Problem mit Fortigate 50B Konfiguration
Folgendes Szenario:
Fortigate 50B und davor ein Cisco Router von der Telekom Austria - der Muss ja bleiben da ja die Fortigate keinen RJ11 für DSL hat!
meine netzwerkkonfiguration sieht folgendermaßen aus
internet -> Router (192.168.101.100) -> Fortigate (192.168.101.99) -> Netzwerk (192.168.101.x)
der Internetzugriff vom Netzwerk aus ist im Transparent Modus der Fortigate kein problem!
Nur mein Problem ist wenn ich umschalte auf NAT-Modus welchen ich brauche für Prot.Forwarding usw. dann klappt der Zugriff aufs Internet nicht mehr!
wie muss ich die Firewall bzw. die statische Route bei der Fortigate konfigurieren!
Bzw. wie gehört die WAN-Schnittstelle konfiguriert?
Vielen Dank für eure hilfe!
Fortigate 50B und davor ein Cisco Router von der Telekom Austria - der Muss ja bleiben da ja die Fortigate keinen RJ11 für DSL hat!
meine netzwerkkonfiguration sieht folgendermaßen aus
internet -> Router (192.168.101.100) -> Fortigate (192.168.101.99) -> Netzwerk (192.168.101.x)
der Internetzugriff vom Netzwerk aus ist im Transparent Modus der Fortigate kein problem!
Nur mein Problem ist wenn ich umschalte auf NAT-Modus welchen ich brauche für Prot.Forwarding usw. dann klappt der Zugriff aufs Internet nicht mehr!
wie muss ich die Firewall bzw. die statische Route bei der Fortigate konfigurieren!
Bzw. wie gehört die WAN-Schnittstelle konfiguriert?
Vielen Dank für eure hilfe!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 106800
Url: https://administrator.de/forum/problem-mit-fortigate-50b-konfiguration-106800.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
4 Kommentare
Neuester Kommentar
Du musst im NAT Modus natürlich für das lokale LAN ein anderes netzwerk wählen, denn sonst kann die NAT Session Tabelle nicht richtig funktionieren !
Z.B. so:
internet -> Router (192.168.101.100) -> Fortigate (192.168.101.99) -> Netzwerk (192.168.102.x)
Da die Fortigate dann NAT ins IP Segment 192.168.101.0 macht "merkt" der Cisco vom lokalen Netzwerk 192.168.102.0 nichts, denn das wird ja per NAT zentral auf die IP 192.168.101.99 umgesetzt.
Der Cisco denkt also alles kommt so aus dem 192.168.101.oer Netz !
Nur das lokale Netz muss einen andere IP haben !
Damit sollte es auf Anhieb klappen !
Z.B. so:
internet -> Router (192.168.101.100) -> Fortigate (192.168.101.99) -> Netzwerk (192.168.102.x)
Da die Fortigate dann NAT ins IP Segment 192.168.101.0 macht "merkt" der Cisco vom lokalen Netzwerk 192.168.102.0 nichts, denn das wird ja per NAT zentral auf die IP 192.168.101.99 umgesetzt.
Der Cisco denkt also alles kommt so aus dem 192.168.101.oer Netz !
Nur das lokale Netz muss einen andere IP haben !
Damit sollte es auf Anhieb klappen !
Hallo,
das Szenario ist überhaupt kein Problem:
Internet --> Cisco-Router --> Fortigate --> internes Netz
Cisco-Router:
- internes Interface IP = 192.168.101.100/24
- NAT aktiviert
- Fortigate (192.168.102.99) wird als "DMZ-PC" definiert
Fortigate:
- Route/NAT-Modus
- wan1-Interface IP = 192.168.101.99/24
- Default Route über 192.168.101.100 eintragen
- internes Interface IP = 192.168.100.1/24, DNS-Weiterleitung aktiviert
- DHCP-Server aktiviert (Range 192.168.100.10-100/24; DNS 192.168.100.1; Gateway 192.168.100.1)
internes Netz
- Adressbereich 192.168.100.x/24 (über den DHCP-Server der Fortigate)
Mach als erstes ein Firmware-Upgrade der Fortigate, aktuell ist FortiOS 3.00 MR7patch2 (build 733).
mfg
Harald
das Szenario ist überhaupt kein Problem:
Internet --> Cisco-Router --> Fortigate --> internes Netz
Cisco-Router:
- internes Interface IP = 192.168.101.100/24
- NAT aktiviert
- Fortigate (192.168.102.99) wird als "DMZ-PC" definiert
Fortigate:
- Route/NAT-Modus
- wan1-Interface IP = 192.168.101.99/24
- Default Route über 192.168.101.100 eintragen
- internes Interface IP = 192.168.100.1/24, DNS-Weiterleitung aktiviert
- DHCP-Server aktiviert (Range 192.168.100.10-100/24; DNS 192.168.100.1; Gateway 192.168.100.1)
internes Netz
- Adressbereich 192.168.100.x/24 (über den DHCP-Server der Fortigate)
Mach als erstes ein Firmware-Upgrade der Fortigate, aktuell ist FortiOS 3.00 MR7patch2 (build 733).
mfg
Harald