5
FortiGate 60C einrichten getrennter Netze
Hallo zusammen,
nach einigem erfolglosen suchen, muss ich dann dochmal gezielt meine Frage stellen.
Ich habe wie oben beschrieben eine FortiGate 60c, dieser macht via PPPOE die Einwahl in das Internet.
Nun möchte ich 2 unterschiedliche Netze so konfigurieren das sie zwar physikalisch zusammen, aber IP technisch getrennt sind.
Folgendes: ich habe einen Server und 2 Clients im lokalen Netzwerk: 192.168.1.0/255.255.255.0, die Gatewayadresse (Fortigate) ist 192.168.1.254
Ich möchte einen weiteren Server zum testen in einem anderen Netz haben, zb 192.168.10.0/255.255.255.0 aber über dieses Netz soll trotzdem das Gateway 192.168.1.254 erreichbar sein, damit ich mit dem Server auf das Internet zugreifen kann.
Was nicht passieren soll ist, das die Rechner der jeweiligen Netze sich erreichen können.
dh, der Testserver aus 192.168.10.x soll nicht in das 192.168.1.x Netz funken können, beide Netze sollen sich lediglich das Gateway teilen.
Das Netz 192.168.1.x ist das Standardnetz und entsprechend konfiguriert, das zweite Netz 192.168.10.x soll hinzugefügt werden, das habe ich gemacht in dem ich ein VLAN erstellt habe.
Was ich nur nicht finde ist, wie ich dem VLAN zuweisen kann das es von 192.168.10.x auf 192.168.1.x zugreifen darf um so Zugriff auf das Internet zu haben.
Ich hoffe ihr versteht was ich meine...
Nachtrag: beide Server stehen unter meinem Schreibtisch und sind an ein "dummes" Switch angeschlossen, welches wiederum an die FortiGate angeschlossen ist.
viele Grüße
N.Ok.
nach einigem erfolglosen suchen, muss ich dann dochmal gezielt meine Frage stellen.
Ich habe wie oben beschrieben eine FortiGate 60c, dieser macht via PPPOE die Einwahl in das Internet.
Nun möchte ich 2 unterschiedliche Netze so konfigurieren das sie zwar physikalisch zusammen, aber IP technisch getrennt sind.
Folgendes: ich habe einen Server und 2 Clients im lokalen Netzwerk: 192.168.1.0/255.255.255.0, die Gatewayadresse (Fortigate) ist 192.168.1.254
Ich möchte einen weiteren Server zum testen in einem anderen Netz haben, zb 192.168.10.0/255.255.255.0 aber über dieses Netz soll trotzdem das Gateway 192.168.1.254 erreichbar sein, damit ich mit dem Server auf das Internet zugreifen kann.
Was nicht passieren soll ist, das die Rechner der jeweiligen Netze sich erreichen können.
dh, der Testserver aus 192.168.10.x soll nicht in das 192.168.1.x Netz funken können, beide Netze sollen sich lediglich das Gateway teilen.
Das Netz 192.168.1.x ist das Standardnetz und entsprechend konfiguriert, das zweite Netz 192.168.10.x soll hinzugefügt werden, das habe ich gemacht in dem ich ein VLAN erstellt habe.
Was ich nur nicht finde ist, wie ich dem VLAN zuweisen kann das es von 192.168.10.x auf 192.168.1.x zugreifen darf um so Zugriff auf das Internet zu haben.
Ich hoffe ihr versteht was ich meine...
Nachtrag: beide Server stehen unter meinem Schreibtisch und sind an ein "dummes" Switch angeschlossen, welches wiederum an die FortiGate angeschlossen ist.
viele Grüße
N.Ok.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 188954
Url: https://administrator.de/contentid/188954
Printed on: April 25, 2024 at 08:04 o'clock
5 Comments
Latest comment
Hallo,
schliesse beide Server mit je einem Kabel direkt an die Fortigate an, richte entsprechende VLANS auf der Fortigate ein und gut ists.
brammer
schliesse beide Server mit je einem Kabel direkt an die Fortigate an, richte entsprechende VLANS auf der Fortigate ein und gut ists.
brammer
Das ist baulich bedingt leider nicht möglich. Dazu müsste ein weiteres Loch durch eine 30cm Stahlbetonwand gebohrt werden.
Funktioniert das Konstrukt so wie ich es bräuchte nicht?
Funktioniert das Konstrukt so wie ich es bräuchte nicht?
Die Frage ist WIE diese beiden Netze physisch an der Fortigate landen ??
Schickst du sie als 802.1q Trunk, also beide über einen tagged Link, an die Fortigate ? Will heissen die Fortigate hat ein tagged Interface und intern 2 virtuelle IP Interfces pro VLAN wie sie das ja auch schon für das 1er netz hat ?
