PPPoE auf FortiGate ohne Hardwarebeschleunigung - wie geschickt lösen

Hallo Admin-Gemeinde,

ich versuche eine elegante Lösung für folgendes Problem zu finden:

TLDR:
- FortiGate 40F (Firewall - macht VLAN 7 und PPPoE-Einwahl)
- DrayTek Vigor167 (Modem - PPPoE Passthrough)
- Telekom Business VDSL2 250MBit/s mit fester /32 IP (will PPPoE)

Problem: FortiGate mögen kein PPPoE mit Hardwarebeschleunigung machen, was zu einer teils deutlich gesteigerten CPU-Auslastung führt (vor allem jetzt nach Upgrade von VDSL 100 auf 250)

Klassische Lösung: der FortiGate einen VDSL-Router (Fritze oder DrayTek Vigor16x) vorschalten, der macht dann PPPoE mit Line-Speed, die FortiGate routet dahinter per Ethernet auf das Gateway des VDSL-Routers

Mein Problem: Damit bekomme ich ein doppeltes NAT - was per se nicht super schlimm ist - aber in Hinblick auf IPsec VPNs, viel VoIP, Traffic-Shaping bzw. Priorisierung, etc. hätte ich gerne dass mir keine weitere VDSL-Router-Firewall dazwischen pfuscht.

Frage: Gibt es irgendeinen Weg, das anders elegant zu lösen? Spezielle Hardware? Spezielle Netzwerkprotokolle? Irgendetwas offensichtliches, das ich übersehe? Verrenne ich mich da und soll nicht so viel rumheulen und einfach Doppel-NAT akzeptieren?

Vielen Dank im Voraus
Denis

Content-Key: 1272094275

Url: https://administrator.de/contentid/1272094275

Ausgedruckt am: 22.10.2021 um 08:10 Uhr

Mitglied: aqui
aqui 17.09.2021 um 10:11:40 Uhr
Goto Top
Eine andere Firewall Hardware beschaffen die diese CPU Problematik mit dem PPP Protokoll nicht hat wie z.B. eine pfSense_oder_OPNsense o.ä. 😉
Anders wirst du das Problem final wohl nicht lösen können. Doppeltes NAT und doppeltes Firewalling davor mit einem einfachen Plaste Consumerrouter ist ja aus technischer Sicht eher kontraproduktiv.
Mitglied: ChriBo
ChriBo 17.09.2021 um 10:12:51 Uhr
Goto Top
Hi,
welche Funktion hat die Fortigate ?
Wenn nur ausgehender Traffic kontrolliert wird, macht doppelt NAT normalerweise keine Probleme und kann verwendet werden.
Sobald aber VPN, SIP etc. oder auch z.B ein Server in einer DMZ mit Zugang von außen implementiert werden muß ist doppelt NAT "problematisch".
Tausche die FortiGate 40F durch eine Firewall ohne die Einschränkung aus.

Gruß
CH
Mitglied: Der-Phil
Der-Phil 17.09.2021 um 10:47:17 Uhr
Goto Top
Hi!

PPPoE ist leider so egal für Amerikaner, dass es das Problem häufig gibt.

Ich sehe drei Optionen:

- PPPoE auf der Fortigate terminieren. Hier musst Du schauen, was die 40F dann schafft. Bei 250 MBit/s wird es aber vermutlich schwierig.
- Doppeltes NAT: Wenn Du auf dem Draytek Router dann alles forwardest, sollte das auch funktionieren.
- NAT nur am Draytek: Eigentlich muss Du an der Fortigate nicht natten


Wenn Du wirklich alle Ports durchreichst, sollte das doppelte NAT zwar "akademisch hässlich", aber nicht tragisch sein.
Mitglied: Looser27
Looser27 17.09.2021 um 10:56:40 Uhr
Goto Top
was zu einer teils deutlich gesteigerten CPU-Auslastung führt.

Wieviel Reserve hat die Fortigate denn dann noch?
Mitglied: bfgnetburn
bfgnetburn 17.09.2021 um 14:36:12 Uhr
Goto Top
@Der-Phil
Danke für deinen Rat.
Doppeltes NAT auf DrayTek als Router könnte ich leben, obwohl ich deren Router-Funktionalität noch nie verwendet habe und die Qualität der Firewall und des Session-Trackings nicht einschätzen kann -- ist das robust genug für SMB-Gebrauch? Habe auch noch ein MikroTik hEX S rumliegen, hatte gehofft, das @aqui eine magische Konfiguration aus dem Hut zaubert, die grundstabil und performant alles auf die dahinterliegende FortiGate leitet :D

Das NAT nur auf der DrayTek (als Router)/MikroTik(als Mini-Router mit PPPoE hinter DrayTek-Modem) zu machen ist eine interessante Idee, die mir noch nicht gekommen ist. Gibt es bei so einem Betrieb besondere Stolpersteine, auf die besonders geachtet werden muss?

Zitat von @Der-Phil:

Hi!

PPPoE ist leider so egal für Amerikaner, dass es das Problem häufig gibt.

