7
Zugriff auf zweites Netzsegment über Firewall einrichten
Guten Tag!
Ich habe folgendes Problem bei folgender Infrastruktur:
Zwei Fortigate 80C Firewalls verbinden über einen VPN-Tunnel über IPsec zwei Standorte. Standort B mit dem Netzsegment 192.168.2.0/24 (FG-IP: 192.168.2.254) kommt auf Netzsegment 192.168.1.0/24 (FG-IP: 192.168.1.254) auf Standort A. Der Tunnel funktioniert auch, so dass ich die Standorte gegenseitig anpingen kann. In Standort A gibt es aber noch ein zweites Netzsegment 192.168.0.0/24. Die User von Standort B sollen auf das Netz 192.168.0.0/24 zugreifen können und umgekehrt sollen die User von Standort A Zugriff auf das Netz in Standort B haben. Diese Einstellung gelingt mir leider nicht. Ich habe das Gefühl, es kann nur noch eine Kleinigkeit sein, komme aber nicht darauf.
Für Tipps und Infos bin ich sehr dankbar.
mfg
Schorre
Ich habe folgendes Problem bei folgender Infrastruktur:
Zwei Fortigate 80C Firewalls verbinden über einen VPN-Tunnel über IPsec zwei Standorte. Standort B mit dem Netzsegment 192.168.2.0/24 (FG-IP: 192.168.2.254) kommt auf Netzsegment 192.168.1.0/24 (FG-IP: 192.168.1.254) auf Standort A. Der Tunnel funktioniert auch, so dass ich die Standorte gegenseitig anpingen kann. In Standort A gibt es aber noch ein zweites Netzsegment 192.168.0.0/24. Die User von Standort B sollen auf das Netz 192.168.0.0/24 zugreifen können und umgekehrt sollen die User von Standort A Zugriff auf das Netz in Standort B haben. Diese Einstellung gelingt mir leider nicht. Ich habe das Gefühl, es kann nur noch eine Kleinigkeit sein, komme aber nicht darauf.
Für Tipps und Infos bin ich sehr dankbar.
mfg
Schorre
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 150878
Url: https://administrator.de/contentid/150878
Ausgedruckt am: 26.11.2024 um 02:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo
hast du auf Standort B die Route für das 192.168.0.0/24 Netz eingetragen?
Probier mal tracert aus und schau bis wohin die Pakete kommen.
hast du auf Standort B die Route für das 192.168.0.0/24 Netz eingetragen?
Probier mal tracert aus und schau bis wohin die Pakete kommen.
Bei B musst du zwingend eine statische Route eintragen, die das 192.168.0.0 /24er netz auch in den VPN Tunnel routet !
Das löst dein Problem im Handumdrehen !
Das löst dein Problem im Handumdrehen !
Danke für die Info.
Bin jetzt gerade in Standort B und habe die statische Route eingetragen, nur leider komme ich immer noch nicht auf das 192.168.0.0/24 Netz. Tracert liefert mit im 2. Schritt gleich eine Zeitüberschreitung.
Routeneintrag sieht wie folgt aus:
IP/Mask: 192.168.0.0/24
Gateway: 192.168.2.254
Device: wan1
Liegt der Fehler am Eintrag der statischen Route?
Wäre nett, wenn jemand gleich antworten könnte, da ich noch vor Ort bin. Danke
Bin jetzt gerade in Standort B und habe die statische Route eingetragen, nur leider komme ich immer noch nicht auf das 192.168.0.0/24 Netz. Tracert liefert mit im 2. Schritt gleich eine Zeitüberschreitung.
Routeneintrag sieht wie folgt aus:
IP/Mask: 192.168.0.0/24
Gateway: 192.168.2.254
Device: wan1
Liegt der Fehler am Eintrag der statischen Route?
Wäre nett, wenn jemand gleich antworten könnte, da ich noch vor Ort bin. Danke
Die stat. Route in Standort B habe ich eingetragen und das Gateway auf 192.168.1.254 (IP von Router in Standort A) gesetzt. Ping auf 192.168.0.0 Netz klappt immer noch nicht. Kann es sein, dass ich in Standort A noch eine Regel eintragen muss. Wie wird das Netzsegment 192.168.0.0/24 in der Fortigate geroutet?
mfg Schorre
mfg Schorre
Ja, klar ! Analog müssen von da doch die Pakete wieder zurück und auch A muss dieses Netz kennen. Dort muss also auch analog eine statische Route eingetragen werden.
