade von VDSL 100 auf 250)
Klassische Lösung: der FortiGate einen VDSL-Router (Fritze oder DrayTek Vigor16x) vorschalten, der macht dann PPPoE mit Line-Speed, die FortiGate routet dahinter per Ethernet auf das Gateway des VDSL-Routers
Mein Problem: Damit bekomme ich ein doppeltes NAT - was per se nicht super schlimm ist - aber in Hinblick auf IPsec VPNs, viel VoIP, Traffic-Shaping bzw. Priorisierung, etc. hätte ich gerne dass mir keine weitere VDSL-Router-Firewall dazwischen pfuscht.
Frage: Gibt es irgendeinen Weg, das anders elegant zu lösen? Spezielle Hardware? Spezielle Netzwerkprotokolle? Irgendetwas offensichtliches, das ich übersehe? Verrenne ich mich da und soll nicht so viel rumheulen und einfach Doppel-NAT akzeptieren?
Vielen Dank im Voraus
Denis
ich versuche eine elegante Lösung für folgendes Problem zu finden:
TLDR:
- FortiGate 40F (Firewall - macht VLAN 7 und PPPoE-Einwahl)
- DrayTek Vigor167 (Modem - PPPoE Passthrough)
- Telekom Business VDSL2 250MBit/s mit fester /32 IP (will PPPoE)
Problem: FortiGate mögen kein PPPoE mit Hardwarebeschleunigung machen, was zu einer teils deutlich gesteigerten CPU-Auslastung führt (vor allem jetzt nach Upgrade von VDSL 100 auf 250)
Klassische Lösung: der FortiGate einen VDSL-Router (Fritze oder DrayTek Vigor16x) vorschalten, der macht dann PPPoE mit Line-Speed, die FortiGate routet dahinter per Ethernet auf das Gateway des VDSL-Routers
Mein Problem: Damit bekomme ich ein doppeltes NAT - was per se nicht super schlimm ist - aber in Hinblick auf IPsec VPNs, viel VoIP, Traffic-Shaping bzw. Priorisierung, etc. hätte ich gerne dass mir keine weitere VDSL-Router-Firewall dazwischen pfuscht.
Frage: Gibt es irgendeinen Weg, das anders elegant zu lösen? Spezielle Hardware? Spezielle Netzwerkprotokolle? Irgendetwas offensichtliches, das ich übersehe? Verrenne ich mich da und soll nicht so viel rumheulen und einfach Doppel-NAT akzeptieren?
Vielen Dank im Voraus
Denis
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1272094275
Url: https://administrator.de/contentid/1272094275
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
6 Kommentare
Neuester Kommentar
Eine andere Firewall Hardware beschaffen die diese CPU Problematik mit dem PPP Protokoll nicht hat wie z.B. eine pfSense_oder_OPNsense o.ä. 😉
Anders wirst du das Problem final wohl nicht lösen können. Doppeltes NAT und doppeltes Firewalling davor mit einem einfachen Plaste Consumerrouter ist ja aus technischer Sicht eher kontraproduktiv.
Anders wirst du das Problem final wohl nicht lösen können. Doppeltes NAT und doppeltes Firewalling davor mit einem einfachen Plaste Consumerrouter ist ja aus technischer Sicht eher kontraproduktiv.
Hi,
welche Funktion hat die Fortigate ?
Wenn nur ausgehender Traffic kontrolliert wird, macht doppelt NAT normalerweise keine Probleme und kann verwendet werden.
Sobald aber VPN, SIP etc. oder auch z.B ein Server in einer DMZ mit Zugang von außen implementiert werden muß ist doppelt NAT "problematisch".
Tausche die FortiGate 40F durch eine Firewall ohne die Einschränkung aus.
Gruß
CH
welche Funktion hat die Fortigate ?
Wenn nur ausgehender Traffic kontrolliert wird, macht doppelt NAT normalerweise keine Probleme und kann verwendet werden.
Sobald aber VPN, SIP etc. oder auch z.B ein Server in einer DMZ mit Zugang von außen implementiert werden muß ist doppelt NAT "problematisch".
Tausche die FortiGate 40F durch eine Firewall ohne die Einschränkung aus.
Gruß
CH
Hi!
