bfgnetburn
Goto Top

PPPoE auf FortiGate ohne Hardwarebeschleunigung - wie geschickt lösen

Hallo Admin-Gemeinde,

ich versuche eine elegante Lösung für folgendes Problem zu finden:

TLDR:
- FortiGate 40F (Firewall - macht VLAN 7 und PPPoE-Einwahl)
- DrayTek Vigor167 (Modem - PPPoE Passthrough)
- Telekom Business VDSL2 250MBit/s mit fester /32 IP (will PPPoE)

Problem: FortiGate mögen kein PPPoE mit Hardwarebeschleunigung machen, was zu einer teils deutlich gesteigerten CPU-Auslastung führt (vor allem jetzt nach Upgrade von VDSL 100 auf 250)

Klassische Lösung: der FortiGate einen VDSL-Router (Fritze oder DrayTek Vigor16x) vorschalten, der macht dann PPPoE mit Line-Speed, die FortiGate routet dahinter per Ethernet auf das Gateway des VDSL-Routers

Mein Problem: Damit bekomme ich ein doppeltes NAT - was per se nicht super schlimm ist - aber in Hinblick auf IPsec VPNs, viel VoIP, Traffic-Shaping bzw. Priorisierung, etc. hätte ich gerne dass mir keine weitere VDSL-Router-Firewall dazwischen pfuscht.

Frage: Gibt es irgendeinen Weg, das anders elegant zu lösen? Spezielle Hardware? Spezielle Netzwerkprotokolle? Irgendetwas offensichtliches, das ich übersehe? Verrenne ich mich da und soll nicht so viel rumheulen und einfach Doppel-NAT akzeptieren?

Vielen Dank im Voraus
Denis

Content-ID: 1272094275

Url: https://administrator.de/forum/pppoe-auf-fortigate-ohne-hardwarebeschleunigung-wie-geschickt-loesen-1272094275.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

aqui
aqui 17.09.2021 um 10:11:40 Uhr
Goto Top
Eine andere Firewall Hardware beschaffen die diese CPU Problematik mit dem PPP Protokoll nicht hat wie z.B. eine pfSense_oder_OPNsense o.ä. 😉
Anders wirst du das Problem final wohl nicht lösen können. Doppeltes NAT und doppeltes Firewalling davor mit einem einfachen Plaste Consumerrouter ist ja aus technischer Sicht eher kontraproduktiv.
ChriBo
ChriBo 17.09.2021 um 10:12:51 Uhr
Goto Top
Hi,
welche Funktion hat die Fortigate ?
Wenn nur ausgehender Traffic kontrolliert wird, macht doppelt NAT normalerweise keine Probleme und kann verwendet werden.
Sobald aber VPN, SIP etc. oder auch z.B ein Server in einer DMZ mit Zugang von außen implementiert werden muß ist doppelt NAT "problematisch".
Tausche die FortiGate 40F durch eine Firewall ohne die Einschränkung aus.

Gruß
CH
Der-Phil
Der-Phil 17.09.2021 um 10:47:17 Uhr
Goto Top
Hi!

PPPoE ist leider so egal für Amerikaner, dass es das Problem häufig gibt.

Ich sehe drei Optionen:

- PPPoE auf der Fortigate terminieren. Hier musst Du schauen, was die 40F dann schafft. Bei 250 MBit/s wird es aber vermutlich schwierig.
- Doppeltes NAT: Wenn Du auf dem Draytek Router dann alles forwardest, sollte das auch funktionieren.
- NAT nur am Draytek: Eigentlich muss Du an der Fortigate nicht natten


Wenn Du wirklich alle Ports durchreichst, sollte das doppelte NAT zwar "akademisch hässlich", aber nicht tragisch sein.
Looser27
Looser27 17.09.2021 um 10:56:40 Uhr
Goto Top
was zu einer teils deutlich gesteigerten CPU-Auslastung führt.