Leider schreibst du nicht WER die netzkopplung bei A zwischen den Segmenten .2.0 und .0.0 macht. Dies müsste ja logischerweise auch ein Router sein, der dann natürlich auch eine statische Route bruacht ala
192.168.2.0 , Maske: 255.255.255.0 Gateway: 192.168.1.254
Ansonsten funktioniert es nicht.
Mach aus dem Segment immer ein Traceroute (tracert) oder Pathping auf das Zielsystem. Da kannst du dann gleich sehen an welchem Hop es kneift !
Leider schreibst du nicht WER die netzkopplung bei A zwischen den Segmenten .2.0 und .0.0 macht. Dies müsste ja logischerweise auch ein Router sein, der dann natürlich auch eine statische Route bruacht ala
192.168.2.0 , Maske: 255.255.255.0 Gateway: 192.168.1.254
Ansonsten funktioniert es nicht.
Mach aus dem Segment immer ein Traceroute (tracert) oder Pathping auf das Zielsystem. Da kannst du dann gleich sehen an welchem Hop es kneift !
Hier nochmal kurz eine Zusammenfassung der Einstellungen in Standort A u. B
Standort B hat das Netz 192.168.2.0/24 Gateway 192.168.2.254 Router = Fortigate 80C
Statische Route lautet:
IP/Mask: 192.168.0.0/24
Gateway: 192.168.2.254
Device: wan1
Standort A hat das Netz 192.168.1.0/24 Gatewas 192.168.1.254 Router = Fortigate 80C
Die Netzkopplung zwischen Netz 192.168.1.0 u. 192.168.0.0 soll die FG 80 C herstellen.
Frage 1:
Ist die stat. Route in Standort B richtig
Frage 2:
Wie lautet der Eintrag der stat. Route in Standort A
Frage 3:
Wie route ich in Standort A in der FG das Netz 1.0 in 0.0
Wenn ich antworten auf die Fragen habe, muss es eigentlich funktionieren. Ich hoffe, ihr könnt mir da helfen, langsam läuft mir die Zeit davon.
Vielen Dank. Schorre
Standort B hat das Netz 192.168.2.0/24 Gateway 192.168.2.254 Router = Fortigate 80C
Statische Route lautet:
IP/Mask: 192.168.0.0/24
Gateway: 192.168.2.254
Device: wan1
Standort A hat das Netz 192.168.1.0/24 Gatewas 192.168.1.254 Router = Fortigate 80C
Die Netzkopplung zwischen Netz 192.168.1.0 u. 192.168.0.0 soll die FG 80 C herstellen.
Frage 1:
Ist die stat. Route in Standort B richtig
Frage 2:
Wie lautet der Eintrag der stat. Route in Standort A
Frage 3:
Wie route ich in Standort A in der FG das Netz 1.0 in 0.0
Wenn ich antworten auf die Fragen habe, muss es eigentlich funktionieren. Ich hoffe, ihr könnt mir da helfen, langsam läuft mir die Zeit davon.
Vielen Dank. Schorre
Ich muss meine Angaben korrigieren. In Standort A findet das Routing vom Netz 192.168.0.0 auf 192.168.1.0 über einen PC mit zwei Netzwerkkarten statt. Dieser hat auf einer Nic die Adresse 192.168.0.202 und routet über die 2. Nic mit der Adresse 192.168.1.202 und Gateway 192.168.1.254 das Netzsegment.
Ich denke, dass ich in der Fortigate noch statische Routen setzen muss, die so lauteten
IP/Mask: 192.168.0.0
Gateway 192.168.1.202
Device: LAN
IP/Mask: 192.168.1.0
Gateway: 192.168.0.202
Device: LAN
Liege ich hier richtig oder habe ich einen Denkfehler in meiner Konfiguration?
Ich denke, dass ich in der Fortigate noch statische Routen setzen muss, die so lauteten
IP/Mask: 192.168.0.0
Gateway 192.168.1.202
Device: LAN
IP/Mask: 192.168.1.0
Gateway: 192.168.0.202
Device: LAN
Liege ich hier richtig oder habe ich einen Denkfehler in meiner Konfiguration?