So ein identisches Szenario kannst du z.B. hier sehen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dann ist es ganz einfach, denn dann liegt das 10er Netz ja direkt an der Firewall selber dran und kann dort auch direkt geroutet werden ins Internet sofern man natürlich die Firewall und NAT Regeln entsprechend dort anpasst !
Oder....
Routest du das 10er Netz irgendwo vorher auf einem Router oder L3 Switch ??
Dann musst du lediglich eine statische Route auf der FW einfügen und auch die Regeln anpassen.
Das solltest du also noch genau klären hier für eine zielführende Antwort !
Schickst du sie als 802.1q Trunk, also beide über einen tagged Link, an die Fortigate ? Will heissen die Fortigate hat ein tagged Interface und intern 2 virtuelle IP Interfces pro VLAN wie sie das ja auch schon für das 1er netz hat ?
So ein identisches Szenario kannst du z.B. hier sehen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dann ist es ganz einfach, denn dann liegt das 10er Netz ja direkt an der Firewall selber dran und kann dort auch direkt geroutet werden ins Internet sofern man natürlich die Firewall und NAT Regeln entsprechend dort anpasst !
Oder....
Routest du das 10er Netz irgendwo vorher auf einem Router oder L3 Switch ??
Dann musst du lediglich eine statische Route auf der FW einfügen und auch die Regeln anpassen.
Das solltest du also noch genau klären hier für eine zielführende Antwort !
Ich versuche mal mittels Grafik zu beantworten:
http://imageshack.us/photo/my-images/198/nwkonstrukt.jpg/
So sieht das Konstrukt zur Zeit aus.
Clients und Server sind über ein NETGEAR ProSafe GS105 5-port Gigabit Desktop Switch mit der Fortigate 60C verbunden.
Das 192.168.1x Netz besteht seit ca einem Jahr, neu hinzukommen soll das 192.168.10.x - es darf nicht möglich sein, von einem Netz auf das andere zu zu greifen, beide müssen jedoch über die Fortigate 60C auf das Internet zugreifen könne/dürfen.
Ich hoffe das bringt etwas Licht ins dunkle.
Gruß
N.Ok.
http://imageshack.us/photo/my-images/198/nwkonstrukt.jpg/
So sieht das Konstrukt zur Zeit aus.
Clients und Server sind über ein NETGEAR ProSafe GS105 5-port Gigabit Desktop Switch mit der Fortigate 60C verbunden.
Das 192.168.1x Netz besteht seit ca einem Jahr, neu hinzukommen soll das 192.168.10.x - es darf nicht möglich sein, von einem Netz auf das andere zu zu greifen, beide müssen jedoch über die Fortigate 60C auf das Internet zugreifen könne/dürfen.
Ich hoffe das bringt etwas Licht ins dunkle.
Gruß
N.Ok.
Bitte verschone uns mit diesen unsäglichen externen Bilderlinks und der damit verbundenen Zwangswerbung hier und lese die FAQs.
Wenn du deinen Originalthread oben nach Klick auf deinen Loginnnamen unter "Fragen" auswählst und mit "Bearbeiten" editierst, wird dir sicher nicht die "Bilder Hochladen" Funktion entgangen sein !!
Dort draufklicken, das Bild hochladen und den erscheinenden Bilder URL mit einem Rechtsklick und Cut and Paste kopieren und den kannst du dann in jeglichen Text (Antworten usw.) hier einfügen.
Statt des URLs erscheint dann immer deine Grafik !
So schwer kann das doch nicht sein, das schafft jeder Erstklässler !!
Zurück zu deinem "Problem"...
Bitte lese dir genau das o.a. Tutorial durch !! Es beschreibt exakt, genau dein Szenario und wie man das im Handumdrehen löst.
Wenn du deinen Originalthread oben nach Klick auf deinen Loginnnamen unter "Fragen" auswählst und mit "Bearbeiten" editierst, wird dir sicher nicht die "Bilder Hochladen" Funktion entgangen sein !!
Dort draufklicken, das Bild hochladen und den erscheinenden Bilder URL mit einem Rechtsklick und Cut and Paste kopieren und den kannst du dann in jeglichen Text (Antworten usw.) hier einfügen.
Statt des URLs erscheint dann immer deine Grafik !
So schwer kann das doch nicht sein, das schafft jeder Erstklässler !!
Zurück zu deinem "Problem"...
Bitte lese dir genau das o.a. Tutorial durch !! Es beschreibt exakt, genau dein Szenario und wie man das im Handumdrehen löst.
- VLANs einrichten auf dem Switch
- Endgeräte in den VLANs die Switchports pro VLAN zuweisen
- Einen Uplink Port auf dem Switch definieren der beide VLANs tagged transportiert.
- Diesen Uplink Port auf der FW terminieren.
- Fertig ! Zeitaufwand das zu konfigurieren: 10 Minuten !
