18
Draytek Vigor an Fortigate via IPSec
Da mich bereits viele User um die Lösung gebeten haben wie man ein Vigor Router via IPSec an die Fortigate bringt, habe ich mich dazu entschlossen, diese kleine Anleitung zu schreiben. Ich gehe hierbei auch nicht auf nebensächliches ein sondern beschreibe nur die Punkte die eingerichtet werden müssen bzw. sollten.
Zuerst einmal in den Draytek einloggen:
- Im Menü VPN und externe Einwahl das Untermenü LAN zu LAN auswählen und ein neues Profil anlegen
1. Allgemeine Einstellungen
2.Einstellungen zum Rauswählen:
3. TCP/IP Netzwerk-Einstellungen:
Nun ist der Draytek bereit IPSec Verbindungen mit der Gegenstelle aufzubauen. Bevor dies aber auch klappt, sollten wir dei Gegenstelle, nämlich die Fortigate so konfigurieren, dass sich der Vigor auch einwählen darf.
1. Anlegen der Adress-Bereiche:
Unter Firewall / Adresses klicken wir auf den Schalter Create New
Nun haben wir den Adressberech der Gegenstelle angelegt, schlussendlich muss die Fortigate auch den Adressbereich wissen, den Sie intern zu handeln hat.
Unter Firewall / Adresses klicken wir auf den Schalter Create New
3. Einrichten von IPSec:
Unter VPN / IPSec klicken wir auf den Schalter Create PHASE1
Nun müssen wir noch auf Advanced klicken, um die Einstellungen zur Verschlüselung festzulegen:
Also richten wir PHASE1 ein
P1 Proposal:
Nun richten wir noch PHASE2 ein:
anschließend auf ADVANCED klicken..
P2 Proposal:
Die restlichen Werte brauchen hier nicht eingetragen oder editiert zu werden.
Anschliessend kommen wir zu den Policies, damit die FortiGate weiss, wie sie mit den IP-Paketen umgehen soll...
3. Anlegen der Firewall Policies:
Unter Firewall / Policy klicken wir auf den Schalter Create New und editieren von innen nach aussen also internal -> wan1
Unter Firewall / Policy klicken wir auf den Schalter Create New und editieren von aussen nach innen also wan1 -> internal
Nachdem wir diese Regel mit OK gespeichert haben können wir beide Router einmal neu booten und anschliessend bei der Fortigate unter VPN / IPSEC / Monitor schauen ob der Status von VPN_DRAYTEKFORTI UP ist und ob Pakete übertragen werden. Zusätzlich lässt sich das ganze natürlich noch mit einem Ping testen.
Fertig!
1. Einstellungen Draytek (in meinem Fall gerade ein Vigor 2700)
Zuerst einmal in den Draytek einloggen:
- Im Menü VPN und externe Einwahl das Untermenü LAN zu LAN auswählen und ein neues Profil anlegen
1. Allgemeine Einstellungen
- Profilname: Hier geben wir den Profilnamen ein, Bespiel TESTVPN und setzen diese aktiv
- Anrufrichtung: RAUS
- Immer in Betrieb: JA
- Dauerping zum halten der Verbindung: Hier geben wir die lokale IP der Gegenstelle ein, Beispiel 192.168.0.1
2.Einstellungen zum Rauswählen:
- Verbindung zum VPN-Server über: Hier verwenden wir IPSec Tunnel
- Server-IP/Host-Name für VPN: Hier geben wir die öffentliche IP der Gegenstelle ein, Beispiel 80.217.2.5
- IKE Authentifizierungsmethode: Hier geben wir den zu verwendeten Key ein, Beispiel IchWillEinVPN
- IPSec Sicherheitsmethode: Hier wählen wir HOCH - DES mit Authentifizierung
- IKE Phase 1 Modus: Hier Aggressive mode wählen
