Wie kann ich den Fortigate 60b als PPTP-VPN-Server einrichten
Einrichtung ohne pass through
Hallo liebe Administratoren,
ich habe nach Anleitung von FortiGate "PPTP VPN User Guide" versucht, den Fortigate soweit zu bringen, daß er eine PPTP-VPN akzeptiert. Ich schaffe ich es nicht ohne Hilfe.
PPTP-VPN über Pass through an den Domänencontroller und SSL-VPN funktionieren.
Ich möchte aber den Fortigate als PPTP-Server verwenden!
Hier meine Grunddaten (Alle Adressen sind Dummy-Adressen):
statische IP vom Provider: 85.85.85.194 auf WAN1 (Mit Netmask 255.255.255.248 konfiguriert)
interne IP vom Fortigate: 192.168.0.100
internes Netz: 192.168.0.x
interner freier Bereich: von 192.168.0.[80-90]
So habe ich angefangen:
1. Usergruppe "PPTP-UserGroup" angelegt und User (mit Passwort) eingetragen. (unfiltered)
2. PPTP "enabled". IP Range: "192.168.0.[80-85]". Usergruppe "PPTP-UserGroup" eingetragen
3. Firewall Source Adress Name: "Ext_PPTPRange", Type: "Subnet / IP Range", Subnet / IP Range: "192.168.0.[80-85]", Interface: "WAN1"
4. Firewall Destination Adress Name: "Int_PPTPRange", Type: "Subnet / IP Range", Subnet / IP Range: "192.168.0.[86-90]" (Auch "192.168.0.[80-85]" getestet), Interface: "internal"
5. Policy hinzugefügt mit Source Interface/Zone: "WAN1", Source Address:"Ext_PPTPRange", Destination Interface/Zone:"internal", Destination Address:"Int_PPTPRange", Schedule: "always", Service:"any", Action:"ACCEPT", NAT angehakt
Wo liegt hier mein Fehler. Ich bin nicht sicher, ob die Adressbereiche stimmen. Ich habe auch schon versucht, als externe Adresse den Adressbereich des "entfernten" Netzes zu verwenden. 192.168.178.[ ]
Muß ich noch irgendwo eine Authentication-Abfrage machen?
Viele Dank für Eure Hilfe
Goni
Hallo liebe Administratoren,
ich habe nach Anleitung von FortiGate "PPTP VPN User Guide" versucht, den Fortigate soweit zu bringen, daß er eine PPTP-VPN akzeptiert. Ich schaffe ich es nicht ohne Hilfe.
PPTP-VPN über Pass through an den Domänencontroller und SSL-VPN funktionieren.
Ich möchte aber den Fortigate als PPTP-Server verwenden!
Hier meine Grunddaten (Alle Adressen sind Dummy-Adressen):
statische IP vom Provider: 85.85.85.194 auf WAN1 (Mit Netmask 255.255.255.248 konfiguriert)
interne IP vom Fortigate: 192.168.0.100
internes Netz: 192.168.0.x
interner freier Bereich: von 192.168.0.[80-90]
So habe ich angefangen:
1. Usergruppe "PPTP-UserGroup" angelegt und User (mit Passwort) eingetragen. (unfiltered)
2. PPTP "enabled". IP Range: "192.168.0.[80-85]". Usergruppe "PPTP-UserGroup" eingetragen
3. Firewall Source Adress Name: "Ext_PPTPRange", Type: "Subnet / IP Range", Subnet / IP Range: "192.168.0.[80-85]", Interface: "WAN1"
4. Firewall Destination Adress Name: "Int_PPTPRange", Type: "Subnet / IP Range", Subnet / IP Range: "192.168.0.[86-90]" (Auch "192.168.0.[80-85]" getestet), Interface: "internal"
5. Policy hinzugefügt mit Source Interface/Zone: "WAN1", Source Address:"Ext_PPTPRange", Destination Interface/Zone:"internal", Destination Address:"Int_PPTPRange", Schedule: "always", Service:"any", Action:"ACCEPT", NAT angehakt
Wo liegt hier mein Fehler. Ich bin nicht sicher, ob die Adressbereiche stimmen. Ich habe auch schon versucht, als externe Adresse den Adressbereich des "entfernten" Netzes zu verwenden. 192.168.178.[ ]
Muß ich noch irgendwo eine Authentication-Abfrage machen?
Viele Dank für Eure Hilfe
Goni
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 114156
Url: https://administrator.de/forum/wie-kann-ich-den-fortigate-60b-als-pptp-vpn-server-einrichten-114156.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
6 Kommentare
Neuester Kommentar
Dein Fehler liegt vermutlich in der Firewall Definition !!
Die Firewall Source Adress Name: "Ext_PPTPRange" ist ja niemals die gleiche IP Adresse wie auch die Destination !!! Das würde ja bedeuten das Absender und Empfänger gleich wären, was bei IP ja unsinnig ist.
Bei Firewall Source Adress Name: "Ext_PPTPRange" muss also das Quellnetz hin.
Bei dir ist das dann 192.168.178.x (vermutlich ein Fritzbox Netzwerk !?)
Fortigate beschreibt das in dem von dir oben zitierten VPN PPTP HowTo auf Seite 19 leider nicht ganz genau !
Sie verwednen für die external und internal Range etwas verwirrende Beispiele.
Ggf. solltest du nicht ein Range sondern doch 2mal das gesamte Subnetz 192.168.0.0 /24 freigeben erstmal testweise !
Bedenke das dies Subnetz lokal zwingend eine 24 Bit Maske (255.255.255.0) haben muss !!!
