91863
Aug 08, 2012, updated at 20:41:29 (UTC)
8359
21
0
VPN Site to Site - Fortigate 50B am Hauptsitz , zweiter Sitz bekommt einen Zyxel . Wei connecten
Hallo,
auf der Fortigat 50B möchte ich einen VPN zugang anlegen. Es steht zur Auswahl Static IP Adress , Dialup user und Dynamic DNS . Dialup User ist es sicher nicht, da permanente VPN Verbindung dann sein wird.
Dynamic vermutlcih auch nicht, oder doch ? Oder nehme ich hier Static IP Adress und nehme eine aus dem freien Adressbereich ? Wenn ja, muss man die Natten ?
Wie sind die Konfig Schritte ?`
Wichtig ist mal der erste Teil auf der Fortigate.
Der zweite Sitz hat eventuell keine Feste IP und hat einen Zyxel, da muss ich dann wenn der Fortigate steht noch konfigurieren.
Gruss
Ralf
auf der Fortigat 50B möchte ich einen VPN zugang anlegen. Es steht zur Auswahl Static IP Adress , Dialup user und Dynamic DNS . Dialup User ist es sicher nicht, da permanente VPN Verbindung dann sein wird.
Dynamic vermutlcih auch nicht, oder doch ? Oder nehme ich hier Static IP Adress und nehme eine aus dem freien Adressbereich ? Wenn ja, muss man die Natten ?
Wie sind die Konfig Schritte ?`
Wichtig ist mal der erste Teil auf der Fortigate.
Der zweite Sitz hat eventuell keine Feste IP und hat einen Zyxel, da muss ich dann wenn der Fortigate steht noch konfigurieren.
Gruss
Ralf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 189301
Url: https://administrator.de/contentid/189301
Printed on: May 7, 2024 at 09:05 o'clock
21 Comments
Latest comment
Hi,
wenn es geht, dann nimm am besten an beiden Standorten die Geräte vom gleichen Herstellen, alles andere ist "pain in the ass" wie man so schön sagt. Du kannst dein VPN auch über dynDNS oder sowas laufen lassen. Und du solltest noch beachten, dass deine Standorte unterschiedliche IP-Adressbereiche haben. Soll das dann alles über IPSec laufen?
wenn es geht, dann nimm am besten an beiden Standorten die Geräte vom gleichen Herstellen, alles andere ist "pain in the ass" wie man so schön sagt. Du kannst dein VPN auch über dynDNS oder sowas laufen lassen. Und du solltest noch beachten, dass deine Standorte unterschiedliche IP-Adressbereiche haben. Soll das dann alles über IPSec laufen?
Hallo,
ich kann das nicht bestimmen. Der Hauptsitz hat die Fortigate. Und die Zweigstelle einen Zyxkel. ich muss das am 24.08 verbinden egal wie.
Bei Fortigate kann man verscvhiedene Stufen einstellen . Stufe 1 ist kein IPSec .
Hauptstandort hat 10.41. Nebenstelle mache ich 10.42.
Dyndns habe ich mich vorhin registriert. Leider ist das nicht gratis. Sonst könnte man das mal testen.
vermutlich ist wohl besser statisch oder so. Name -Y> Standort.Domäne.ch oder so
Aber ich weiss eben nicht wie man das konfigurioert.
Gruss
Rlaf
ich kann das nicht bestimmen. Der Hauptsitz hat die Fortigate. Und die Zweigstelle einen Zyxkel. ich muss das am 24.08 verbinden egal wie.
Bei Fortigate kann man verscvhiedene Stufen einstellen . Stufe 1 ist kein IPSec .
Hauptstandort hat 10.41. Nebenstelle mache ich 10.42.
Dyndns habe ich mich vorhin registriert. Leider ist das nicht gratis. Sonst könnte man das mal testen.
vermutlich ist wohl besser statisch oder so. Name -Y> Standort.Domäne.ch oder so
Aber ich weiss eben nicht wie man das konfigurioert.
Gruss
Rlaf
Icn würde sagen wenns der chef der i.d.r. keine ahnung von der materie hat bestimmt, es abervöllig verquer ist, musst du mit ihm reden und ihn überzeugen können und dürfen.
Dafür bist du doch die fachkraft in dem bereich?
Allerdings kenne ich deine situation nicht...