Ich sehe drei Optionen:

- PPPoE auf der Fortigate terminieren. Hier musst Du schauen, was die 40F dann schafft. Bei 250 MBit/s wird es aber vermutlich schwierig.
- Doppeltes NAT: Wenn Du auf dem Draytek Router dann alles forwardest, sollte das auch funktionieren.
- NAT nur am Draytek: Eigentlich muss Du an der Fortigate nicht natten


Wenn Du wirklich alle Ports durchreichst, sollte das doppelte NAT zwar "akademisch hässlich", aber nicht tragisch sein.

@aqui
Aah, als jahrelang stiller Forumsleser sind mir deine detailierten VPN-Tutorials mit mikrotik und pfsense gut bekannt und oft auf fruchtbaren Boden gestoßen :) face-smile
Ich kenne und nutze pfSense und OPNsense sehr gerne, nur bei diesem Fall nutzen wir die ganzen UTM-Features der FortiGates aus und sind zufrieden. Wir haben z.B. mehrere Niederlassungen, wo Vodafone mit Cable-Fritzen und einem /30er Netz unsere FortiGates antreibt, und da rennen sie für unsere Use-Cases astrein. Und wg. Standarisierung etcpp wollte ich das kollektive Adminwissen für den PPPoE-Fall auf Ideen abklopfen.

Zitat von @aqui:

Eine andere Firewall Hardware beschaffen die diese CPU Problematik mit dem PPP Protokoll nicht hat wie z.B. eine pfSense_oder_OPNsense o.ä. 😉
Anders wirst du das Problem final wohl nicht lösen können. Doppeltes NAT und doppeltes Firewalling davor mit einem einfachen Plaste Consumerrouter ist ja aus technischer Sicht eher kontraproduktiv.

@ChriBo
Die FortiGate hat volle UTM-Funktionen an (was bei Doppel-NAT tatsächlich kein Problem ist), aber auch mehrere IPsec-Tunnel und Priorisierung von VoIP :) face-smile
Wegen Standarisierung versuche ich noch ohne Tausch der Firewall eine gute Lösung zu finden, vor allem da die FortiGates z.B. in Verbindung mit Vodafone-Cable-Fritze und /30 Netz ziemlich gut rennen.

Zitat von @ChriBo:

Hi,
welche Funktion hat die Fortigate ?
Tausche die FortiGate 40F durch eine Firewall ohne die Einschränkung aus.

Mitglied: Visucius
Visucius 17.09.2021 um 20:01:42 Uhr
Goto Top
Bin gerade in einem anderen Kontext über 1:1 NAT gestolpert.

https://help.ui.com/hc/en-us/articles/115009504308-EdgeRouter-How-to-Dis ...

Könnte Dir das evtl. etwas helfen?
Heiß diskutierte Beiträge
question
IT Dienstleister und VPN Zugang gelöst Eduard.DVor 1 TagFrageZusammenarbeit45 Kommentare

Hallo zusammen, ich habe eine Frage zu einem Thema welches viele Unternehmen betrifft und ich bin neugierig wie andere dies gelöst haben. Ich bin mir ...

question
Windows 11 verhindernpitamericaVor 1 TagFrageWindows 1116 Kommentare

Hallo zusammen, verstehe ich es richtig, dass Windows 11 nur installiert wird, wenn man aktiv in der Suche bei Windows Update auf das Update klickt ...

question
Suche einfaches Filesharing oder Sharing-CloudYan2021Vor 1 TagFrageCloud-Dienste17 Kommentare

Hallo Ihr Lieben ;-) Chef hat mal wieder ne neue Idee. Wir wollen für Kunden anbieten, dass sie Dateien über Internet mit uns austauschen können. ...

tip
KB5006670 macht Drucker-ProblemeLochkartenstanzerVor 1 TagTippWindows Update10 Kommentare

Moin, Seit Montag haben diverse Kunden Probleme mit dem Drucken. Nach Recherchen hat sich herausgestellt, daß KB5006670 dazu führt, daß statt einen Ausdruck nur noch ...

question
AzureAD - Bitlocker ohne TPM möglich?SarekHLVor 1 TagFrageWindows 1020 Kommentare

Hallo zusammen, unser Bistum verwaltet Windows-Rechner mit AzureAD, wobei Bitlocker zwingend aktiv sein muss. Weiß jemand, ob in der Konstellation ein TPM erforderlich ist? Normalerweise ...

question
Suche ITSM-Software für KMUcell2k6Vor 1 TagFrageMicrosoft6 Kommentare

Hallo Community, stiller mitleser hier, jetzt muss ich aber mal aktiv werden um die Schwarmintelligenz zu nutzen. Wir sind eine 4-Mann IT-Abteilung in einem mittelständischem ...

tip
Congstar - Diese Rufnummer ist uns nicht bekanntJoeToeVor 1 TagTippTK-Netze & Geräte6 Kommentare

Beschreibung Ein Congstar-Mobilfunkkunde beschwerte sich über eine Störung: bei gehenden Anrufen zu einigen auf seinem iPhone gespeicherten Kontakten hörte er stets die Ansage Diese Rufnummer ...

question
Raidwiederherstellung nach TotalausfallmoritzseeVor 1 TagFrageFestplatten, SSD, Raid9 Kommentare

Hallo, ich habe am Wochenende einen Totalausfall erlebt. Mein Problem ist folgendes: Am Samstag habe ich meinen Server (HP DL 380 G7) Plangemäß heruntergefahren. Dazu ...