VPN Konfiguration End - Site(NAT) - Site mit Fortigate
Hallo zusammen,
ich brauche eure Hilfe, ich blick noch nicht ganz durch ;)
Die Situation:
Ein Entwickler verbindet sich mit seinem MAC oder Windows Rechner von zuhause über SSL VPN oder IPSEC in das Firmennetzwerk um dort zu arbeiten. Dort wird er in ein VPN Netzwerk geschmissen, welches auch Zugriff (zumindest die verwendeten Ports) auf das Firmennetz bietet.
z.B. VPN Network 192.168.1.0/24
z.B. Company Network 10.0.0.0/24
So weit so gut, der Entwickler kann auf seine Server im Firmennetzwerk zugreifen.
Anforderung:
Entwickler sollen nun auch auf das Netzwerk eines Hosters zugreifen können, welches mit einer dauerhaften IPSEC Verbindung am Firmennetzwerk hängt.
z.B. Hoster Network 10.0.20.0/24
(Vom Firmennetz problemlos möglich, Zugriff ist jedoch nur über die Öffentliche IP Adreesse des Firmennetzwerks möglich)
Die eigentliche Frage:
Wie schaffe ich, dass sich der Entwickler von zuhause ins Firmennetzwerk einwählt und von dort aus ebenfalls problemlos auf das Hoster Netzwerk (unter Verwendung der Firmeneigenen öffentlichen Adresse nach außen) verbinden kann.
Meine Idee, falls das gehen sollte: Die bestehende VPN Verbindung von zuhause hinter die Company FW per NAT legen und dann den benötigten traffic in das Hoster Netzwerk routen.
Nur irgendwie funktioniert das nicht so wie ich mir das vorstelle, bzw. IPSEC behind NAT ... ist ja eigentlich nur möglich wenn man das gekapselte paket nochmal kapseln würde oder?
Ich hoffe ich drücke mich hier nicht zu kompliziert aus, vielen Dank an jede Hilfe
MfG
Itproject
ich brauche eure Hilfe, ich blick noch nicht ganz durch ;)
Die Situation:
Ein Entwickler verbindet sich mit seinem MAC oder Windows Rechner von zuhause über SSL VPN oder IPSEC in das Firmennetzwerk um dort zu arbeiten. Dort wird er in ein VPN Netzwerk geschmissen, welches auch Zugriff (zumindest die verwendeten Ports) auf das Firmennetz bietet.
z.B. VPN Network 192.168.1.0/24
z.B. Company Network 10.0.0.0/24
So weit so gut, der Entwickler kann auf seine Server im Firmennetzwerk zugreifen.
Anforderung:
Entwickler sollen nun auch auf das Netzwerk eines Hosters zugreifen können, welches mit einer dauerhaften IPSEC Verbindung am Firmennetzwerk hängt.
z.B. Hoster Network 10.0.20.0/24
(Vom Firmennetz problemlos möglich, Zugriff ist jedoch nur über die Öffentliche IP Adreesse des Firmennetzwerks möglich)
Die eigentliche Frage:
Wie schaffe ich, dass sich der Entwickler von zuhause ins Firmennetzwerk einwählt und von dort aus ebenfalls problemlos auf das Hoster Netzwerk (unter Verwendung der Firmeneigenen öffentlichen Adresse nach außen) verbinden kann.
Meine Idee, falls das gehen sollte: Die bestehende VPN Verbindung von zuhause hinter die Company FW per NAT legen und dann den benötigten traffic in das Hoster Netzwerk routen.
Nur irgendwie funktioniert das nicht so wie ich mir das vorstelle, bzw. IPSEC behind NAT ... ist ja eigentlich nur möglich wenn man das gekapselte paket nochmal kapseln würde oder?
Ich hoffe ich drücke mich hier nicht zu kompliziert aus, vielen Dank an jede Hilfe
MfG
Itproject
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 260771
Url: https://administrator.de/forum/vpn-konfiguration-end-sitenat-site-mit-fortigate-260771.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
3 Kommentare
Neuester Kommentar
Wie schaffe ich, dass sich der Entwickler von zuhause ins Firmennetzwerk einwählt und von dort aus ebenfalls problemlos auf das Hoster Netzwerk
Das ist kinderleicht und hätte dir auch als Laie auffallen müssen warum es nicht geht !!Wenn er sich per VPN einwählt bekommt sein Client dynmaisch eine Route in das 10.0.0.0 /24 er Netz mitgeteilt aber natürlich KEINE IP Route in das Hoster Netzwerk 10.0.20.0 /24 !!
Woher auch ??
Der VPN Client kann ja nicht raten oder hellsehen. Folglich geht dieser logischerweise davon aus das er es nicht über den VPN Tunnel erreicht sondern über seine Default Route die über welche NIC auch immer geht.
Funktioniert also alles wie es soll !!
Der Fehler liegt klar in der Misskonfiguration des VPNs für diesen Client ! Der muss zusätzlich noch einen Route ins 10.0.20.0 /24 er Netz übermittelt bekommen, damit er weiss das er Pakete für dieses Netzwerk auch in den VPN Tunnel routen muss.
Das geht auf dem VPN Server mit einer entsprechenden Template Änderung für diesen User indem der einfach nur die richtige Route bekommt.
Alternativ kann man auch die vom VPN Server übermittelte Route mit einer 16 Bit Subnetzmaske statt 24 an den Client geben, dann würde er alles was 10.0.x.x als Zieladresse hat in den Tunnel routen. Das wäre das einfachste.
Falls alle Stricke reissen kann man ohne jeglichen Eingriff am VPN Server eine statische Route auf den Client einrichten mit
route add 10.0.20.0 mask 255.255.255.0 gateway <tunnel_ip_vpn_server>
Diese 3 Optionen hast du um das ganz einfach zu fixen.
IPSEC behind NAT ... ist ja eigentlich nur möglich wenn man das gekapselte paket nochmal kapseln würde oder?
Nein das ist technischer Unsinn, dafür gibt es NAT-Traversal beim IPsec.Details dazu bei IPsec erklärt dir dieses Forums Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Ich hoffe ich drücke mich hier nicht zu kompliziert aus
Nein, tust du nicht. Ist ein klassischer, täglicher Fehler hier im Forum wenn es um Routing von weiteren IP Netzen hinter dem VPN Tunnel geht leider wird die entsprechende route nicht dem VPN Client (zuhause) übermittelt.
Wie erwartet und vermutet ! Genau das ist dein Problem und eine falsche Konfiguration der Fortinet !Wenn ich die Route am Client fest eintrage, dann findet er entsprechend den Weg ins Hoster Netzwerk.
Bestätigt die Vermutung und den Fehler ! Problem ist nun eher, dass die entsprechende Route nicht zum VPN Client gepusht wird.
Wie gesagt: ein Fehler in der Konfiguration der Fortinet FW ! Geh zum FW Admin und lass ihn das fixen ! Sind 2-3 Mausklicks im Setup GUI.