- IKE Phase 1 Proposal: Hier wählen wir: DES_MD5_G1/DES_SHA1_G1/3DES_MD5_G1/3DES_SHA1_G1
- IKE Phase 2 Proposal: Hier wählen wir: DES_MD5
- IKE Phase 1 Key Lifetime: Hier geben wir 28800 ein
- IKE Phase 2 Key Lifetime: Hier geben wir 3600 ein
- Perfect Forward Secret: Hier wählen wir aktiv
- lokaleID: Hier geben wir DRAYTEK ein
3. TCP/IP Netzwerk-Einstellungen:
- Meine WAN-IP: Hier geben wir 0.0.0.0 ein
- Remote Gateway-IP: Hier geben wir ebenfalls 0.0.0.0 ein
- Remote Netzwerk-IP: Hier geben wir das lokale Netzwerk der Gegenstelle ein, Beispiel 192.168.0.0
- Remote Netzwerk-Maske Hier geben wir die lokale Netzwerk-Maske der Gegenstelle ein, Beispiel 255.255.255.0
- RIP-Richtung: Hier wählen wir beide (TX/RX)
- Im NAT-Betrieb, betrachte entfernte Subnetze als: Hier wählen wir Private IP
Nun ist der Draytek bereit IPSec Verbindungen mit der Gegenstelle aufzubauen. Bevor dies aber auch klappt, sollten wir dei Gegenstelle, nämlich die Fortigate so konfigurieren, dass sich der Vigor auch einwählen darf.
2. Einstellungen FortiGate (in meinem Fall Fortigate60B)
1. Anlegen der Adress-Bereiche:
Unter Firewall / Adresses klicken wir auf den Schalter Create New
- Address Name: Hier geben wir den Namen der Gegenstelle ein, Beispiel: Draytek_NET
- Type: Hier wählen wir Subnet / IPRange
- Subnet / IPRange: Hier geben wir das lokale Netzwerk der Gegenstelle ein, Beispiel: 192.168.2.0/255.255.255.0
- Interface: Hier wählen wir WAN1
Nun haben wir den Adressberech der Gegenstelle angelegt, schlussendlich muss die Fortigate auch den Adressbereich wissen, den Sie intern zu handeln hat.
Unter Firewall / Adresses klicken wir auf den Schalter Create New
- Address Name: Hier geben wir den Namen der FortiGate ein, Beispiel: Fortigate_NET
- Type: Hier wählen wir Subnet / IPRange
- Subnet / IPRange: Hier geben wir das lokale Netzwerk der Gegenstelle ein, Beispiel: 192.168.0.0/255.255.255.0
- Interface: Hier wählen wir internal
3. Einrichten von IPSec:
Unter VPN / IPSec klicken wir auf den Schalter Create PHASE1
- Name: Hier geben wir z.B. VPN_DRAYTEK ein
- Remote Gateway: ist 'ausgegraut' mit DIALUP-USER
- Local Interface: ist hierbei wan1
- Mode: ist ebenfalls wie bei Draytek aggressive
- Authentication Method: Hier wählen wir Preshared Key
- Pre-shared Key: Hier geben wir den gleichen Key wie bei dem Vigor ein - also IchWillEinVPN
- Peer Options: Hier wählen wir Accept this peer ID und geben DRAYTEK ein
Nun müssen wir noch auf Advanced klicken, um die Einstellungen zur Verschlüselung festzulegen:
Also richten wir PHASE1 ein
P1 Proposal:
- 1 - Encryption: Hier wählen wir DES und als Authentication wählen wir MD5
- DH Group: Hier setzen wir den Haken bei 1
- Keylife setzen wir auf 28800
- Local ID brauchen wir nicht, da sich der Draytek bei der Fortigate einwählt und nicht umgekehrt.
- XAUTH: setzen wir auf DISABLE
- NAT Traversal: setzen wir auf ENABLE
- Keepalive Frequency: setzen wir auf 10 seconds
- Dead Peer Detection: setzen wir auf ENABLE
Nun richten wir noch PHASE2 ein:
- Name: Beispiel: VPN_DRAYTEKPH2
- Phase 1: ist in unserem Fall VPN_DRAYTEK
anschließend auf ADVANCED klicken..
