15
Router am DMZ Port der Fortigate 60???
Hallo zusammen,
ich habe vor kurzem Versucht am DMZ Port der Fortigate 60 einen Linksys WLAN router zu installieren - vergeblich! Leider!
Sollte eigentlich so aussehen:
WAN Port Fortigate - fixe IP 194.xxxxx
LAN Port Fortigate - 192.16.0.xxx (fixe IPs)
DMZ Port Fortigate - 10.0.2.6
Wan Port Linksys - 10.0.2.3
LAN Port Linksys - 192.168.1.xxx (DHCP)
Bisher war am DMZ Port der Fortigate nur ein Rechner direkt mit Netztwerkkabel angeschlossen und es funktionierte einwandfrei. Die Rechner am LAN Port der Fortigate funzen auch einwandfrei. Sobald ich aber den Linksys Router am DMZ Port anschliesse geht es nicht mehr! Das Wireless Netz des Linksys funktioniert auch (innerhalb des WLANS kann ich auf alle Rechner zugreifen).
Hat da einer eine Ahnung an was das liegen könnte?!?
ich habe vor kurzem Versucht am DMZ Port der Fortigate 60 einen Linksys WLAN router zu installieren - vergeblich! Leider!
Sollte eigentlich so aussehen:
WAN Port Fortigate - fixe IP 194.xxxxx
LAN Port Fortigate - 192.16.0.xxx (fixe IPs)
DMZ Port Fortigate - 10.0.2.6
Wan Port Linksys - 10.0.2.3
LAN Port Linksys - 192.168.1.xxx (DHCP)
Bisher war am DMZ Port der Fortigate nur ein Rechner direkt mit Netztwerkkabel angeschlossen und es funktionierte einwandfrei. Die Rechner am LAN Port der Fortigate funzen auch einwandfrei. Sobald ich aber den Linksys Router am DMZ Port anschliesse geht es nicht mehr! Das Wireless Netz des Linksys funktioniert auch (innerhalb des WLANS kann ich auf alle Rechner zugreifen).
Hat da einer eine Ahnung an was das liegen könnte?!?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 19630
Url: https://administrator.de/contentid/19630
Printed on: April 25, 2024 at 14:04 o'clock
15 Comments
Latest comment
Hört sich für mich nach einem alten Problem an.
Erstmal: Üblicherweise routet ein SoHo-Router nur von einem Adressbereich. Wenn Du einen 2. Bereich (10.x...) in Netz bekommst, ist es wohl eine Spezialität des Fortigate, den ich zugegebenermaßen nicht kenne. Da es aber mit einem Rechner an diesem Port bereits funktionierte, gehe ich mal von der Fähigkeit des Fortigate aus, dass dies wohl gehen mag.
Dann bleibt nur die korrekte Konfiguration von Gateway und DNS.
Für den Linksys ist das Gateway der DMZ-Port des Fortigate. Für die PC´s am Linksys gibst Du die 192.168.1.x - IP des Linksys ein. DNS-Server am Besten einen im WAN.
Gruß - ybBln
Erstmal: Üblicherweise routet ein SoHo-Router nur von einem Adressbereich. Wenn Du einen 2. Bereich (10.x...) in Netz bekommst, ist es wohl eine Spezialität des Fortigate, den ich zugegebenermaßen nicht kenne. Da es aber mit einem Rechner an diesem Port bereits funktionierte, gehe ich mal von der Fähigkeit des Fortigate aus, dass dies wohl gehen mag.
Dann bleibt nur die korrekte Konfiguration von Gateway und DNS.
Für den Linksys ist das Gateway der DMZ-Port des Fortigate. Für die PC´s am Linksys gibst Du die 192.168.1.x - IP des Linksys ein. DNS-Server am Besten einen im WAN.
Gruß - ybBln
Hi,
Danke erst mal für die Antowort.
Ich hatte ja alles genauso konfiguriert! Das ist es ja!
Im Linksys den ISP auf statische IP und als Gateway die IP des DMZ Ports der Fortigate sprich das 10.xxer Netz!
Das Wlan im 192. mit DHCP. Die Rechner haben dann als Gateway die interne LAN IP des Linksys.
geht aber nicht! Ich versteh die Welt nicht mehr!
Danke erst mal für die Antowort.
Ich hatte ja alles genauso konfiguriert! Das ist es ja!