Ich war aber mal in einer ähnlichen situation und konnte meinen chef überzeugen. HinterheR stellte sich heraus, dass dadurch 500 € gespart werden konnten
Dafür bist du doch die fachkraft in dem bereich?
Allerdings kenne ich deine situation nicht...
Ich war aber mal in einer ähnlichen situation und konnte meinen chef überzeugen. HinterheR stellte sich heraus, dass dadurch 500 € gespart werden konnten
Hallo,
der Kunde hat das so bestellt , wir setzen das um. Ich denke nun die Lösung wird sein. Für den externen STandort einen Sub Domänen Namen zu bestellen . Standort.Domäne.ch , muss ja dann eauch dort eine Fixe IP haben. Das wäre für den Zyxel.
Dsnn kann ich auf der Fortigate auch über Fixe IP eine Verbindung machen.
Denke das Problem ist, das was mir nicht klar war. Das ich eine Subdomäne am besten zur Fixen IP bestelle.
Das sehe ich so richtig, oder ?
Gruss
Ralf
der Kunde hat das so bestellt , wir setzen das um. Ich denke nun die Lösung wird sein. Für den externen STandort einen Sub Domänen Namen zu bestellen . Standort.Domäne.ch , muss ja dann eauch dort eine Fixe IP haben. Das wäre für den Zyxel.
Dsnn kann ich auf der Fortigate auch über Fixe IP eine Verbindung machen.
Denke das Problem ist, das was mir nicht klar war. Das ich eine Subdomäne am besten zur Fixen IP bestelle.
Das sehe ich so richtig, oder ?
Gruss
Ralf
Da beide den Standard IPsec im ESP Mode sprechen sollte die VPN Kopplung kein Thema sein und auch funktionieren. In der IKE Negotiation solltest du bei Hersteller fremden Geräten immer den "aggressive Mode" wählen !
Zu deiner Frage was du einsetzen musst sagt deine Aufzählung eigentlich schon alles...
Der zweite Sitz hat eventuell keine Feste IP = Dynamic DNS
Wenn der 2.Standort eine feste IP hat dann = Static IP Adress
Ist eigentlich ganz einfach !
Details zu IPsec VPNs bzw. dem Protokoll findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Zudem hat die Zyxel Knowledgebase eine Menge Beispiele:
http://www.zyxel.com/support/knowledge_base/kb_detail_3025.shtml
Dr. Google sowieso...
Zu deiner Frage was du einsetzen musst sagt deine Aufzählung eigentlich schon alles...
Der zweite Sitz hat eventuell keine Feste IP = Dynamic DNS
Wenn der 2.Standort eine feste IP hat dann = Static IP Adress
Ist eigentlich ganz einfach !
Details zu IPsec VPNs bzw. dem Protokoll findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Zudem hat die Zyxel Knowledgebase eine Menge Beispiele:
http://www.zyxel.com/support/knowledge_base/kb_detail_3025.shtml
Dr. Google sowieso...
Hi!
Du solltest auch möglichst immer nur eine Option wählen: nicht DES und AES oder mehrere DH-Gruppen.
falls du keine genaue Anleitung findest.
sg Dirm
Du solltest auch möglichst immer nur eine Option wählen: nicht DES und AES oder mehrere DH-Gruppen.
falls du keine genaue Anleitung findest.
sg Dirm
Hallo Danke,
die eine Anleitung sieht sehr gut aus. Da ist es relatiov einfach. Nun ist es aber viel schwieriger geworden.
Man möchte nun, das der Zyxel sich nur per Dial Up einwählt. Wie geht das ?
Gruss
Ralf
die eine Anleitung sieht sehr gut aus. Da ist es relatiov einfach. Nun ist es aber viel schwieriger geworden.
Man möchte nun, das der Zyxel sich nur per Dial Up einwählt. Wie geht das ?
Gruss
Ralf
Zitat von @91863:
die eine Anleitung sieht sehr gut aus. Da ist es relatiov einfach.
die eine Anleitung sieht sehr gut aus. Da ist es relatiov einfach.
Nur leider weiss niemand, ob diese Anleitung, die Screenshots von seit längerem nicht mehr produzierten Geräten zeigt, überhaupt zum vorhandenen Gerät passt.
Die Firma Zyxel vertreibt seit über 20 Jahren Netzwerkequipment. "Der Zyxel" könnte also eines von hunderten verschiedenster Modelle sein. Von unterschiedlichen Firmwareständen mal ganz abgesehen.
