fritzkarl85
Goto Top

Routing über mehrer Site-to-Site VPNs

Hallo liebe Admins,

im Moment arbeite ich hier mit einem Testaufbau mit meinem neuen Mikrotik hEXs,
um das Router OS kennen zu lernen.

Kurz zum Aufbau:
Mikrotik ist in der Default Config als Router,
es besteht ein funktionierender Ipsec Tunnel zur Fortigate.

Fortigate und Bintec Router hängen im gleichen LAN, 192.168.10.1/24
der Bintec hat noch ein zusätzliches LAN 192.168.20.1/24

Die Fortigate ist das primäre Gateway im 10er Netz,
dort ist eine statische Router eingetragen, damit man ins 20er Netz kommt.

Was ich gerne jetzt noch erreichen würde: Zugriff vom 88er Netz vom Mikrotik über Foritgate - Bintech ins 20er Netz - und umgekehrt.
Dazu hab ich im Bintec eine statische Route eingetragen - Des 192.168.88.0/24 next hop 192.168.10.1 (IP Fortigate).

Zusätzlich in dem Mikrotik unter IPSec - Policies eine Policy angelegt mit Source 192.168.88.0/24 Des. 192.168.20.0/24,
Level Unique und dem gleichen Peer wie die Policy zur Forti.

Das ganze funktioniert aber leider nicht wie gewünscht, ich kann von beiden Seiten her nicht in das anderer Netz.
Per Firewall ist zum Testen alles erlaubt.

FortiOS 6.2
RouterOS7

Skizze:


Danke für euren Input face-smile

LG, Karl
screenshot 2023-06-21 084316

Content-ID: 7601559744

Url: https://administrator.de/forum/routing-ueber-mehrer-site-to-site-vpns-7601559744.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

em-pie
em-pie 21.06.2023 aktualisiert um 09:31:59 Uhr
Goto Top
Moin,

im Bintec die Route setzen:
Ziel: 192.168.88.0/24 via 192.168.10.1

Im Mikrotik:
Ziel: 192.168.20.0/24 via 192.168.10.1

Der Mikrotik kennt den Weg zur Fortigate durch den IPSec Tunnel (normalerweise)


Edit: und an allen Firewalls, insbesondere an der FOrtigate, ins Logging schauen.
Dürfen die Pakete aus dem 192.168.20.0er bzw 192.168.88.0er Netz auch die Fortigate-Firewall passieren?
lcer00
lcer00 21.06.2023 um 09:48:46 Uhr
Goto Top
Hallo,

in der Fortigate braucht es je eine Policy, dass die Pakete von einem Tunnel in den anderen dürfen.

Grüße

lcer
aqui
aqui 21.06.2023 aktualisiert um 10:46:29 Uhr
Goto Top
Du solltest zuerst einmal grundsätzlich klären WIE du den Mikrotik an das .20.0/24er Netz anbinden willst. Dafür hättest du ja 2 Optionen:
  • Mit über den Fortinet Tunnel und dann via Kupfer 10er Netz und Bintec zum .20.0er
  • Oder mit einem separaten Tunnel direkt auf den Bintec

Letzteres hat den Nachteil, du müsstest auf dem Bintec einen separaten Tunnel konfigurieren. Mehr Aufwand und Management.
Ersteres hat den Nachteil das wenn die Fortigate oder der Tunnel ausfällt auch der Link ins .20.0er Netz wech ist. Vorteil aber das alles zentral über die Fortigate rennt mit weniger Konfig Management.
Also entscheide dich bevor wir dann beim Setup ins Eingemachte gehen.
fritzkarl85
fritzkarl85 21.06.2023 um 12:30:13 Uhr
Goto Top
@ Aqui - es soll Variante 1 werden

In der Forti hab ich folgend Policies

LAN to VPN Ipsec:
Source: ALL
Destination: 192.168.88.0/24

VPN Ipsec to LAN:
Source: 192.168.88.0/24
Destination: ALL

@em-pie
Könnte man beim Mikrotik nicht gleich die Route zum Bintec eintragen? 192.168.10.10?