Im Linksys den ISP auf statische IP und als Gateway die IP des DMZ Ports der Fortigate sprich das 10.xxer Netz!
Das Wlan im 192. mit DHCP. Die Rechner haben dann als Gateway die interne LAN IP des Linksys.
geht aber nicht! Ich versteh die Welt nicht mehr!
Nur mal ganz doof gefragt: Ist der Linksys noch auf PPP WAN-seitig gestellt...?
Gruß - ybBln
Gruß - ybBln
Nee ist er nicht!
Er ist WAN Seitig auf fixed IP gestellt.
WAN seitige einstellung linksys:
IP 10.0.2.3
Subnet 255.255.255.248
Gateway 10.0.2.6
DMZ Port auf Fortigate:
IP 10.0.2.6
Subnet 255.255.255.248
auf Fortigate dann noch eine Policy von DMZ auf WAN.
Die gleich Konfiguration - Netzwerkkarte der Workstation anstatt linksys WAN Einstellungen funktioniert!
Nee ist er nicht!
Er ist WAN Seitig auf fixed IP gestellt.
Er ist WAN Seitig auf fixed IP gestellt.
Ähm... was hat das jetzt miteinander zu tun? PPP und fixed IP geht ja auch gleichzeitig. Der Router für SoHo hängt ja normalerweise am DSL-Router und "spricht" PPPoE. Das Protokoll ist jedoch innerhalb des LANs nicht zur Kommunikation geeignet.
Gruß - ybBln
Es ist kein DSL Router im Einsatz!
Ich habe ein offizielle fixe IP!
Ich habe weder PPTP noch PPPoE noch DHCP im Einsatz sondern eben fixe IP!
Wan Port des Fortigate ist eben diese offizielle fixe IP und WAN Port des linksys ist die statische private IP des DMZ Portes des Firstgate - sprich die 10.0.2.x
Habe nirgends PPPtP noch PPPoE im Einsatz!
Ich habe ein offizielle fixe IP!
Ich habe weder PPTP noch PPPoE noch DHCP im Einsatz sondern eben fixe IP!
Wan Port des Fortigate ist eben diese offizielle fixe IP und WAN Port des linksys ist die statische private IP des DMZ Portes des Firstgate - sprich die 10.0.2.x
Habe nirgends PPPtP noch PPPoE im Einsatz!
Es ist kein DSL Router im Einsatz!
Was genau ist denn der Fortigate? Er setzt Deine offizielle, statische IP 194.x.x.x in ein privates Netz 192.16.0.x um. Das läuft vermutlich mit PAT. Dann scheint er außerdem noch einen zweiten Adressbereich routen zu können. Da als DMZ angegeben wohl mit NAT umgesetzt und eine gewisse Anzahl von Ports direkt an das 10er Netz durchgeschleift.Dann schriebst Du außerdem ganz oben Linksys WLAN router, ich gehe also mal von zwei vorhandenen Routern aus. Liege ich da jetzt so falsch?
Ich habe ein offizielle fixe IP!
Ich habe weder PPTP noch PPPoE noch DHCP im
Einsatz sondern eben fixe IP!
Was widerspricht bei einer statischen IP dem PPP? Schon klar, dass Dein Provider Dir nicht per DHCP eine IP zuschickt, aber DSL (wenn es sich denn um DSL handelt) ist seriell über die Telefonleitung übertragen und das geschieht nunmal mit PPP. Das DSL - Modem setzt dann PPP Ethernetgerecht in PPPoE um, was WAN-seitig am Router als Protokoll genutzt wird. Der Fortigate spricht also WAN-seitig PPPoE.Ich habe weder PPTP noch PPPoE noch DHCP im
Einsatz sondern eben fixe IP!
LAN-seitig wird TCP gesprochen. Wenn der Linksys da versucht mit PPPoE zu kommunizieren, wird er den Fortigate nicht erreichen.
Wan Port des Fortigate ist eben diese
offizielle fixe IP und WAN Port des linksys
ist die statische private IP des DMZ Portes
des Firstgate - sprich die 10.0.2.x
Der DMZ-Port des Fortigate hat eine IP und die selbe IP wird vom Linksys auf dem WAN-Port verwendet?offizielle fixe IP und WAN Port des linksys
ist die statische private IP des DMZ Portes
des Firstgate - sprich die 10.0.2.x
Habe nirgends PPPtP noch PPPoE im Einsatz!