PPPoE ist leider so egal für Amerikaner, dass es das Problem häufig gibt.
Ich sehe drei Optionen:
- PPPoE auf der Fortigate terminieren. Hier musst Du schauen, was die 40F dann schafft. Bei 250 MBit/s wird es aber vermutlich schwierig.
- Doppeltes NAT: Wenn Du auf dem Draytek Router dann alles forwardest, sollte das auch funktionieren.
- NAT nur am Draytek: Eigentlich muss Du an der Fortigate nicht natten
Wenn Du wirklich alle Ports durchreichst, sollte das doppelte NAT zwar "akademisch hässlich", aber nicht tragisch sein.
PPPoE ist leider so egal für Amerikaner, dass es das Problem häufig gibt.
Ich sehe drei Optionen:
- PPPoE auf der Fortigate terminieren. Hier musst Du schauen, was die 40F dann schafft. Bei 250 MBit/s wird es aber vermutlich schwierig.
- Doppeltes NAT: Wenn Du auf dem Draytek Router dann alles forwardest, sollte das auch funktionieren.
- NAT nur am Draytek: Eigentlich muss Du an der Fortigate nicht natten
Wenn Du wirklich alle Ports durchreichst, sollte das doppelte NAT zwar "akademisch hässlich", aber nicht tragisch sein.
was zu einer teils deutlich gesteigerten CPU-Auslastung führt.
Wieviel Reserve hat die Fortigate denn dann noch?
@Der-Phil
Danke für deinen Rat.
Doppeltes NAT auf DrayTek als Router könnte ich leben, obwohl ich deren Router-Funktionalität noch nie verwendet habe und die Qualität der Firewall und des Session-Trackings nicht einschätzen kann -- ist das robust genug für SMB-Gebrauch? Habe auch noch ein MikroTik hEX S rumliegen, hatte gehofft, das @aqui eine magische Konfiguration aus dem Hut zaubert, die grundstabil und performant alles auf die dahinterliegende FortiGate leitet :D
Das NAT nur auf der DrayTek (als Router)/MikroTik(als Mini-Router mit PPPoE hinter DrayTek-Modem) zu machen ist eine interessante Idee, die mir noch nicht gekommen ist. Gibt es bei so einem Betrieb besondere Stolpersteine, auf die besonders geachtet werden muss?
@aqui
Aah, als jahrelang stiller Forumsleser sind mir deine detailierten VPN-Tutorials mit mikrotik und pfsense gut bekannt und oft auf fruchtbaren Boden gestoßen
Ich kenne und nutze pfSense und OPNsense sehr gerne, nur bei diesem Fall nutzen wir die ganzen UTM-Features der FortiGates aus und sind zufrieden. Wir haben z.B. mehrere Niederlassungen, wo Vodafone mit Cable-Fritzen und einem /30er Netz unsere FortiGates antreibt, und da rennen sie für unsere Use-Cases astrein. Und wg. Standarisierung etcpp wollte ich das kollektive Adminwissen für den PPPoE-Fall auf Ideen abklopfen.
@ChriBo
Die FortiGate hat volle UTM-Funktionen an (was bei Doppel-NAT tatsächlich kein Problem ist), aber auch mehrere IPsec-Tunnel und Priorisierung von VoIP
Wegen Standarisierung versuche ich noch ohne Tausch der Firewall eine gute Lösung zu finden, vor allem da die FortiGates z.B. in Verbindung mit Vodafone-Cable-Fritze und /30 Netz ziemlich gut rennen.
Danke für deinen Rat.
Doppeltes NAT auf DrayTek als Router könnte ich leben, obwohl ich deren Router-Funktionalität noch nie verwendet habe und die Qualität der Firewall und des Session-Trackings nicht einschätzen kann -- ist das robust genug für SMB-Gebrauch? Habe auch noch ein MikroTik hEX S rumliegen, hatte gehofft, das @aqui eine magische Konfiguration aus dem Hut zaubert, die grundstabil und performant alles auf die dahinterliegende FortiGate leitet :D
Das NAT nur auf der DrayTek (als Router)/MikroTik(als Mini-Router mit PPPoE hinter DrayTek-Modem) zu machen ist eine interessante Idee, die mir noch nicht gekommen ist. Gibt es bei so einem Betrieb besondere Stolpersteine, auf die besonders geachtet werden muss?