Zitat von @91863:
Nun ist es aber viel schwieriger geworden.
Man möchte nun, das der Zyxel sich nur per Dial Up einwählt.
Wie geht das?
Nun ist es aber viel schwieriger geworden.
Man möchte nun, das der Zyxel sich nur per Dial Up einwählt.
Wie geht das?
Also ehrlich: In Anbetracht dessen, welche Fragen Du hier stellst, solltest Du das besser jemand anderen machen lassen. Ist zwar eigentlich absolut keine Kunst, aber wenn schon offenkundig jegliche Fähigkeit fehlt, systematisch an die Sache heran zu gehen und sich selbständig einzuarbeiten, sollte man nicht als Dienstleister tätig sein. *kopfschüttel*
Hi,
da muss ich ..sk.. absolut Recht geben. VPN kann zu einer sehr hässlichen Sache werden, holt euch lieber jemanden der euch dabei unter die Arme greift, dem kannst du bestimmt dann auch bei der Arbeit zuschauen und dabei was lernen. Oder bist du als "Admin" in deiner Firma angestellt?
da muss ich ..sk.. absolut Recht geben. VPN kann zu einer sehr hässlichen Sache werden, holt euch lieber jemanden der euch dabei unter die Arme greift, dem kannst du bestimmt dann auch bei der Arbeit zuschauen und dabei was lernen. Oder bist du als "Admin" in deiner Firma angestellt?
Hoi,
wir sind Externe IT Dienleister. Werde mir das alles anschauen , wenn ich vorort bin. Wird schon klappen.
Habe ja nun Infos erhalten. Leider kann man sich nie vorher vorbereiten, da man ja ständig ausgebucht ist.
Gruss
Ralf
wir sind Externe IT Dienleister. Werde mir das alles anschauen , wenn ich vorort bin. Wird schon klappen.
Habe ja nun Infos erhalten. Leider kann man sich nie vorher vorbereiten, da man ja ständig ausgebucht ist.
Gruss
Ralf
Hallo,
heute bald 3 Stunden probiert. Eine Internetleitung mit fester IP gefunden zum testen.
Dynamic DNS trotzdem gelöst und schon mal im Zyxel eingetragen. Und die IP als Initialadresse von der festen IP erstmal hinterlegt.
Schlüssel 1 und Schlüssel 2 hinterlegt . Ging nicht.
Habe dann DES mit MD5 gemacht und als DH Gruppe 2 gewählt . Time 28800 . Beides Identisch gemacht Schlüssel 1 und SChlüssel 2.
Es gab trotzdem keine Authentication. Kann ich Schlüssel 1 und 2 Identisch machen ?
WErde es morgen nochmals angegen. Bin mir nicht sicher, ob ich "aggressive Mode" gewählt hatte.
Im Log vom Zyxel konnte man keien Authentication sehen.
Gruss
Ralf
heute bald 3 Stunden probiert. Eine Internetleitung mit fester IP gefunden zum testen.
Dynamic DNS trotzdem gelöst und schon mal im Zyxel eingetragen. Und die IP als Initialadresse von der festen IP erstmal hinterlegt.
Schlüssel 1 und Schlüssel 2 hinterlegt . Ging nicht.
Habe dann DES mit MD5 gemacht und als DH Gruppe 2 gewählt . Time 28800 . Beides Identisch gemacht Schlüssel 1 und SChlüssel 2.
Es gab trotzdem keine Authentication. Kann ich Schlüssel 1 und 2 Identisch machen ?
WErde es morgen nochmals angegen. Bin mir nicht sicher, ob ich "aggressive Mode" gewählt hatte.
Im Log vom Zyxel konnte man keien Authentication sehen.
Gruss
Ralf
Hi Ralf,
hast du schon Erfahrungen in Sachen VPN gesammelt, oder ist das dein erstes? Bist du alleine in der Firma, deine Fragen sehen so aus, als würdest du das alles zum ersten mal machen. Ich kenne das VPN Problem, und könnte auch fast jedes mal K.tzen wenn ich das machen muss. Was meinst du denn mit Schlüssel 1 und Schlüssel 2? Die Schlüssel auf den Geräten müssen schon gleich sein. Um es hier allen etwas einfacher zu machen, kannst du ja auch mal Screenshots und Logs mit hochladen, das hilft meistens ungemein.
