4
VPN mit DynDNS und 2 Fortigate Firewalls
Hallo @ all,
habe ein kleines Problem.
Folgende Ausgangskonfiguration:
Standort Server 1 -> Fortigate 50B -> WAN1 -> feste IP VPN Zugriff per Client kein Problem
Standort Server 2 -> Fortigate 30B -> WAN -> IP per DHCP vom Vodafone 3G -> kein VPN möglich
Bei der Fortigate 30B im 2. Standort bekomme ich am WAN PORT nur eine IP Adresse aus dem 192.168.xxx.xxx Bereich vom Vodafone Modem zugewiesen. Es besteht ja die Möglichkeit, über den WAN Port eine Dynamische DNS einzurichten. Nur leider wird diese dann natürlich auch nur mit dieser IP Adresse von der Fortigate bei z.B. DynDNS festgelegt.
Somit hab ich zwar innerhalb des 2. Standortes Zugriff auf die Fortigate, durch die Auflösung durch den DNS Server, aber sobald ich von aussen zugreifen will, gehts natürlich nicht mehr.
Nachdem ich aber eine Site2Site Verbindung zwischen den beiden Firewalls herstellen will, bräuchte ich natürlich eine dynamische DNS mit der vom Provider zugewiesenen IP Adresse des Vodafone Modems.
Im Vodafone Modem selbst kann ich auch eine Dynamische DNS einrichten. Nur ist da wiederum das Problem, dass ich damit nur Zugriff von aussen auf das Modem habe.
Momentan bin ich leider mit meinem Latein am Ende, wie ich das am Besten konfigurieren könnte, damit ich eine Site2Site Verbindung herstellen kann.
Es besteht nur noch die Möglichkeit, den WAN port manuell zu konfigurieren, Da ich aber keine statische IP-Adresse von Vodafone bekomme, weiß ich nicht, wie ich das einrichten soll???
Eventuell hat hier schon einmal jemand eine ähnliche Problematik gehabt?
Besten Dank schonmal für Tips und noch einen schönen Sonntag!
habe ein kleines Problem.
Folgende Ausgangskonfiguration:
Standort Server 1 -> Fortigate 50B -> WAN1 -> feste IP VPN Zugriff per Client kein Problem
Standort Server 2 -> Fortigate 30B -> WAN -> IP per DHCP vom Vodafone 3G -> kein VPN möglich
Bei der Fortigate 30B im 2. Standort bekomme ich am WAN PORT nur eine IP Adresse aus dem 192.168.xxx.xxx Bereich vom Vodafone Modem zugewiesen. Es besteht ja die Möglichkeit, über den WAN Port eine Dynamische DNS einzurichten. Nur leider wird diese dann natürlich auch nur mit dieser IP Adresse von der Fortigate bei z.B. DynDNS festgelegt.
Somit hab ich zwar innerhalb des 2. Standortes Zugriff auf die Fortigate, durch die Auflösung durch den DNS Server, aber sobald ich von aussen zugreifen will, gehts natürlich nicht mehr.
Nachdem ich aber eine Site2Site Verbindung zwischen den beiden Firewalls herstellen will, bräuchte ich natürlich eine dynamische DNS mit der vom Provider zugewiesenen IP Adresse des Vodafone Modems.
Im Vodafone Modem selbst kann ich auch eine Dynamische DNS einrichten. Nur ist da wiederum das Problem, dass ich damit nur Zugriff von aussen auf das Modem habe.
Momentan bin ich leider mit meinem Latein am Ende, wie ich das am Besten konfigurieren könnte, damit ich eine Site2Site Verbindung herstellen kann.
Es besteht nur noch die Möglichkeit, den WAN port manuell zu konfigurieren, Da ich aber keine statische IP-Adresse von Vodafone bekomme, weiß ich nicht, wie ich das einrichten soll???
Eventuell hat hier schon einmal jemand eine ähnliche Problematik gehabt?
Besten Dank schonmal für Tips und noch einen schönen Sonntag!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 159237
Url: https://administrator.de/contentid/159237
Printed on: April 25, 2024 at 13:04 o'clock
4 Comments
Latest comment
bräuchte ich natürlich eine dynamische DNS mit der vom Provider zugewiesenen IP Adresse des Vodafone Modems.
Technisch gesehen Nein.
Du musst nur S2 die Verbindung mit S1 initialisieren lassen, das geht sowohl mit PPTP als auch mit IPSec im NAT-T Modus.
Das Vodafone "Modem" ist wohl auch kein Modem, sondern ein Router, denn in UMTS-Netzen bekommt man idR 10er IPs.
Und wenn du nach "vodafone umts öffentliche ip" googlest findest du auch einiges...
In 3G Netzwerken ist die Vergabe der IPs meist vom APN abhängig. Vermutlich nutzt du einen billegen Surf Tarif, denn die landen in der regel alle auf RFC 1918 IP Adressen. Teurere Business Tarife nicht.
Siehe auch hier:
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
Also anderen APN auswählen oder Tarifwechsel....
Siehe auch hier:
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
Also anderen APN auswählen oder Tarifwechsel....
Tarif ist ein Vodafone Web'n Surf Business Contract.
IP Adresse ist entweder aus dem 10er Netz oder etwas mit 217... wechselt ständig.
Bei dem "Router" handelt es sich um nen Huawai oder wie die heißen Typ B970.
Also sollte es eigentlich reichen, wenn ich am Standort 2 wo der Vodafone Dreck ist, eine IPSEC Initiialisierung zu Standort 1 ausführen.
Aber was gebe ich am Standort 1 für Daten ein? Muss ja ne IP-Adresse angeben, von der aus ich den Tunnel aufbaue. Außer ich mache eine Client Verbindung, was aber nicht Sinn der Sache ist.
IP Adresse ist entweder aus dem 10er Netz oder etwas mit 217... wechselt ständig.
Bei dem "Router" handelt es sich um nen Huawai oder wie die heißen Typ B970.
Also sollte es eigentlich reichen, wenn ich am Standort 2 wo der Vodafone Dreck ist, eine IPSEC Initiialisierung zu Standort 1 ausführen.
Aber was gebe ich am Standort 1 für Daten ein? Muss ja ne IP-Adresse angeben, von der aus ich den Tunnel aufbaue. Außer ich mache eine Client Verbindung, was aber nicht Sinn der Sache ist.
Sowie du eine RFC 1918 IP Adresse (Private IP) dort bekommst ists sofort aus mit dem VPN, da der Carrier dann NAT macht und du das nicht überwinden kannst. Da nützt dir dann auch kein DynDNS mehr.
Du musst nicht unbedingt eine IP Adresse angeben, ein FQDN Hostname geht auch wie z.B. ein DynDNS Hostname hinter dem sich dann die aktuell aktive IP befindet. Das wird millionenfach so gemacht im Internet.
Wenn diese IP aber eine 10er, 172er oder 192.168er IP ist ists vorbei mit dem VPN es sei denn du hast einen NAT Traversal fähigen Router ?!
Du musst nicht unbedingt eine IP Adresse angeben, ein FQDN Hostname geht auch wie z.B. ein DynDNS Hostname hinter dem sich dann die aktuell aktive IP befindet. Das wird millionenfach so gemacht im Internet.
Wenn diese IP aber eine 10er, 172er oder 192.168er IP ist ists vorbei mit dem VPN es sei denn du hast einen NAT Traversal fähigen Router ?!