Zitat von @Der-Phil:
Hi!
PPPoE ist leider so egal für Amerikaner, dass es das Problem häufig gibt.
Ich sehe drei Optionen:
- PPPoE auf der Fortigate terminieren. Hier musst Du schauen, was die 40F dann schafft. Bei 250 MBit/s wird es aber vermutlich schwierig.
- Doppeltes NAT: Wenn Du auf dem Draytek Router dann alles forwardest, sollte das auch funktionieren.
- NAT nur am Draytek: Eigentlich muss Du an der Fortigate nicht natten
Wenn Du wirklich alle Ports durchreichst, sollte das doppelte NAT zwar "akademisch hässlich", aber nicht tragisch sein.
Hi!
PPPoE ist leider so egal für Amerikaner, dass es das Problem häufig gibt.
Ich sehe drei Optionen:
- PPPoE auf der Fortigate terminieren. Hier musst Du schauen, was die 40F dann schafft. Bei 250 MBit/s wird es aber vermutlich schwierig.
- Doppeltes NAT: Wenn Du auf dem Draytek Router dann alles forwardest, sollte das auch funktionieren.
- NAT nur am Draytek: Eigentlich muss Du an der Fortigate nicht natten
Wenn Du wirklich alle Ports durchreichst, sollte das doppelte NAT zwar "akademisch hässlich", aber nicht tragisch sein.
@aqui
Aah, als jahrelang stiller Forumsleser sind mir deine detailierten VPN-Tutorials mit mikrotik und pfsense gut bekannt und oft auf fruchtbaren Boden gestoßen
Ich kenne und nutze pfSense und OPNsense sehr gerne, nur bei diesem Fall nutzen wir die ganzen UTM-Features der FortiGates aus und sind zufrieden. Wir haben z.B. mehrere Niederlassungen, wo Vodafone mit Cable-Fritzen und einem /30er Netz unsere FortiGates antreibt, und da rennen sie für unsere Use-Cases astrein. Und wg. Standarisierung etcpp wollte ich das kollektive Adminwissen für den PPPoE-Fall auf Ideen abklopfen.
Zitat von @aqui:
Eine andere Firewall Hardware beschaffen die diese CPU Problematik mit dem PPP Protokoll nicht hat wie z.B. eine pfSense_oder_OPNsense o.ä. 😉
Anders wirst du das Problem final wohl nicht lösen können. Doppeltes NAT und doppeltes Firewalling davor mit einem einfachen Plaste Consumerrouter ist ja aus technischer Sicht eher kontraproduktiv.
Eine andere Firewall Hardware beschaffen die diese CPU Problematik mit dem PPP Protokoll nicht hat wie z.B. eine pfSense_oder_OPNsense o.ä. 😉
Anders wirst du das Problem final wohl nicht lösen können. Doppeltes NAT und doppeltes Firewalling davor mit einem einfachen Plaste Consumerrouter ist ja aus technischer Sicht eher kontraproduktiv.
@ChriBo
Die FortiGate hat volle UTM-Funktionen an (was bei Doppel-NAT tatsächlich kein Problem ist), aber auch mehrere IPsec-Tunnel und Priorisierung von VoIP
Wegen Standarisierung versuche ich noch ohne Tausch der Firewall eine gute Lösung zu finden, vor allem da die FortiGates z.B. in Verbindung mit Vodafone-Cable-Fritze und /30 Netz ziemlich gut rennen.
Zitat von @ChriBo:
Hi,
welche Funktion hat die Fortigate ?
Tausche die FortiGate 40F durch eine Firewall ohne die Einschränkung aus.
Hi,
welche Funktion hat die Fortigate ?
Tausche die FortiGate 40F durch eine Firewall ohne die Einschränkung aus.
Bin gerade in einem anderen Kontext über 1:1 NAT gestolpert.
https://help.ui.com/hc/en-us/articles/115009504308-EdgeRouter-How-to-Dis ...
Könnte Dir das evtl. etwas helfen?
https://help.ui.com/hc/en-us/articles/115009504308-EdgeRouter-How-to-Dis ...
Könnte Dir das evtl. etwas helfen?