Na DSL wird wohl kaum per Dosentelefon ins Haus gelegt sein.Gruß - ybBln
Okay, hab grade auf Fortinet geguckt - der Fortigate ist eine Firewall.
Dennoch die Frage: Welches Protokoll muß der Sinksys am DMZ-Port denn sprechen? PPPoE oder TCP?
Gruß - ybBln
Dennoch die Frage: Welches Protokoll muß der Sinksys am DMZ-Port denn sprechen? PPPoE oder TCP?
Gruß - ybBln
Was genau ist denn der Fortigate?
Die Fortigate ist eine Firewall / Router. Ähnlich wie der Netscreen, falls du die kennst!Ich habe kein DSL, sondern eine Standleitung ohne Einwahl!
Verbindung zum Internet habe ich über eine Wireless Bridge zu einem Sender.
Somit verwende ich kein PPP sondern nur TCP!
Aber das ist alles sekundär, da der internetzugang ja einwandfrei funktioniert!
Ich versuche nochmals das ganze Settings der Fortigate und des linksys zu erklären.
Fortigate hat drei Zonen:
1. WAN
2. LAN
3. DMZ
1. WAN Port ist TCP mit 194.208.xxxx
2. LAN Port ist TCP mit 192.16.0.1 / 255.255.255.0
3. DMZ Port ist TCP mit 10.0.2.6 / 255.255.255.0
Weiter Config der Firstgate:
Es besteht eine Policy von LAN -> WAN mit "Allow all"
Es besteht ein Polic von DMZ -> WAN mit "Allow all"
DMZ <-> LAN sollte getrennt werden und darf nicht erreichbar sein - somit gibt es hierfür auch keine Policy
So schliese ich jetzt einen Rechener mit der Config
IP 10.0.2.3
Subnet 255.255.255.248
Gateway 10.0.2.6
direkt an den DMZ Port der Firstgate an, dann komme ich mit dem Rechner ins Internet und nicht auf das LAN -> ist richtig so und auch gewollt.
Schliesse ich aber jetzt den Wireless Router von linksys an den DMZ Port mit der Config:
WAN Port:
IP 10.0.2.3
Subnet 255.255.255.248
Gateway 10.0.2.6
LAN Port (interne IP):
192.168.1.1
Subnet 255.255.255.0
DHCP aktiviert mit Adressbereich 192.168.1.100 - 200
Somit erhalten die Rechner am Linksys folgende IP zugewiesen:
zB 192.168.1.100
Subnet 255.255.255.0
Gateway 192.168.1.1
Genau das funktioniert dann nicht mehr!
und ich habe keinen blassen schimmer wieso!
Sieht tatsächlich tip top aus.
Auch fast alle noch offenen Fragen sind jetzt beantwortet - nur eine noch nicht:
Der WAN-Port des Linksys, der am DMZ-Port des Fortigate hängt könnte dennoch auf PPP gestellt sein, da er wohl üblicherweise nur als Standalone-Router im privaten Einsatz direkt am DSL-Modem hängt und somit PPPoE sprechen muß, auch wenn er das bei Dir nicht muß. Wenn er sich umstellen läßt, dürfte das die Probleme lösen, wenn nicht, ist die Konfiguration in dieser Form nicht möglich.
Gruß - ybBln
Auch fast alle noch offenen Fragen sind jetzt beantwortet - nur eine noch nicht:
Der WAN-Port des Linksys, der am DMZ-Port des Fortigate hängt könnte dennoch auf PPP gestellt sein, da er wohl üblicherweise nur als Standalone-Router im privaten Einsatz direkt am DSL-Modem hängt und somit PPPoE sprechen muß, auch wenn er das bei Dir nicht muß. Wenn er sich umstellen läßt, dürfte das die Probleme lösen, wenn nicht, ist die Konfiguration in dieser Form nicht möglich.
Gruß - ybBln
Beim Router habe ich folgende Varianten zur Auswahl die ich beiim WAN Port einstellen kann:
fixed IP
DHCP
PPPTP
PPPoE
ich habe die fixed IP Einstellung.
Somit dürfte dass auch nicht das Problem sein.
Zumal ich wie schon gesagt über eine Bridge ins Internet gehe und die Bridge mit TCP angesprochen wird und ich diesen Router schon öfters an solche Bridges gehängt habe mit ähnlicher Konfiguration und das hat dann immer einwandfrei funktioniert.