P2 Proposal:
- 1 - Encryption: Hier wählen wir DES und als Authentication wählen wir MD5
- Enable perfect forward secrecy(PFS). Hier setzen wir einen Haken
- DH Group: Hier markieren wir die 1
- Keylife setzen wir auf 1800 sec.
Die restlichen Werte brauchen hier nicht eingetragen oder editiert zu werden.
Anschliessend kommen wir zu den Policies, damit die FortiGate weiss, wie sie mit den IP-Paketen umgehen soll...
3. Anlegen der Firewall Policies:
Unter Firewall / Policy klicken wir auf den Schalter Create New und editieren von innen nach aussen also internal -> wan1
- Source Interface/Zone: Hier wählen wir internal
- Source Address: Hier geben wir Fortigate_NET an
- Destination Interface/Zone: Hier geben wir wan1 an
- Destination Address: Hier geben wir Draytek_NET an
- Schedule: Hier geben wir always an
- Service: Hier geben wir ANY an
- Action: Hier geben wir IPSec an
- VPN Tunnel: Hier wählen wir VPN_DRAYTEKFORTI
- Allow Inbound: Hier setzen wir ein Haken
- Allow Outbound: Hier setzen wir ein Haken
Unter Firewall / Policy klicken wir auf den Schalter Create New und editieren von aussen nach innen also wan1 -> internal
- Source Interface/Zone: Hier wählen wir wan1
- Source Address: Hier geben wir Draytek_NET an
- Destination Interface/Zone: Hier geben wir internal an
- Destination Address: Hier geben wir Fortigate_NET an
- Schedule: Hier geben wir always an
- Service: Hier geben wir ANY an
- Action: Hier geben wir ACCEPT an
Nachdem wir diese Regel mit OK gespeichert haben können wir beide Router einmal neu booten und anschliessend bei der Fortigate unter VPN / IPSEC / Monitor schauen ob der Status von VPN_DRAYTEKFORTI UP ist und ob Pakete übertragen werden. Zusätzlich lässt sich das ganze natürlich noch mit einem Ping testen.
Fertig!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 127625
Url: https://administrator.de/contentid/127625
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
18 Kommentare
Neuester Kommentar
top anleitung! danke! als verschlüsselung wär allerdings AES vorzuziehen...
lg
lg
...mindestens aber 3DES. Ansonsten gute Anleitung, denn damit kann man die Fortigate auch mit der Monowall oder pfsense koppeln auf diese Weise !
Hi Ihr beiden..
Danke für das Kompliment !
@ troet
Ist besser als es gar nicht hinzubekommen :p
Gruss Globe
Danke für das Kompliment !
@ troet
Ist besser als es gar nicht hinzubekommen :p
Gruss Globe
Ein bischen aufpeppen mit Konfig Screenshots wäre noch hilfreich gewesen und etwas weniger Fettgedrucktes... Aber es gibt ja noch den Bearbeiten Button fürs Finetuning über die Zeit 
Hallo Globetrotter,
tolle Anleitung, leider von Fortigate-Seite etwas unvollständig:
Auf Fortigate-Seite haben wir die Möglichkeit den IPSec-Tunnel entweder im "Interface-Mode" (Häckchen bei Phase1 --> Enable IPSec Interface Mode) oder im "klassischen Tunnel-Modus" zu konfigurieren. Auswirkungen auf die Gegenstelle (in diesem Fall Draytek) hat das nicht.
1. Interface-Modus
a) Einrichtung der Adress-Bereiche (Draytek-NET und Fortigate-NET)
b) Einrichtung von IPSec (Phase1 + Phase2) im Interface-Modus
c) Anlegen einer Route (Draytek-NET über das "virtuelle" IPSec-Interface "virt-IF)
d) Einrichten von 2 "Accept"-Policies ("ausgehend" internal --> virt-IF und "eingehend" virt-IF --> internal)
2. Tunnel-Modus
a) Einrichtung der Adress-Bereiche (Draytek-NET und Fortigate-NET)
b) Einrichtung von IPSec (Phase1 + Phase2)
c) Anlegen einer Route ist nicht notwendig
d) Einrichten einer "Encrypt"-Policy (nur "ausgehend" internal --> wan1)
mfg
Harald
tolle Anleitung, leider von Fortigate-Seite etwas unvollständig:
Auf Fortigate-Seite haben wir die Möglichkeit den IPSec-Tunnel entweder im "Interface-Mode" (Häckchen bei Phase1 --> Enable IPSec Interface Mode) oder im "klassischen Tunnel-Modus" zu konfigurieren. Auswirkungen auf die Gegenstelle (in diesem Fall Draytek) hat das nicht.