Gruß
-Tobi
hast du schon Erfahrungen in Sachen VPN gesammelt, oder ist das dein erstes? Bist du alleine in der Firma, deine Fragen sehen so aus, als würdest du das alles zum ersten mal machen. Ich kenne das VPN Problem, und könnte auch fast jedes mal K.tzen wenn ich das machen muss. Was meinst du denn mit Schlüssel 1 und Schlüssel 2? Die Schlüssel auf den Geräten müssen schon gleich sein. Um es hier allen etwas einfacher zu machen, kannst du ja auch mal Screenshots und Logs mit hochladen, das hilft meistens ungemein.
Gruß
-Tobi
Hallo Tobi,
ja genau . 15 Jahre IT. Aber mit VPN nie was am Hut gehabt. Darum frage ich ja hier . Heute hat sich das jemand von uns auch angeschaut der 30 Jahre Linux mahct und Firewalls. Leider konnte er mir nicht sehr weit helfen. Scheint ein Problem zu sein, bei 2 Marken.
Ist halt blöd die erste Installation und gleich einen Sonderfall zu haben. Das hasse ich manchmal in der IT.
Werde die Printscreens erst am Donnerstag eventuell posten können. Eventuell morgen früh. Mal schauen , wie ich dazu komme. Hatte bei anderen VPN Verbindungen nachgeschaut, da war oft Stufe 1 und Stufe 2 unterschiedlich.
Mit Stufe 1 und 2 meine ich die 2 Stufen die man einrichten muss. Schlüssel, DES etc.. Sehe das erst wenn ich wieder bei der Arbeit bin.
Werde die Bilder noch posten.
Gruss
Ralf
ja genau . 15 Jahre IT. Aber mit VPN nie was am Hut gehabt. Darum frage ich ja hier . Heute hat sich das jemand von uns auch angeschaut der 30 Jahre Linux mahct und Firewalls. Leider konnte er mir nicht sehr weit helfen. Scheint ein Problem zu sein, bei 2 Marken.
Ist halt blöd die erste Installation und gleich einen Sonderfall zu haben. Das hasse ich manchmal in der IT.
Werde die Printscreens erst am Donnerstag eventuell posten können. Eventuell morgen früh. Mal schauen , wie ich dazu komme. Hatte bei anderen VPN Verbindungen nachgeschaut, da war oft Stufe 1 und Stufe 2 unterschiedlich.
Mit Stufe 1 und 2 meine ich die 2 Stufen die man einrichten muss. Schlüssel, DES etc.. Sehe das erst wenn ich wieder bei der Arbeit bin.
Werde die Bilder noch posten.
Gruss
Ralf
Habe nun mal verschieden Schlüssel getestet m, auch mit Agreesvie Mode. Geht nicht.
Fehlerlog ist
Date Time
2012-08-15 00:22:39
Date
2012-08-15
Time
00:22:39
Level
error error
Sub Type
ipsec
ID
37124
Virtual Domain
root
Message
IPsec phase 1 error
Action
negotiate
IPSec Remote IP
Die IP von der Zyxel
IPSec Local IP
Die IP von unserer Firewall
Remote Port
500
Outgoing Interface
fibre_WP1039018
Local Port
500
Cookies
77bccf7c56cc4cbd/0000000000000000
User
N/A
Group
N/A
XAUTH User
N/A
XAUTH Group
N/A
Status
negotiate_error
VPN Tunnel
N/A
Error Reason
no matching gateway for new request
Was mir aufgefallen ist von einem PC kann ich den Zyxel pingen. Vom Server mit der Fortigate nicht. Muss in der Forti noch der Zyxel freigegeben werden ?
Gruss
Ralf
Fehlerlog ist
Date Time
2012-08-15 00:22:39
Date
2012-08-15
Time
00:22:39
Level
error error
Sub Type
ipsec
ID
37124
Virtual Domain
root
Message
IPsec phase 1 error
Action
negotiate
IPSec Remote IP
Die IP von der Zyxel
IPSec Local IP
Die IP von unserer Firewall
Remote Port
500
Outgoing Interface
fibre_WP1039018
Local Port
500
Cookies
77bccf7c56cc4cbd/0000000000000000
User
N/A
Group
N/A
XAUTH User
N/A
XAUTH Group
N/A
Status
negotiate_error
VPN Tunnel
N/A
Error Reason
no matching gateway for new request
Was mir aufgefallen ist von einem PC kann ich den Zyxel pingen. Vom Server mit der Fortigate nicht. Muss in der Forti noch der Zyxel freigegeben werden ?