Da du aber auch keinen Fehler am Aufbau erkennst bin ich schon mal erleichtert nicht voll verdeppt zu sein
Danke auf jeden Fall für deine Hilfe.
Sollte dir noch was ein oder auffallen wäre ich für jeden Rat dankbar!
Midi
fixed IP
DHCP
PPPTP
PPPoE
ich habe die fixed IP Einstellung.
Somit dürfte dass auch nicht das Problem sein.
Zumal ich wie schon gesagt über eine Bridge ins Internet gehe und die Bridge mit TCP angesprochen wird und ich diesen Router schon öfters an solche Bridges gehängt habe mit ähnlicher Konfiguration und das hat dann immer einwandfrei funktioniert.
Da du aber auch keinen Fehler am Aufbau erkennst bin ich schon mal erleichtert nicht voll verdeppt zu sein
Danke auf jeden Fall für deine Hilfe.
Sollte dir noch was ein oder auffallen wäre ich für jeden Rat dankbar!
Midi
Ist in der Regel DMZ -> WAN das NAT eingeschaltet ?
Kurz und knapp: NEIN! DMZ und NAT wiedersprechen sich. Entweder leitest Du die Ports durch zur DMZ oder Du machst NAT. Wie sollte das auch gehen, DMZ mit NAT???? Großer Blödsinn...
Gruß - ybBln
Gruß - ybBln
Kurz und knapp: NEIN! DMZ und NAT
wiedersprechen sich. Entweder leitest Du die
Ports durch zur DMZ oder Du machst NAT. Wie
sollte das auch gehen, DMZ mit NAT????
Großer Blödsinn...
Gruß - ybBln
wiedersprechen sich. Entweder leitest Du die
Ports durch zur DMZ oder Du machst NAT. Wie
sollte das auch gehen, DMZ mit NAT????
Großer Blödsinn...
Gruß - ybBln
Nur weil der Port DMZ heißt muß er noch lange nicht eine DMZ sein. Zumindest ich würde keinen WLAN-Router in der DMZ anknipsen, wenn die DMZ DMZ ist......
Aber es stand ja ein bisschen weiter oben:
---
. WAN
2. LAN
3. DMZ
1. WAN Port ist TCP mit 194.208.xxxx
2. LAN Port ist TCP mit 192.16.0.1 / 255.255.255.0
3. DMZ Port ist TCP mit 10.0.2.6 / 255.255.255.0
Weiter Config der Firstgate:
Es besteht eine Policy von LAN -> WAN mit "Allow all"
Es besteht ein Polic von DMZ -> WAN mit "Allow all"
DMZ <-> LAN sollte getrennt werden und darf nicht erreichbar sein - somit gibt es hierfür auch keine Policy
Bei Port-Forwarding auf einen Server in einer richtigen DMZ währe die Regel DMZ-WAN vollkommener nonsens, nachdem sie aber da ist vermute ich mal das er von den Rechnern im WLAN das zufällig am DMZ-Port hängt auch surfen/etc will....
U. U. solltest Du in Zukunft erst mal nachdenken und dann die Tastatur verwenden.
Hallo Midi, ich habe nun ein ähnliches Problem und da Du nun einige Erfahrung mit der Fortigate hast, könntest Du mir vielleicht helfen.
Ich habe eine Fortigate 60 eingerichtet. Soweit funktioniert auch alles nur von der DMZ komme ich nicht ins Internet. Ich habe schon alle Policys sowohl source und destinatons auf all und service auf any gestellt.
wan(1) --- > dmz (funkioniert)
lan --- > dmz (funkioniert)
lan --- > wan(1) (funkioniert)
dmz --- > lan (funkioniert)
dmz --- > wan(1) (!!!! funkioniert nicht)
Eine gute Idee?
Ich habe eine Fortigate 60 eingerichtet. Soweit funktioniert auch alles nur von der DMZ komme ich nicht ins Internet. Ich habe schon alle Policys sowohl source und destinatons auf all und service auf any gestellt.
wan(1) --- > dmz (funkioniert)
lan --- > dmz (funkioniert)
lan --- > wan(1) (funkioniert)
dmz --- > lan (funkioniert)
dmz --- > wan(1) (!!!! funkioniert nicht)
Eine gute Idee?