Wieviel Reserve hat die Fortigate denn dann noch?
bfgnetburn
bfgnetburn 17.09.2021 um 14:36:12 Uhr
Goto Top
@Der-Phil
Danke für deinen Rat.
Doppeltes NAT auf DrayTek als Router könnte ich leben, obwohl ich deren Router-Funktionalität noch nie verwendet habe und die Qualität der Firewall und des Session-Trackings nicht einschätzen kann -- ist das robust genug für SMB-Gebrauch? Habe auch noch ein MikroTik hEX S rumliegen, hatte gehofft, das @aqui eine magische Konfiguration aus dem Hut zaubert, die grundstabil und performant alles auf die dahinterliegende FortiGate leitet :D

Das NAT nur auf der DrayTek (als Router)/MikroTik(als Mini-Router mit PPPoE hinter DrayTek-Modem) zu machen ist eine interessante Idee, die mir noch nicht gekommen ist. Gibt es bei so einem Betrieb besondere Stolpersteine, auf die besonders geachtet werden muss?

Zitat von @Der-Phil:

Hi!

PPPoE ist leider so egal für Amerikaner, dass es das Problem häufig gibt.

Ich sehe drei Optionen:

- PPPoE auf der Fortigate terminieren. Hier musst Du schauen, was die 40F dann schafft. Bei 250 MBit/s wird es aber vermutlich schwierig.
- Doppeltes NAT: Wenn Du auf dem Draytek Router dann alles forwardest, sollte das auch funktionieren.
- NAT nur am Draytek: Eigentlich muss Du an der Fortigate nicht natten


Wenn Du wirklich alle Ports durchreichst, sollte das doppelte NAT zwar "akademisch hässlich", aber nicht tragisch sein.

@aqui
Aah, als jahrelang stiller Forumsleser sind mir deine detailierten VPN-Tutorials mit mikrotik und pfsense gut bekannt und oft auf fruchtbaren Boden gestoßen face-smile
Ich kenne und nutze pfSense und OPNsense sehr gerne, nur bei diesem Fall nutzen wir die ganzen UTM-Features der FortiGates aus und sind zufrieden. Wir haben z.B. mehrere Niederlassungen, wo Vodafone mit Cable-Fritzen und einem /30er Netz unsere FortiGates antreibt, und da rennen sie für unsere Use-Cases astrein. Und wg. Standarisierung etcpp wollte ich das kollektive Adminwissen für den PPPoE-Fall auf Ideen abklopfen.

Zitat von @aqui:

Eine andere Firewall Hardware beschaffen die diese CPU Problematik mit dem PPP Protokoll nicht hat wie z.B. eine pfSense_oder_OPNsense o.ä. 😉
Anders wirst du das Problem final wohl nicht lösen können. Doppeltes NAT und doppeltes Firewalling davor mit einem einfachen Plaste Consumerrouter ist ja aus technischer Sicht eher kontraproduktiv.

@ChriBo
Die FortiGate hat volle UTM-Funktionen an (was bei Doppel-NAT tatsächlich kein Problem ist), aber auch mehrere IPsec-Tunnel und Priorisierung von VoIP face-smile
Wegen Standarisierung versuche ich noch ohne Tausch der Firewall eine gute Lösung zu finden, vor allem da die FortiGates z.B. in Verbindung mit Vodafone-Cable-Fritze und /30 Netz ziemlich gut rennen.

Zitat von @ChriBo:

Hi,
welche Funktion hat die Fortigate ?

Tausche die FortiGate 40F durch eine Firewall ohne die Einschränkung aus.
Visucius
Visucius 17.09.2021 um 20:01:42 Uhr
Goto Top
Bin gerade in einem anderen Kontext über 1:1 NAT gestolpert.

https://help.ui.com/hc/en-us/articles/115009504308-EdgeRouter-How-to-Dis ...

Könnte Dir das evtl. etwas helfen?