Gruss
Ralf
Hi Ralf,
sind die Ports auch offen? Ich verstehe jetzt nicht ganz wie du die Zyxel anpingen kannst, steht die nicht in einem anderen Netz? Oder bist du da vor Ort? hast du mal ne genauere Bezeichnung von dem Zyxel-Ding?
sind die Ports auch offen? Ich verstehe jetzt nicht ganz wie du die Zyxel anpingen kannst, steht die nicht in einem anderen Netz? Oder bist du da vor Ort? hast du mal ne genauere Bezeichnung von dem Zyxel-Ding?
Habe das mal auf gelöst gestellt. Danke vielmals.
Der STandort hat nun ne Fortigate. Settings waren immer 100% ok. Aber es ging nicht. Mittlerweile haben wir wieder so ein Problem mit einem Zyxel. Scheint wohl am Produkt zu liegen. Hin und wieder taucht so ein Gerät auf , wo nicht geht. Konfiguriert man vermutlich genau das gleiche Zyxel , wenn man 2 rumliegen aht. Dann geht es bestimmt 1 davon.
Wir gehen nun dem Product für Tunnel und VPN aus dem WEg. Wird wohl dann mehr Fortigate sein.
Gruss
Ralf
Der STandort hat nun ne Fortigate. Settings waren immer 100% ok. Aber es ging nicht. Mittlerweile haben wir wieder so ein Problem mit einem Zyxel. Scheint wohl am Produkt zu liegen. Hin und wieder taucht so ein Gerät auf , wo nicht geht. Konfiguriert man vermutlich genau das gleiche Zyxel , wenn man 2 rumliegen aht. Dann geht es bestimmt 1 davon.
Wir gehen nun dem Product für Tunnel und VPN aus dem WEg. Wird wohl dann mehr Fortigate sein.
Gruss
Ralf
Zitat von @91863:
Konfiguriert man vermutlich genau das gleiche Zyxel,
wenn man 2 rumliegen aht. Dann geht es bestimmt 1 davon.
Konfiguriert man vermutlich genau das gleiche Zyxel,
wenn man 2 rumliegen aht. Dann geht es bestimmt 1 davon.
[irony on]Ganz sicher: so wird es sein![irony off]
Hallo,
#off Topic on
du bist dir sicher das du in der richtigen branche bist???
#off Topic off
Schönes WE
#off Topic on
du bist dir sicher das du in der richtigen branche bist???
#off Topic off
Schönes WE
Mahlzeit,
[OT]
wenn 2x ein Problem aufgetaucht ist, das RalfThomas73 nicht lösen konnte, muss es definitiv am Produkt gelegen haben.
Geht doch gar nicht anders.
[/OT]
[OT]
wenn 2x ein Problem aufgetaucht ist, das RalfThomas73 nicht lösen konnte, muss es definitiv am Produkt gelegen haben.
Geht doch gar nicht anders.
[/OT]
Zitat von @goscho:
Mahlzeit,
[OT]
wenn 2x ein Problem aufgetaucht ist, das RalfThomas73 nicht lösen konnte, muss es definitiv am Produkt gelegen haben.
Geht doch gar nicht anders.
[/OT]
Mahlzeit,
[OT]
wenn 2x ein Problem aufgetaucht ist, das RalfThomas73 nicht lösen konnte, muss es definitiv am Produkt gelegen haben.
Geht doch gar nicht anders.
[/OT]
Hallo,
das wollte ich damit zum Ausdruck bringen
Ciao
Hallo,
es ist nun mal so. Das es hin und wieder ein Zyxel gibt, der nicht will. Wir konfigurieren sehr viele. Die Fortinet oder Time for Business Firewall gehen immer .
Es kann ja dann nicht sein, das es nicht geht. Während man ein Baugleiches gleich konfiguriert und es geht.
Gruss
Ralf
es ist nun mal so. Das es hin und wieder ein Zyxel gibt, der nicht will. Wir konfigurieren sehr viele. Die Fortinet oder Time for Business Firewall gehen immer .
Es kann ja dann nicht sein, das es nicht geht. Während man ein Baugleiches gleich konfiguriert und es geht.
Gruss
Ralf
