1
SSL-VPN FortiGate 90D von Fortinet
Hallo zusammen,
wir nutzen in unserem Netzwerk Firewalls von Fortinet, Modell FortiGate 90D und deren SSL-VPN-Funktion.
Vereinfacht sieht das so aus:
FortiGate hängt am Internet und leitet in's Subnetz 192.168.4.0/24, wo die Clients und Server stehen.
Das SSL-VPN hat das Subnetz 192.168.5.0/24 und verteilt IPs im Range 192.168.5.1 - 192.168.5.30
Es sind entsprechende Policies zur Kommunikation hinterlegt:
SSL-Tunnel > internes Netz: Alle Dienste erlauben, keine UTM Features
internes Netz > SSL-Tunnel: Alle Dienste erlauben, keine UTM Features
Eine Route in's 5er-Subnetz ist über das Device "ssl.root" vorhanden.
Eigentlich hatte ich nur bestimte Dienste wie SMB, Ping, DNS zugelassen aber dies vorerst testweise auf "All" erweitert
Grundsätzlich funktioniert das VPN auch und wird schon seit über 1 Jahr so verwendet.
- SMB tut's (komischerweise fragt er hier jedoch manchmal, nicht immer nach Login-Daten),
- Zugriff auf die MS-SQL-Datenbank geht auch...
- Outlook ebenfalls
- und auch Updates von GData werden aus dem internen Netz gezogen
Andere grundlegende Dinge wie zum Beispiel ein einfacher Ping auf den Server oder sogar auf die FortiGate selbst tut's jedoch nicht. Ich kann mir aber nicht erklären, warum.
Ein tracert auf eine beliebige IP im 4er-Netz bleibt schon beim 1 Hop hängen. Ein Ping aus dem internen Netz auf den Client im VPN bleibt ebenfalls hängen.. SMB auf den Client funktioniert.
Da nun Bedarf entstand von Extern auf den Telefonanlagen-Server zu connecten entstand aus dem mangel nun ein Problem.
Wenn ich an der Firewall mit "diag sni pack ssl.root icmp 4" ein Sniffing starte, dann sehe ich auch, dass die Ping-Anfragen sofort reinkommen.
Nun zu den eigenartigen Dingen:
Ich kann dem SSL-VPN kein Gateway o.ä. mitgeben, das gibt die Konfiguration nicht her. Deswegen wäre die Vermutung, dass er das Device, zu dem er connected, autom. als gateway nimmt.
Wenn ich nun route print am Windows-Client eingebe, dann er gibt sich folgendes:
Meine IP: 192.168.5.1
Destination: 192.168.4.0
Mask: 255.255.255.0
Gateway: 192.168.5.2 <-- Das ist falsch..?!
Metric: 10
Wenn ich die IP 192.168.5.2 habe (sofern ein User vor mir connected war) ist das gateway 192.168.5.3, also immer +1
Ein "route delete" sagt mir zwar "ok", löscht die Route jedoch nicht.
Wenn ich die Route manuell hinzufüge und eine kleinere Gewichtung nehme: "route add 192.168.4.0 mask 255.255.255.0 192.168.4.254 metric 5" zählt er automatisch 10 drauf?!
Also bei metric 5 nimmt er die 15, bei Metric 1 nimmt er die 11. Die Metric des o.g. Gateways kann ich auch nicht erhöhen.
Wenn ich mit -p eine permanente Route hinzufüge ergibt sich ein ähnliches Bild
Hat jemand eine idee, wo das problem sein könnte? Es muss das Routing sein... aber an welcher Stelle? Und einige Dienste tun's ja auch komischerweise.
Danke für die Hilfe & Grüße, LL
wir nutzen in unserem Netzwerk Firewalls von Fortinet, Modell FortiGate 90D und deren SSL-VPN-Funktion.
Vereinfacht sieht das so aus:
FortiGate hängt am Internet und leitet in's Subnetz 192.168.4.0/24, wo die Clients und Server stehen.
Das SSL-VPN hat das Subnetz 192.168.5.0/24 und verteilt IPs im Range 192.168.5.1 - 192.168.5.30
Es sind entsprechende Policies zur Kommunikation hinterlegt:
SSL-Tunnel > internes Netz: Alle Dienste erlauben, keine UTM Features
internes Netz > SSL-Tunnel: Alle Dienste erlauben, keine UTM Features
Eine Route in's 5er-Subnetz ist über das Device "ssl.root" vorhanden.
Eigentlich hatte ich nur bestimte Dienste wie SMB, Ping, DNS zugelassen aber dies vorerst testweise auf "All" erweitert
Grundsätzlich funktioniert das VPN auch und wird schon seit über 1 Jahr so verwendet.
- SMB tut's (komischerweise fragt er hier jedoch manchmal, nicht immer nach Login-Daten),
- Zugriff auf die MS-SQL-Datenbank geht auch...
- Outlook ebenfalls
- und auch Updates von GData werden aus dem internen Netz gezogen
Andere grundlegende Dinge wie zum Beispiel ein einfacher Ping auf den Server oder sogar auf die FortiGate selbst tut's jedoch nicht. Ich kann mir aber nicht erklären, warum.
Ein tracert auf eine beliebige IP im 4er-Netz bleibt schon beim 1 Hop hängen. Ein Ping aus dem internen Netz auf den Client im VPN bleibt ebenfalls hängen.. SMB auf den Client funktioniert.
Da nun Bedarf entstand von Extern auf den Telefonanlagen-Server zu connecten entstand aus dem mangel nun ein Problem.
Wenn ich an der Firewall mit "diag sni pack ssl.root icmp 4" ein Sniffing starte, dann sehe ich auch, dass die Ping-Anfragen sofort reinkommen.
Nun zu den eigenartigen Dingen:
Ich kann dem SSL-VPN kein Gateway o.ä. mitgeben, das gibt die Konfiguration nicht her. Deswegen wäre die Vermutung, dass er das Device, zu dem er connected, autom. als gateway nimmt.
Wenn ich nun route print am Windows-Client eingebe, dann er gibt sich folgendes:
Meine IP: 192.168.5.1
Destination: 192.168.4.0
Mask: 255.255.255.0
Gateway: 192.168.5.2 <-- Das ist falsch..?!
Metric: 10
Wenn ich die IP 192.168.5.2 habe (sofern ein User vor mir connected war) ist das gateway 192.168.5.3, also immer +1
Ein "route delete" sagt mir zwar "ok", löscht die Route jedoch nicht.
Wenn ich die Route manuell hinzufüge und eine kleinere Gewichtung nehme: "route add 192.168.4.0 mask 255.255.255.0 192.168.4.254 metric 5" zählt er automatisch 10 drauf?!
Also bei metric 5 nimmt er die 15, bei Metric 1 nimmt er die 11. Die Metric des o.g. Gateways kann ich auch nicht erhöhen.
Wenn ich mit -p eine permanente Route hinzufüge ergibt sich ein ähnliches Bild
Hat jemand eine idee, wo das problem sein könnte? Es muss das Routing sein... aber an welcher Stelle? Und einige Dienste tun's ja auch komischerweise.
Danke für die Hilfe & Grüße, LL
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 299456
Url: https://administrator.de/contentid/299456
Printed on: April 26, 2024 at 03:04 o'clock
1 Comment
Keiner 'ne Idee?
