10
Verbindung über FortiClient (SSL-VPN) zu GATE 80C
Hallo Liebe Kollegen
Ich habe ein eigenartiges Problem...
Ich habe Ein FortiGate 80C in der Firma stehen und zuhause meinen Rechner mit dem ich mich via SSL-VPN mit meinem GATE verbinde um auf das Firmeninterne Netz zugreifen zu können. Das funktioniert ohne Probleme
Ich habe In der Firma einen großen Server stehen mit vielen VM drauf die auch ohne Probleme pingbar sind wenn ich mich über VPN von zuhause aus verbinde.
Ich habe aber noch IPsec-Tunnel am GATE eingetragen die zu Servern führen die im Ausland stehen. Wenn ich in der Firma bin kann ich auf die Auslands-Server ohne Probleme zugreifen und sie auch pingen. Sobald ich aber zuhause bin und über VPN im Firmennetz mich befinden bekomme ich nur eine Antwort meiner Lokalen Server (VMs) im Firmennetz die IPsec-Adressen, die am Gate eingestellt sind antworten nicht.
Die Firewall Objekte sind für die lokalen IPs und die IP-Sec Hosts eingerichtet und die Policies sind auch eingestellt. Die Policy für die IPsec-Hosts sind genau wie die für die lokalen Hosts eingestellt. ich verstehe daher nicht wieso ich über VPN die lokalen Host erreiche und die die über IPsec-Tunnel zu meiner Firma führen nicht erreichbar sind. die IPsec-Hosts müssten doch auch virtuell im Firmennetz auftauchen.
Ich habe auch 2 DomainControll-Server in denen die IPs mit einem Host-Namen hinterlegt sind und auch das wird intern auch alles aufgelöst nur von extern nicht über VPN.
Ich hoffe jemand kann mir hier weiterhelfen. bin langsam am ende mit meinen Latein.
Vielen Dank im Voraus.
Grüß
Kaps
Ich habe ein eigenartiges Problem...
Ich habe Ein FortiGate 80C in der Firma stehen und zuhause meinen Rechner mit dem ich mich via SSL-VPN mit meinem GATE verbinde um auf das Firmeninterne Netz zugreifen zu können. Das funktioniert ohne Probleme
Ich habe In der Firma einen großen Server stehen mit vielen VM drauf die auch ohne Probleme pingbar sind wenn ich mich über VPN von zuhause aus verbinde.
Ich habe aber noch IPsec-Tunnel am GATE eingetragen die zu Servern führen die im Ausland stehen. Wenn ich in der Firma bin kann ich auf die Auslands-Server ohne Probleme zugreifen und sie auch pingen. Sobald ich aber zuhause bin und über VPN im Firmennetz mich befinden bekomme ich nur eine Antwort meiner Lokalen Server (VMs) im Firmennetz die IPsec-Adressen, die am Gate eingestellt sind antworten nicht.
Die Firewall Objekte sind für die lokalen IPs und die IP-Sec Hosts eingerichtet und die Policies sind auch eingestellt. Die Policy für die IPsec-Hosts sind genau wie die für die lokalen Hosts eingestellt. ich verstehe daher nicht wieso ich über VPN die lokalen Host erreiche und die die über IPsec-Tunnel zu meiner Firma führen nicht erreichbar sind. die IPsec-Hosts müssten doch auch virtuell im Firmennetz auftauchen.
Ich habe auch 2 DomainControll-Server in denen die IPs mit einem Host-Namen hinterlegt sind und auch das wird intern auch alles aufgelöst nur von extern nicht über VPN.
Ich hoffe jemand kann mir hier weiterhelfen. bin langsam am ende mit meinen Latein.
Vielen Dank im Voraus.
Grüß
Kaps
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 277518
Url: https://administrator.de/contentid/277518
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
10 Kommentare
Neuester Kommentar
Hat die Auslandsgegenstelle eine entsprechende Route zu deinem VPN eingetragen?
Sobald ich aber zuhause bin und über VPN im Firmennetz mich befinden bekomme ich nur eine Antwort meiner Lokalen Server (VMs) im Firmennetz die IPsec-Adressen, die am Gate eingestellt sind antworten nicht.