1. Interface-Modus
a) Einrichtung der Adress-Bereiche (Draytek-NET und Fortigate-NET)
b) Einrichtung von IPSec (Phase1 + Phase2) im Interface-Modus
c) Anlegen einer Route (Draytek-NET über das "virtuelle" IPSec-Interface "virt-IF)
d) Einrichten von 2 "Accept"-Policies ("ausgehend" internal --> virt-IF und "eingehend" virt-IF --> internal)
2. Tunnel-Modus
a) Einrichtung der Adress-Bereiche (Draytek-NET und Fortigate-NET)
b) Einrichtung von IPSec (Phase1 + Phase2)
c) Anlegen einer Route ist nicht notwendig
d) Einrichten einer "Encrypt"-Policy (nur "ausgehend" internal --> wan1)
mfg
Harald
Moin Harald,
werde die Anleitung wohl übers Wochenende fixen...
aqui möchte Screenshots sehen - weil er auch immer so schöne Anleitungen macht und Du gehst mehr in die Tiefe
Ich werde das Teil daher überarbeiten und mit Version sowie Datum versehen. Somit bekommen die User immer eine aktuelle Anleitung präsentiert.
Gruss Globe
werde die Anleitung wohl übers Wochenende fixen...
aqui möchte Screenshots sehen - weil er auch immer so schöne Anleitungen macht und Du gehst mehr in die Tiefe
Ich werde das Teil daher überarbeiten und mit Version sowie Datum versehen. Somit bekommen die User immer eine aktuelle Anleitung präsentiert.
Gruss Globe
Hallo da drausen1 ich würde brauche dringend hilfe! ich versuche schon seit vier std ein FGT-60 mit einem Draytek 2820n durch IPSec ein Tunel aufzubauen, aber bis jetzt hatte ich keien Erfolg gehabt!! ich habe es genau 1:1 gemacht und trotzdem ohne erfolg!! 
ich habe bei dem Vigo unter die Option Server IP/Host Name for VPN. (such as draytek.com or 123.45.67.89). meine Dyndns Adresse angegeben , da ich keine statische IP- adresse besitze , denke ich dass mit dem Dyndns kein Problem sein sollte.
Bei dem FGT-60 muss ich unter Phrase-1 wo steht (Enable IPSec Interface Mode) ein häckchen setzen?
Bitte könntet ihr eine anleitung mit Bild reinstellen??? das wäre sehr hilfreich....
hat jemand schon eine FGT-60 mit einem Draytek via IPSec schon verwirklich???
Danke im Voraus
Lordpentax
ich habe bei dem Vigo unter die Option Server IP/Host Name for VPN. (such as draytek.com or 123.45.67.89). meine Dyndns Adresse angegeben , da ich keine statische IP- adresse besitze , denke ich dass mit dem Dyndns kein Problem sein sollte.
Bei dem FGT-60 muss ich unter Phrase-1 wo steht (Enable IPSec Interface Mode) ein häckchen setzen?
Bitte könntet ihr eine anleitung mit Bild reinstellen??? das wäre sehr hilfreich....
hat jemand schon eine FGT-60 mit einem Draytek via IPSec schon verwirklich???
