gonimaus
Goto Top

Wie kann ich den Fortigate 60b als PPTP-VPN-Server einrichten

Einrichtung ohne pass through

Hallo liebe Administratoren,

ich habe nach Anleitung von FortiGate "PPTP VPN User Guide" versucht, den Fortigate soweit zu bringen, daß er eine PPTP-VPN akzeptiert. Ich schaffe ich es nicht ohne Hilfe.

PPTP-VPN über Pass through an den Domänencontroller und SSL-VPN funktionieren.

Ich möchte aber den Fortigate als PPTP-Server verwenden!

Hier meine Grunddaten (Alle Adressen sind Dummy-Adressen):

statische IP vom Provider: 85.85.85.194 auf WAN1 (Mit Netmask 255.255.255.248 konfiguriert)
interne IP vom Fortigate: 192.168.0.100
internes Netz: 192.168.0.x
interner freier Bereich: von 192.168.0.[80-90]


So habe ich angefangen:

1. Usergruppe "PPTP-UserGroup" angelegt und User (mit Passwort) eingetragen. (unfiltered)

2. PPTP "enabled". IP Range: "192.168.0.[80-85]". Usergruppe "PPTP-UserGroup" eingetragen

3. Firewall Source Adress Name: "Ext_PPTPRange", Type: "Subnet / IP Range", Subnet / IP Range: "192.168.0.[80-85]", Interface: "WAN1"

4. Firewall Destination Adress Name: "Int_PPTPRange", Type: "Subnet / IP Range", Subnet / IP Range: "192.168.0.[86-90]" (Auch "192.168.0.[80-85]" getestet), Interface: "internal"

5. Policy hinzugefügt mit Source Interface/Zone: "WAN1", Source Address:"Ext_PPTPRange", Destination Interface/Zone:"internal", Destination Address:"Int_PPTPRange", Schedule: "always", Service:"any", Action:"ACCEPT", NAT angehakt


Wo liegt hier mein Fehler. Ich bin nicht sicher, ob die Adressbereiche stimmen. Ich habe auch schon versucht, als externe Adresse den Adressbereich des "entfernten" Netzes zu verwenden. 192.168.178.[ ]
Muß ich noch irgendwo eine Authentication-Abfrage machen?


Viele Dank für Eure Hilfe

Goni

Content-ID: 114156

Url: https://administrator.de/forum/wie-kann-ich-den-fortigate-60b-als-pptp-vpn-server-einrichten-114156.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

aqui
aqui 18.04.2009 um 12:34:29 Uhr
Goto Top
Dein Fehler liegt vermutlich in der Firewall Definition !!

Die Firewall Source Adress Name: "Ext_PPTPRange" ist ja niemals die gleiche IP Adresse wie auch die Destination !!! Das würde ja bedeuten das Absender und Empfänger gleich wären, was bei IP ja unsinnig ist.

Bei Firewall Source Adress Name: "Ext_PPTPRange" muss also das Quellnetz hin.
Bei dir ist das dann 192.168.178.x (vermutlich ein Fritzbox Netzwerk !?)

Fortigate beschreibt das in dem von dir oben zitierten VPN PPTP HowTo auf Seite 19 leider nicht ganz genau !
Sie verwednen für die external und internal Range etwas verwirrende Beispiele.
Ggf. solltest du nicht ein Range sondern doch 2mal das gesamte Subnetz 192.168.0.0 /24 freigeben erstmal testweise !
Bedenke das dies Subnetz lokal zwingend eine 24 Bit Maske (255.255.255.0) haben muss !!!
Vermutlich sehen sie den Tunnel doch als ein Netzwerk. Andere VPN server wollen als externes IP Netz immer das remote lokale Netzwerk (192.168.178.0 /24 in deinem Fall) wissen. Fortigate scheinbar nicht und sieht nur den Tunnel selber. Dann wäre die Angabe von 192.168.0.x in beiden definitione richtig aber etwas verwirrend.
Ggf. musst du nach Trial and Error versuchen... face-sad Am besten immer mit dem gesamten Netz versuchen...
Das PPTP Howto beschreibt auch nur die Einrichtung. Zusätzlich zu den Angaben musst du natürlich noch Usernamen und Passwort definieren auf der Fortigate !
Du solltest in jedem Falle das Logging aktivieren wie im Whitepaper beschrieben und einmal mitloggen was passiert wenn du einen PPTP Zugang startest und das Log hier ggf. mal postest !