Wenn ich versuche, ein vom 88er Netz ins 20er Netz zu pingen, sehe auf der Forti im Log nichts -
es muss also wohl an der Route im Mikrotik scheiten?
aqui
Lösung aqui 21.06.2023 aktualisiert um 17:49:31 Uhr
Goto Top
es soll Variante 1 werden
OK, macht Sinn aber dann ist es mit deiner einseitigen Phase2 Definition nur im MT natürlich nicht getan weil nur die halbe Miete. Das muss natürlich dann auf der Fortinet ebenso so definiert sein sonst scheitert diese Phase 2 Beziehung logischerweise beim Tunnelaufbau!

mt2ph

Deine ToDos sind dann folgende:
  • Mikrotik<>Fortinet P2s = Source: .88.0/24 - Dest.: .10.0/24, Source: .88.0/24 - Dest.: .20.0/24
  • Fortinet<>Mikrotik P2s = Source: .10.0/24 - Dest.: .88.0/24, Source: .20.0/24 - Dest.: .88.0/24
Dazu müssen zusätzlich die folgenden statischen Routen über den Kupferlink .10.0/24 definiert sein:
  • Bintec: Zielnetz: .88.0 Maske: /24 -> Gateway: <10er_IP_addr_Fortinet>
  • Fortinet: Zielnetz: .20.0 Maske: /24 -> Gateway: <10er_IP_addr_Bintec>
  • Fertisch!

Die korrekte Mikrotik Konfig der 2 Phases (Policies) sähe so aus:
mt2p
("Doppelpunkt" Tippfehler bei der Source bitte ignorieren!)

Könnte man beim Mikrotik nicht gleich die Route zum Bintec eintragen? 192.168.10.10?
Nein, das wäre unsinnig und auch bringt nichts, weil einzig und allein die Phase 2 (Policy) im IPsec Setup bestimmt welcher IP Traffic in den VPN Tunnel geroutet wird, nicht aber die Route!!
Wenn du das dort nicht definierst, geht dieser Traffic statt in den Tunnel ins IP Nirwana (Provider und dort in den Datenmülleimer, da RFC1918 IP). Mal abgesehen davon das du bei der Route ja auch gar kein Gateway eintragen kannst. Wie sollte das also gehen?! face-wink
Wenn ich versuche, ein vom 88er Netz ins 20er Netz zu pingen, sehe auf der Forti im Log nichts -
Logisch, denn ohne zusätzliche Phase 2 beidseitig für den Bintec Traffic kommt dort natürlich erst gar kein Traffic vom Mikrotik an. Was erwartest du also?!
es muss also wohl an der Route im Mikrotik scheiten?
Nein, denn Routen gibt es bei IPsec bekanntlich nicht und kannst du gar nicht definieren. Es ist die fehlende zweite Phase 2 für das Bintec Netz im Fortinet Tunnel! face-wink
lcer00
lcer00 21.06.2023 um 13:46:17 Uhr
Goto Top
Hallo,
Zitat von @fritzkarl85:


LAN to VPN Ipsec:
Source: ALL
Destination: 192.168.88.0/24

VPN Ipsec to LAN:
Source: 192.168.88.0/24
Destination: ALL

Und wie soll dann ein Paket von VPN1 nach VPN2 kommen? Da fehlen die Policies für den Inter-VPN-Datenverkehr.

Grüße

lcer
clSchak
clSchak 21.06.2023 um 14:24:38 Uhr
Goto Top
Hi

auch wenn es nicht ganz dazu passt: wie alt ist deine Fortigate? Version 6.2 ist uralt und auch nicht mehr sicher, btw. die Versionen von diesem Jahr auch alle nicht, mit den aktuellen Sicherheitslücken
fritzkarl85
fritzkarl85 22.06.2023 aktualisiert um 13:32:41 Uhr
Goto Top
@aqui - das war die Lösung, dankeschön! face-smile - die 2te Phase 2

@lcer00 - es gibt keinen 2ten VPN Tunnel...

@clSchak - ist genauer gesagt auf 6.2.15 gepatcht, letzter Stand. Die neue Forti ist bereits in Planung.

LG und Danke an alle!
lcer00
lcer00 22.06.2023 um 13:48:43 Uhr
Goto Top
Hallo,
Zitat von @fritzkarl85:

@lcer00 - es gibt keinen 2ten VPN Tunnel...

dann erstell eine Policy:
source: VPN Ipsec
destination: VPN Ipsec

Grüße

lcer
aqui
aqui 22.06.2023 um 13:59:23 Uhr
Goto Top
dann erstell eine Policy:
Hat er mit der 2ten Phase 2 oben doch schon längst gemacht! face-wink
das war die Lösung, dankeschön! - die 2te Phase 2
👍👏
Auf solche Basics sollte man als Netzwerk Admin aber eigentlich auch ohne Forum kommen. face-wink