Dafür gibt es 2 Gründe wie oben schon geschrieben:- Das Routing dieser externen Server auf deine Client IP ist nicht korrekt
- Firewall Regeln verhindern den Zugriff zw. deinem VPN Client IP Netz und dem der externen Server
Was Punkt 1 hier anbetrifft sind wie immer Traceroute und Pathping deine Freunde hier die dir die einzelnen Routing Hops anzeigen.
Bei dem Hop wo es kneift, also nicht weitergeht, ist in der Regel auch der Fehler, sei es durch Accesslisten der FW oder eben durch fehlendes Routing.
Ein Blick in die Routing Table dort und die Filterlisten löst dein "Problem" dann wie immer im Handumdrehen.
Ja hat sie, ich habe eine IPsec-Tunnel Eintrag für die IP-Range des VPN eingetragen zwischen GATE und der Auslandsstelle.
In erster und zweiter Phase.
Ich glaube es wird an einer Einstellung des Gate liegen.
wenn ich über VPN verbunden bin kann ich über nslookup den Host-Namen auflösen und er zeigt mir den weg über den DC zum Host-Name aber das pingen geht nicht, was irgendwie unlogisch ist.
In erster und zweiter Phase.
Ich glaube es wird an einer Einstellung des Gate liegen.
wenn ich über VPN verbunden bin kann ich über nslookup den Host-Namen auflösen und er zeigt mir den weg über den DC zum Host-Name aber das pingen geht nicht, was irgendwie unlogisch ist.
a hat sie, ich habe eine IPsec-Tunnel Eintrag für die IP-Range des VPN eingetragen zwischen GATE und der Auslandsstelle.
Das ist ja dann nur die halbe Miete !WAS ist mit der Routing Tabelle ?? Was sagt z.B. ein route print am Client oder ein sh ip route am Router ?? Sind dort ALLE IP Routen der beteiligten IP Netze vorhanden ??
Leider keinerlei Aussage von dir zu dem Thema ??
Wie gesagt... Traceroute (tracert) und Pathping sind hier deine Freunde ! Nutze sie....
Zitat von @aqui:
> a hat sie, ich habe eine IPsec-Tunnel Eintrag für die IP-Range des VPN eingetragen zwischen GATE und der
Auslandsstelle.
Das ist ja dann nur die halbe Miete !
WAS ist mit der Routing Tabelle ?? Was sagt z.B. ein route print am Client oder ein sh ip route am Router ?? Sind dort
ALLE IP Routen der beteiligten IP Netze vorhanden ??
Leider keinerlei Aussage von dir zu dem Thema ??
Wie gesagt... Traceroute (tracert) und Pathping sind hier deine Freunde ! Nutze sie....
> a hat sie, ich habe eine IPsec-Tunnel Eintrag für die IP-Range des VPN eingetragen zwischen GATE und der
Auslandsstelle.
Das ist ja dann nur die halbe Miete !
WAS ist mit der Routing Tabelle ?? Was sagt z.B. ein route print am Client oder ein sh ip route am Router ?? Sind dort
ALLE IP Routen der beteiligten IP Netze vorhanden ??
Leider keinerlei Aussage von dir zu dem Thema ??
Wie gesagt... Traceroute (tracert) und Pathping sind hier deine Freunde ! Nutze sie....
Ja im Traceroute und im route print habe ich gesehen das alles passt. das Gateway ist nur nicht das selbe was aber normal ist. sonst alles ident. im pathping habe ich aber etwas gefunden. ich check das mal und sage euch dann wie der stand ist.
Vielen Dank
Ich habe nun festgestellt dass mein Client via VPN nicht an meinem WAN vorbei kommt wenn ich die ausländische IP anwähle. Die Firewall und Policy regeln sind aber dafür im Gate gesetzt sodass ich via VPN vorbeikommen sollte wenn ich die ausländische IP anwähle. wenn ich auf eine Firmeninterne IP Tracert anwende komme ich am WAN vorbei.
Womit könnte das zusammenhängen?
kann es sein dass ich zu meinen IPsec-Tunneln zwischen GATE und ausländischer IP (Ext.IP) noch einen Tunnel öffnen muss mit IPsec WAN <-> Ext.IP ?