Vermutlich sehen sie den Tunnel doch als ein Netzwerk. Andere VPN server wollen als externes IP Netz immer das remote lokale Netzwerk (192.168.178.0 /24 in deinem Fall) wissen. Fortigate scheinbar nicht und sieht nur den Tunnel selber. Dann wäre die Angabe von 192.168.0.x in beiden definitione richtig aber etwas verwirrend.
Ggf. musst du nach Trial and Error versuchen... Am besten immer mit dem gesamten Netz versuchen...
Das PPTP Howto beschreibt auch nur die Einrichtung. Zusätzlich zu den Angaben musst du natürlich noch Usernamen und Passwort definieren auf der Fortigate !
Du solltest in jedem Falle das Logging aktivieren wie im Whitepaper beschrieben und einmal mitloggen was passiert wenn du einen PPTP Zugang startest und das Log hier ggf. mal postest !
Damit sollte dann der VPN Zugang sauber funktionieren !!
Vielleicht solltest du als Alternative über ein SSL VPN nachdenken, denn dann benötigt der Client lediglich einen Browser für den Zugang, eine recht elegante VPN Lösung die Fortigate auch supportet.
Nochwas Generelles:
Man kann dir nur dringend abraten als lokales netzwerk sowas banales und allerweltliches wie 192.168.0.0 /24 zu verwenden.
Ein IP Netzwerk was jeder Billigrouter vom Blödmarkt vom Grabbeltisch verwendet.
Wie du ja sicher selber weisst müssen bei VPN Netzen Sender und Empfänger zwingend in unterschiedlichen Netzen liegen !!!
Es wird schneller als du denkst der Tag kommen, da ein Externer auch genau diese IP Netz Adresse hat und nix is mit VPN oder du musst immer und immer wieder eine Umstellung machen... !!!
Um das sicher zu verhindern solltest du besser dein lokales Netz auf etwas krummes einrichten wie z.B.:
172.27.44.0 /24 oder 172.19.147.0 /24 oder 192.168.247.0 /24 oder oder...
Das verringert die Chance eine Netzdopplung bei VPN ganz entscheidend und verschafft dir Planungssicherheit !!!
Der RFC 1918 hat ja außer den 192.168er Netzen noch 172.16-32 und das ganze 10er Netz für private Netze zur Auswahl !!
Die Firewall Source Adress Name: "Ext_PPTPRange" ist ja niemals die gleiche IP Adresse wie auch die Destination !!! Das würde ja bedeuten das Absender und Empfänger gleich wären, was bei IP ja unsinnig ist.
Bei Firewall Source Adress Name: "Ext_PPTPRange" muss also das Quellnetz hin.
Bei dir ist das dann 192.168.178.x (vermutlich ein Fritzbox Netzwerk !?)
Fortigate beschreibt das in dem von dir oben zitierten VPN PPTP HowTo auf Seite 19 leider nicht ganz genau !
Sie verwednen für die external und internal Range etwas verwirrende Beispiele.
Ggf. solltest du nicht ein Range sondern doch 2mal das gesamte Subnetz 192.168.0.0 /24 freigeben erstmal testweise !
Bedenke das dies Subnetz lokal zwingend eine 24 Bit Maske (255.255.255.0) haben muss !!!
Vermutlich sehen sie den Tunnel doch als ein Netzwerk. Andere VPN server wollen als externes IP Netz immer das remote lokale Netzwerk (192.168.178.0 /24 in deinem Fall) wissen. Fortigate scheinbar nicht und sieht nur den Tunnel selber. Dann wäre die Angabe von 192.168.0.x in beiden definitione richtig aber etwas verwirrend.
Ggf. musst du nach Trial and Error versuchen... Am besten immer mit dem gesamten Netz versuchen...
Das PPTP Howto beschreibt auch nur die Einrichtung. Zusätzlich zu den Angaben musst du natürlich noch Usernamen und Passwort definieren auf der Fortigate !
Du solltest in jedem Falle das Logging aktivieren wie im Whitepaper beschrieben und einmal mitloggen was passiert wenn du einen PPTP Zugang startest und das Log hier ggf. mal postest !
Damit sollte dann der VPN Zugang sauber funktionieren !!
Vielleicht solltest du als Alternative über ein SSL VPN nachdenken, denn dann benötigt der Client lediglich einen Browser für den Zugang, eine recht elegante VPN Lösung die Fortigate auch supportet.
Nochwas Generelles:
Man kann dir nur dringend abraten als lokales netzwerk sowas banales und allerweltliches wie 192.168.0.0 /24 zu verwenden.
Ein IP Netzwerk was jeder Billigrouter vom Blödmarkt vom Grabbeltisch verwendet.
Wie du ja sicher selber weisst müssen bei VPN Netzen Sender und Empfänger zwingend in unterschiedlichen Netzen liegen !!!
Es wird schneller als du denkst der Tag kommen, da ein Externer auch genau diese IP Netz Adresse hat und nix is mit VPN oder du musst immer und immer wieder eine Umstellung machen... !!!
Um das sicher zu verhindern solltest du besser dein lokales Netz auf etwas krummes einrichten wie z.B.:
172.27.44.0 /24 oder 172.19.147.0 /24 oder 192.168.247.0 /24 oder oder...
Das verringert die Chance eine Netzdopplung bei VPN ganz entscheidend und verschafft dir Planungssicherheit !!!
Der RFC 1918 hat ja außer den 192.168er Netzen noch 172.16-32 und das ganze 10er Netz für private Netze zur Auswahl !!