Danke im Voraus
Lordpentax
versuch das ganze grad mit einem vigor 2200 + fortigate60
der tunnel kann nicht aufgebaut werden. btw ist mir was in der anleitung aufgefallen: die Phase 2 lifetime ist beim vigor auf 3600 und bei der forti auf 1800 laut anleitung. hat allerdings auch nichts gebracht.
weiters denk ich, müssen die policies in der liste ganz oben stehen. sonst zieht bei mir die default route
vigor log (pub ip=b.b.b.b)
initiating IKE Aggresive mode to a.a.a.a
forti log (pub ip=a.a.a.a)
notice negotiate Responder: sent B.B.B.B aggressive mode message #1 (OK)
notice delete_phase1_sa Deleted an Isakmp SA on the tunnel to a.a.a.a:500
leider nicht sehr geschwätzig die logs
jmd eine Idee?
der tunnel kann nicht aufgebaut werden. btw ist mir was in der anleitung aufgefallen: die Phase 2 lifetime ist beim vigor auf 3600 und bei der forti auf 1800 laut anleitung. hat allerdings auch nichts gebracht.
weiters denk ich, müssen die policies in der liste ganz oben stehen. sonst zieht bei mir die default route
vigor log (pub ip=b.b.b.b)
initiating IKE Aggresive mode to a.a.a.a
forti log (pub ip=a.a.a.a)
notice negotiate Responder: sent B.B.B.B aggressive mode message #1 (OK)
notice delete_phase1_sa Deleted an Isakmp SA on the tunnel to a.a.a.a:500
leider nicht sehr geschwätzig die logs
jmd eine Idee?
vielen Dank für deine Antwort! aber es hat geklappt bei mir mit dem Draytek 2820n. Es lag daran , dass den Draytek kein AES Verschlusselung unterstützt sondern nur höchsten 3DES. Und dass habe ich tatsächlich getestet und und es funktioniert zwischen dem FGT.-60 und Draytek 2820n nicht.
Danke
Lordpentax
Danke
Lordpentax
bin gestern nicht mehr dazugekommen zu posten... es funktioniert! mit der anleitung + den änderungen aus meinem vorigen post.
auch ohne forti restart.
auch ohne forti restart.
Hallo troeet und Lordpentax,
bin wie gesagt gerne bereit das ganze zu bebilden. Ihr solltet Euch aber im klaren sein, dass "klicki-klicki" nicht ist. Ihr solltet schon wissen was Ihr tut und warum ihr den Wall an manchen Stellen öffnen müsst - bzw. Euch im klaren sein, was die einzelnen Drayteks unterstätzen und was nicht. Grundsätzlich ist eine IPSec via DynIP nicht empfehlenswert da diese Dienste auch ihre "Mankos" haben.
Werde schauen, dass ich die Anleitung nun mal beblldere.. Über einen Klick auf "Hilfreich" freue ich mich immer
Gruss Globe
bin wie gesagt gerne bereit das ganze zu bebilden. Ihr solltet Euch aber im klaren sein, dass "klicki-klicki" nicht ist. Ihr solltet schon wissen was Ihr tut und warum ihr den Wall an manchen Stellen öffnen müsst - bzw. Euch im klaren sein, was die einzelnen Drayteks unterstätzen und was nicht. Grundsätzlich ist eine IPSec via DynIP nicht empfehlenswert da diese Dienste auch ihre "Mankos" haben.
Werde schauen, dass ich die Anleitung nun mal beblldere.. Über einen Klick auf "Hilfreich" freue ich mich immer
Gruss Globe
hallo Leute! ich habe das nächse Problem und zwar!! nachem ich die Verbindung aufgebaute habe zwischen einem FT-60 und einem Draytek, kann der Draytek den Fortigate anpingen , sogar die host vom Fortigate aber andersrum klappt es nicht. Ich bekomme immer der Fehler :
Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 8acc 0 0000 3d 01 9055 192.168.238.64 192.168.242.245
auf dem FGT monitos sind die Verbindung aufgebaut aber wie gesagt ich kann sogar von der gegestelle auf den FGT zugreifen aber andersrum nicht.
Was fehlt mir noch? was mache ich noch falsch?
ich habe die policy richtig angelegt..
danke
Lordpentax
Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 8acc 0 0000 3d 01 9055 192.168.238.64 192.168.242.245
auf dem FGT monitos sind die Verbindung aufgebaut aber wie gesagt ich kann sogar von der gegestelle auf den FGT zugreifen aber andersrum nicht.