Damit sollte dann der VPN Zugang sauber funktionieren !!
Vielleicht solltest du als Alternative über ein SSL VPN nachdenken, denn dann benötigt der Client lediglich einen Browser für den Zugang, eine recht elegante VPN Lösung die Fortigate auch supportet.

Nochwas Generelles:
Man kann dir nur dringend abraten als lokales netzwerk sowas banales und allerweltliches wie 192.168.0.0 /24 zu verwenden.
Ein IP Netzwerk was jeder Billigrouter vom Blödmarkt vom Grabbeltisch verwendet.
Wie du ja sicher selber weisst müssen bei VPN Netzen Sender und Empfänger zwingend in unterschiedlichen Netzen liegen !!!
Es wird schneller als du denkst der Tag kommen, da ein Externer auch genau diese IP Netz Adresse hat und nix is mit VPN oder du musst immer und immer wieder eine Umstellung machen... !!!

Um das sicher zu verhindern solltest du besser dein lokales Netz auf etwas krummes einrichten wie z.B.:
172.27.44.0 /24 oder 172.19.147.0 /24 oder 192.168.247.0 /24 oder oder...
Das verringert die Chance eine Netzdopplung bei VPN ganz entscheidend und verschafft dir Planungssicherheit !!!
Der RFC 1918 hat ja außer den 192.168er Netzen noch 172.16-32 und das ganze 10er Netz für private Netze zur Auswahl !!
gonimaus
gonimaus 19.04.2009 um 09:10:43 Uhr
Goto Top
Vielen Dank für die vielen Ideen und Tips.

Leider klappen auch diese Einstellungen nicht. Diese hatte ich auch schon getestet. Außerdem habe ich als externe Adresse mal die 85.85.85.194 eingetragen. Dann habe ich auch schon mal alle Einstellungen "gedreht" (Man weiß ja nie).
Daß ich Extern und Intern das gleiche Netz angegeben habe, liegt daran, daß das der letzte "verzweifelte" Test von vielen war, bevor die ich die Frage gestellt habe. Daß das nicht stimmen konnte, war mir "einigermaßen" bekannt, wenn ich auch nicht der Netz-Profi bin.

"SSL-VPN" und "PPTP pass through" habe ich auch hinbekommen.

Was könnte noch falsch sein? Welche Werte müssen wo hinein? Was habe ich vergessen?

Vielen Dank für die Hilfe

Goni
aqui
aqui 19.04.2009 um 20:59:31 Uhr
Goto Top
Eigentlich hast du alles laut Handbuch richtig gemacht !!
Gibt es ein Log in der Fortigate was du auslesen kannst ???

Ansonsten hilft halt nur die Fortinet Hotline in FFM:

Wöhlerstrasse 5
60323 Frankfurt am Main
Germany
Tel: +49-69 710 423 535
Fax: +49 69 710 423 200
harald21
harald21 20.04.2009 um 07:57:33 Uhr
Goto Top
Hallo,

bei Fortigate ist es durchaus möglich für die PPTP-User einen Range des internern Subnetzes zu reservieren. Die oben gemachten Angaben sehen soweit eigentlich ganz gut aus, nur in der Policy muß das Häckchen bei NAT weg. Das ist definitiv überflüssig.

mfg
Harald
gonimaus
gonimaus 21.04.2009 um 21:04:31 Uhr
Goto Top
Hallo miteinander,

vielen Dank für Eure Hilfe,

Die LÖSUNG!

Ich hatte zuvor die PPTP-VPN über pass through gelöst. Dabei wird eine Virtual IP für den PPTP-Port (1723) angelegt.
Ich dachte, wenn ich in den Policy die Regel für den VPN-Zugang für pass through abschalte (Haken herausnehme), reicht das.
Das ist aber nicht so. Es muß die gesamte Regel inklusive der Virtual IP für den Port 1723 gelöscht werden.

Kaum war die Virtual IP gelöscht, schon funktionierte die FGT als PPTP-Server.

Vielen Dank an den Support aus dem Hause Fortigate.

mfg
Goni
aqui
aqui 22.04.2009 um 16:33:54 Uhr
Goto Top
...und Dank an dich für das Feedback hier !!!