PPPoE auf FortiGate ohne Hardwarebeschleunigung - wie geschickt lösen
Hallo Admin-Gemeinde,
ich versuche eine elegante Lösung für folgendes Problem zu finden:
TLDR:
- FortiGate 40F (Firewall - macht VLAN 7 und PPPoE-Einwahl)
- DrayTek Vigor167 (Modem - PPPoE Passthrough)
- Telekom Business VDSL2 250MBit/s mit fester /32 IP (will PPPoE)
Problem: FortiGate mögen kein PPPoE mit Hardwarebeschleunigung machen, was zu einer teils deutlich gesteigerten CPU-Auslastung führt (vor allem jetzt nach Upgrade von VDSL 100 auf 250)
Klassische Lösung: der FortiGate einen VDSL-Router (Fritze oder DrayTek Vigor16x) vorschalten, der macht dann PPPoE mit Line-Speed, die FortiGate routet dahinter per Ethernet auf das Gateway des VDSL-Routers
Mein Problem: Damit bekomme ich ein doppeltes NAT - was per se nicht super schlimm ist - aber in Hinblick auf IPsec VPNs, viel VoIP, Traffic-Shaping bzw. Priorisierung, etc. hätte ich gerne dass mir keine weitere VDSL-Router-Firewall dazwischen pfuscht.
Frage: Gibt es irgendeinen Weg, das anders elegant zu lösen? Spezielle Hardware? Spezielle Netzwerkprotokolle? Irgendetwas offensichtliches, das ich übersehe? Verrenne ich mich da und soll nicht so viel rumheulen und einfach Doppel-NAT akzeptieren?
Vielen Dank im Voraus
Denis
ich versuche eine elegante Lösung für folgendes Problem zu finden:
TLDR:
- FortiGate 40F (Firewall - macht VLAN 7 und PPPoE-Einwahl)
- DrayTek Vigor167 (Modem - PPPoE Passthrough)
- Telekom Business VDSL2 250MBit/s mit fester /32 IP (will PPPoE)
Problem: FortiGate mögen kein PPPoE mit Hardwarebeschleunigung machen, was zu einer teils deutlich gesteigerten CPU-Auslastung führt (vor allem jetzt nach Upgrade von VDSL 100 auf 250)
Klassische Lösung: der FortiGate einen VDSL-Router (Fritze oder DrayTek Vigor16x) vorschalten, der macht dann PPPoE mit Line-Speed, die FortiGate routet dahinter per Ethernet auf das Gateway des VDSL-Routers
Mein Problem: Damit bekomme ich ein doppeltes NAT - was per se nicht super schlimm ist - aber in Hinblick auf IPsec VPNs, viel VoIP, Traffic-Shaping bzw. Priorisierung, etc. hätte ich gerne dass mir keine weitere VDSL-Router-Firewall dazwischen pfuscht.
Frage: Gibt es irgendeinen Weg, das anders elegant zu lösen? Spezielle Hardware? Spezielle Netzwerkprotokolle? Irgendetwas offensichtliches, das ich übersehe? Verrenne ich mich da und soll nicht so viel rumheulen und einfach Doppel-NAT akzeptieren?
Vielen Dank im Voraus
Denis
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1272094275
Url: https://administrator.de/forum/pppoe-auf-fortigate-ohne-hardwarebeschleunigung-wie-geschickt-loesen-1272094275.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
6 Kommentare
Neuester Kommentar
Eine andere Firewall Hardware beschaffen die diese CPU Problematik mit dem PPP Protokoll nicht hat wie z.B. eine pfSense_oder_OPNsense o.ä. 😉
Anders wirst du das Problem final wohl nicht lösen können. Doppeltes NAT und doppeltes Firewalling davor mit einem einfachen Plaste Consumerrouter ist ja aus technischer Sicht eher kontraproduktiv.
Anders wirst du das Problem final wohl nicht lösen können. Doppeltes NAT und doppeltes Firewalling davor mit einem einfachen Plaste Consumerrouter ist ja aus technischer Sicht eher kontraproduktiv.
Hi,
welche Funktion hat die Fortigate ?
Wenn nur ausgehender Traffic kontrolliert wird, macht doppelt NAT normalerweise keine Probleme und kann verwendet werden.
Sobald aber VPN, SIP etc. oder auch z.B ein Server in einer DMZ mit Zugang von außen implementiert werden muß ist doppelt NAT "problematisch".
Tausche die FortiGate 40F durch eine Firewall ohne die Einschränkung aus.
Gruß
CH
welche Funktion hat die Fortigate ?
Wenn nur ausgehender Traffic kontrolliert wird, macht doppelt NAT normalerweise keine Probleme und kann verwendet werden.
Sobald aber VPN, SIP etc. oder auch z.B ein Server in einer DMZ mit Zugang von außen implementiert werden muß ist doppelt NAT "problematisch".
Tausche die FortiGate 40F durch eine Firewall ohne die Einschränkung aus.
Gruß
CH
Hi!
PPPoE ist leider so egal für Amerikaner, dass es das Problem häufig gibt.
Ich sehe drei Optionen:
- PPPoE auf der Fortigate terminieren. Hier musst Du schauen, was die 40F dann schafft. Bei 250 MBit/s wird es aber vermutlich schwierig.
- Doppeltes NAT: Wenn Du auf dem Draytek Router dann alles forwardest, sollte das auch funktionieren.
- NAT nur am Draytek: Eigentlich muss Du an der Fortigate nicht natten
Wenn Du wirklich alle Ports durchreichst, sollte das doppelte NAT zwar "akademisch hässlich", aber nicht tragisch sein.
PPPoE ist leider so egal für Amerikaner, dass es das Problem häufig gibt.
Ich sehe drei Optionen:
- PPPoE auf der Fortigate terminieren. Hier musst Du schauen, was die 40F dann schafft. Bei 250 MBit/s wird es aber vermutlich schwierig.
- Doppeltes NAT: Wenn Du auf dem Draytek Router dann alles forwardest, sollte das auch funktionieren.
- NAT nur am Draytek: Eigentlich muss Du an der Fortigate nicht natten
Wenn Du wirklich alle Ports durchreichst, sollte das doppelte NAT zwar "akademisch hässlich", aber nicht tragisch sein.
Bin gerade in einem anderen Kontext über 1:1 NAT gestolpert.
https://help.ui.com/hc/en-us/articles/115009504308-EdgeRouter-How-to-Dis ...
Könnte Dir das evtl. etwas helfen?
https://help.ui.com/hc/en-us/articles/115009504308-EdgeRouter-How-to-Dis ...
Könnte Dir das evtl. etwas helfen?