Was fehlt mir noch? was mache ich noch falsch?
ich habe die policy richtig angelegt..
danke
Lordpentax
Die Fehlermeldung "...Communication prohibited by filter" ! ist doch mehr als eindeutig, oder ?
Die Fortigate blockt ICMP Pakete ! Erlaube also hier mit einer Accesslist ICMP des Typs 0 und 8 und schon wird dein Ping problemlos funktionieren !!
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Die Fortigate blockt ICMP Pakete ! Erlaube also hier mit einer Accesslist ICMP des Typs 0 und 8 und schon wird dein Ping problemlos funktionieren !!
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Hallo und danke für deine Antwort! aber kannst du mir sagen wie ich das machen soll! in der Policy stehet keine Option wie ich das machen soll da steht.
Edit Policy
Source Interface/Zone -> internal interface
Source Address -> mein Lokales Netz
Destination Interface/Zone -> Wan1
Destination Address -> die gegenstellige Adresse
Schedule ->
Service ->
Action IPSec
VPN Tunnel -> meine Tunnel
x Allow inbound Inbound NAT ->
x Allow outbound Outbound NAT ->
ich habe nichts verstellt und wenn auf der andere Seite mich ping können ich muss auch eigentlich auch pingen können. wie kann ich das machen?
über den CLI oder web interface. bitte beispiel dürchführen!!
Greetz
Lordpentax
Edit Policy
Source Interface/Zone -> internal interface
Source Address -> mein Lokales Netz
Destination Interface/Zone -> Wan1
Destination Address -> die gegenstellige Adresse
Schedule ->
Service ->
Action IPSec
VPN Tunnel -> meine Tunnel
x Allow inbound Inbound NAT ->
x Allow outbound Outbound NAT ->
ich habe nichts verstellt und wenn auf der andere Seite mich ping können ich muss auch eigentlich auch pingen können. wie kann ich das machen?
über den CLI oder web interface. bitte beispiel dürchführen!!
Greetz
Lordpentax
Wenn Du die Forti anpingen kannst und das zeug dahinter )damit meine ich die einzelnen Rechner und Server im Netz), ist an der Forti alles in Ordnung und die Gatewayeinstellungen an den Rechnern stimmen auch.
Dein Problem liegt dann auf der Draytek-Seite.
Zu finden unter:
System Maintenance >> Management
Management Setup
Disable PING from the Internet
oder Du hast sonst irgenwo was eingestellt bzw. es war ein anderer - was auch immer. Das einfachste ist, resette Deinen Draytek und setze ihn neu auf.
Desweiteren würde ich mal Deine Gateway-Einstellungen auf den Maschinen kontrollieren ob diese auch in Ordnung sind.
Ein einigermaßen verständlicher Schreibstil macht die Sache auch erheblich leichter für uns.
Gruss Globe
Dein Problem liegt dann auf der Draytek-Seite.
Zu finden unter:
System Maintenance >> Management
Management Setup
Disable PING from the Internet
oder Du hast sonst irgenwo was eingestellt bzw. es war ein anderer - was auch immer. Das einfachste ist, resette Deinen Draytek und setze ihn neu auf.
Desweiteren würde ich mal Deine Gateway-Einstellungen auf den Maschinen kontrollieren ob diese auch in Ordnung sind.
Ein einigermaßen verständlicher Schreibstil macht die Sache auch erheblich leichter für uns.
Gruss Globe
Hallo Globetrotter! und vielen Dank für deine Antwort. Ich bin echt verzweifelt gerade. Ich glaube nicht dass es am Draytek liegt! ich vom Fortigate kann ich die Gegenstelle anpingen und auch was dahinter steht auch z.B Rechner bzw. Server .