Im Moment habe ich nur IPsec tunnels zwischen
4 Lokal-Hosts <---> Ext.IPs
und
VPN-IPrange <---> Ext.IPs
Womit könnte das zusammenhängen?
kann es sein dass ich zu meinen IPsec-Tunneln zwischen GATE und ausländischer IP (Ext.IP) noch einen Tunnel öffnen muss mit IPsec WAN <-> Ext.IP ?
Im Moment habe ich nur IPsec tunnels zwischen
4 Lokal-Hosts <---> Ext.IPs
und
VPN-IPrange <---> Ext.IPs
Zitat von @aqui:
> a hat sie, ich habe eine IPsec-Tunnel Eintrag für die IP-Range des VPN eingetragen zwischen GATE und der
Auslandsstelle.
Das ist ja dann nur die halbe Miete !
WAS ist mit der Routing Tabelle ?? Was sagt z.B. ein route print am Client oder ein sh ip route am Router ?? Sind dort
ALLE IP Routen der beteiligten IP Netze vorhanden ??
Leider keinerlei Aussage von dir zu dem Thema ??
Wie gesagt... Traceroute (tracert) und Pathping sind hier deine Freunde ! Nutze sie....
> a hat sie, ich habe eine IPsec-Tunnel Eintrag für die IP-Range des VPN eingetragen zwischen GATE und der
Auslandsstelle.
Das ist ja dann nur die halbe Miete !
WAS ist mit der Routing Tabelle ?? Was sagt z.B. ein route print am Client oder ein sh ip route am Router ?? Sind dort
ALLE IP Routen der beteiligten IP Netze vorhanden ??
Leider keinerlei Aussage von dir zu dem Thema ??
Wie gesagt... Traceroute (tracert) und Pathping sind hier deine Freunde ! Nutze sie....
Ich habe jetzt das Problem entdeckt, nur habe ich keine Lösung dafür.
Wenn ich mich via VPN verbinde und die FirmenInterne IP mit Tracert abfrage springt ich über das GATE (den VPN-Server) aber sobald ich eine Ext.IP abfragen möchte die im IPsec-Tunnel gelistet ist versucht mein Client es über meinen Lokalen WAN zu erreichen, was natürlich unmöglich ist:
Hier ein Ausschnitt:
Verfolgung der IP eines in der Firma Lokal vorhandenen Servers:
C:\Users\KapsVie>tracert 192.168.9.99
Routenverfolgung zu Firmenserver.das.xya.at [192.168.9.99] über maximal 30 Abschnitte:
1 14 ms 13 ms 9 ms Server [192.168.190.010] (meine VPN-IP vom Homeoffice)
2 13 ms 11 ms 11 ms 10.60.100.1
3 14 ms 19 ms 59 ms Firmenserver.das.xya.at [192.168.9.99]
Ablaufverfolgung beendet.
Verfolgung der IP eines extern der Firma vorhandenen Servers (der über IPsec mit dem Firmennetzverbunden ist):
C:\Users\KasVie>tracert 214.217.14.19
Routenverfolgung zu 214.217.14.19 über maximal 30 Abschnitte
1 <1 ms <1 ms <1 ms 192.168.0.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
Die IPs sind natürlich von mir verändert aber so sieht das aus.
Ich hoffe ihr könnt mir da weiterhelfen, ich wäre sehr dankbar
mfg
Kaps
Ich seh da nicht, dass es irgendwie ins WAN geschoben wird, ich seh da nur, dass auf die Pings keine Antworten kommen, was auch bei fehlender Rückroute passieren kann.
Hi,
unter der Annahme, dass 10.60.100.1 die IP von der Fortigate ist und 192.168.0.1 die IP von deinem Router zu Hause ist, passen die Routen einstellungen an deinem Client nicht.
Du musst bei deinem Client einen Routing Eintrag haben das die IP 214.217.14.19 durch den VPN Tunnel geleitet wird.
unter der Annahme, dass 10.60.100.1 die IP von der Fortigate ist und 192.168.0.1 die IP von deinem Router zu Hause ist, passen die Routen einstellungen an deinem Client nicht.
Du musst bei deinem Client einen Routing Eintrag haben das die IP 214.217.14.19 durch den VPN Tunnel geleitet wird.
Alles klar. Ich teste das mal
Vielen Dank!
Vielen Dank!