Hier vom FGT-60:
execute ping 192.168.242.210
PING 192.168.242.210 (192.168.242.210): 56 data bytes
64 bytes from 192.168.242.210: icmp_seq=0 ttl=127 time=40.2 ms
64 bytes from 192.168.242.210: icmp_seq=1 ttl=127 time=39.8 ms
64 bytes from 192.168.242.210: icmp_seq=2 ttl=127 time=40.0 ms
64 bytes from 192.168.242.210: icmp_seq=3 ttl=127 time=39.7 ms
64 bytes from 192.168.242.210: icmp_seq=4 ttl=127 time=56.1 ms
--- 192.168.242.210 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 39.7/43.1/56.1 ms
Aber hinter dem FGT-60 , vom Rechner z.B bekomme ich das :
Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 7e8b 0 0000 3e 01 9bc2 192.168.238.55 192.168.242.210
Uhmmmm!!! beim fortigate habe ich schon einen factory reset gemacht aber ich bekomme das Problem immer noch!!!
Noch eine Idee?
Gruß
Lordpentax
Hier vom FGT-60:
execute ping 192.168.242.210
PING 192.168.242.210 (192.168.242.210): 56 data bytes
64 bytes from 192.168.242.210: icmp_seq=0 ttl=127 time=40.2 ms
64 bytes from 192.168.242.210: icmp_seq=1 ttl=127 time=39.8 ms
64 bytes from 192.168.242.210: icmp_seq=2 ttl=127 time=40.0 ms
64 bytes from 192.168.242.210: icmp_seq=3 ttl=127 time=39.7 ms
64 bytes from 192.168.242.210: icmp_seq=4 ttl=127 time=56.1 ms
--- 192.168.242.210 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 39.7/43.1/56.1 ms
Aber hinter dem FGT-60 , vom Rechner z.B bekomme ich das :
Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 7e8b 0 0000 3e 01 9bc2 192.168.238.55 192.168.242.210
Uhmmmm!!! beim fortigate habe ich schon einen factory reset gemacht aber ich bekomme das Problem immer noch!!!
Noch eine Idee?
Gruß
Lordpentax
Zitat von @Globetrotter:
Moin Harald,
werde die Anleitung wohl übers Wochenende fixen...
aqui möchte Screenshots sehen - weil er auch immer so schöne Anleitungen macht und Du gehst mehr in die Tiefe
Ich werde das Teil daher überarbeiten und mit Version sowie Datum versehen. Somit bekommen die User immer eine aktuelle
Anleitung präsentiert.
Gruss Globe
Moin Harald,
werde die Anleitung wohl übers Wochenende fixen...
aqui möchte Screenshots sehen - weil er auch immer so schöne Anleitungen macht und Du gehst mehr in die Tiefe
Ich werde das Teil daher überarbeiten und mit Version sowie Datum versehen. Somit bekommen die User immer eine aktuelle
Anleitung präsentiert.
Gruss Globe
Hallo Globe,
erst einmal vielen Dank für die Anleitung. Sie hat mir bei meinen ersten Versuchen zwischen Draytek und Forti echt geholfen. Im Netz habe ich auch nichts wirklich brauchbares gefunden.
Gibt es inzwischen schon eine "neue Version", vielleicht mit Bildern, Datum und Versionsnummer?
Aufbauend auf Deine Anleitung habe ich eine Verbindung zwischen einer Forti (80C) und einem Draytec 2930 im Main Mode, AES/MD5 aufgebaut und würde mich bei Interesse bei der Erstellung einer solchen Anleitung "einklinken".
Gruß
Martin
Hallo...
Du hast definitiv ein "Rule" - Problem...
Jede Fortigate wird mit 1yr. Support verkauft - was macht Dein Dealer ?
Mach nen Firmwareupdate oder sonst was - Wenn Filter drin dann Filter drin oder eben nen Manko der Firmware
Ich habe diesen Router nicht und kann daher leider nicht helfen. Bei den anderen klappt's doch auch...
Gruss Globe
Du hast definitiv ein "Rule" - Problem...
Jede Fortigate wird mit 1yr. Support verkauft - was macht Dein Dealer ?
Communication prohibited by filter <<<
Mach nen Firmwareupdate oder sonst was - Wenn Filter drin dann Filter drin oder eben nen Manko der Firmware
Ich habe diesen Router nicht und kann daher leider nicht helfen. Bei den anderen klappt's doch auch...
Gruss Globe
