7
Fortigate mit 2 unterschiedlichen ISP betreiben
Hallo zusammen,
mir wurde folgende Aufgabe übertragen. Ich soll 2 Internet Anbieter auf der Fortigate einrichten.
Wan1 Anbiter QSC
Wan2 Anbieter Vodafone (6000 DSL)
Über Wan1 soll alles laufen auser HTTP
Über Wan2 soll HTTP laufen
Falls das Vodafone ausfallen sollte, soll HTTP wieder über Wan1 laufen bis Wan2 wieder aktiv ist.
Ich finde einfach keine Anleitung zu diesem Thema. Habe nur etwas gefunden mit einer Backup Lösung, falls Wan1 ausfallen sollte.
Ich hoffe mir kann jemand helfen.
Danke
B
mir wurde folgende Aufgabe übertragen. Ich soll 2 Internet Anbieter auf der Fortigate einrichten.
Wan1 Anbiter QSC
Wan2 Anbieter Vodafone (6000 DSL)
Über Wan1 soll alles laufen auser HTTP
Über Wan2 soll HTTP laufen
Falls das Vodafone ausfallen sollte, soll HTTP wieder über Wan1 laufen bis Wan2 wieder aktiv ist.
Ich finde einfach keine Anleitung zu diesem Thema. Habe nur etwas gefunden mit einer Backup Lösung, falls Wan1 ausfallen sollte.
Ich hoffe mir kann jemand helfen.
Danke
B
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 202570
Url: https://administrator.de/contentid/202570
Printed on: April 23, 2024 at 19:04 o'clock
7 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @GrandmasterB:
mir wurde folgende Aufgabe übertragen. Ich soll 2 Internet Anbieter auf der Fortigate einrichten.
Also doch keine 2 IPS auf einem System. Deine Überschrift (änderbar) lautet auf Intrusion Prtotection System, du meinst aber Internet Service Provider IPS <> ISP.mir wurde folgende Aufgabe übertragen. Ich soll 2 Internet Anbieter auf der Fortigate einrichten.
Über Wan1 soll alles laufen auser HTTP
Über Wan2 soll HTTP laufen
Kann dies deine Fortigate? Steht in den Dokus.Über Wan2 soll HTTP laufen
Ich finde einfach keine Anleitung zu diesem Thema. Habe nur etwas gefunden mit einer Backup Lösung, falls Wan1 ausfallen sollte.
Und? Passt den Backup nicht falls eine Leitung ausfällt?Gruß,
Peter
Hi,
schau Dir das mal an: http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_a ...
Gruß
Heiko
schau Dir das mal an: http://docs.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_a ...
Gruß
Heiko
Hallo Heiko,
danke für das Dokument, doch dies hatte ich auch schon gefunden. Und wenn ich es richtig verstehe, ist diese Config dafür gedacht falls einer der Provider ausfällt und der andere Einspringen muss. Sprich Backup.
Ich benötige aber die möglichkeit beide Leitungen auf einmal zu nutzen.
Leitung 1 soll kein HTTP machen, aber eben alles andere.
Leitung 2 soll ausschließlich HTTP machen.
Nur im Notfall, falls Leitung 2 ausfällt soll sie auch HTTP machen.
danke für das Dokument, doch dies hatte ich auch schon gefunden. Und wenn ich es richtig verstehe, ist diese Config dafür gedacht falls einer der Provider ausfällt und der andere Einspringen muss. Sprich Backup.
Ich benötige aber die möglichkeit beide Leitungen auf einmal zu nutzen.
Leitung 1 soll kein HTTP machen, aber eben alles andere.
Leitung 2 soll ausschließlich HTTP machen.
Nur im Notfall, falls Leitung 2 ausfällt soll sie auch HTTP machen.
Hallo Peter,
danke, ja mit dem IPS -> ISP habe ich mich wohl verschrieben.
Ja die Fortigate kann das.
danke, ja mit dem IPS -> ISP habe ich mich wohl verschrieben.
Ja die Fortigate kann das.
Ich sollte vielleicht noch ergänzen das:
Wan1 die Verbindung selbst aufbaut PPPOE
Wan2 ist ein externer DSL Router von Vodafone angeschlossen. Dieser baut auch die Verbindung auf.
Wan2 auf DHCP eingestellt und bekommt auch eine IP, Getway von der Easybox.
Wan1 die Verbindung selbst aufbaut PPPOE
Wan2 ist ein externer DSL Router von Vodafone angeschlossen. Dieser baut auch die Verbindung auf.
Wan2 auf DHCP eingestellt und bekommt auch eine IP, Getway von der Easybox.
Hi Grandmaster,
ich hoffe es findet sich hier jemand der dir helfen kann. Ich hatte vor kurzem genau die gleiche Anforderung und habs auch nicht hinbekommen.
Problem ist dass man nicht mit klassischen Routen arbeiten kann sondern Policy-Routes verwenden muss.
In Deinem Fall könnte das sogar klappen weil du dich auf ein Protokoll beschränken kannst, in meinem gings nicht weil ich an meinem SDSL eine VPN-Verbindung hatte, da war dann nix mehr mit sinnvollem Routen - bzw. war es auch noch ein Problem dass beim Routen ja ein Gateway angegeben werden muss welches man ja bei ner ADSL-Verbindung nicht hat.
Alles in allem hab ich da 2 Tage drauf verschwendet und kam nicht weiter.
Lösung wäre wohl vors ADSL noch einen Billig-Router zu klemmen (oder einen Provider-All-In-One zu verdenden weil man dann 2 Gateways hat mit denen man arbeiten kann.
Viele Grüße und good luck
mosurama
ich hoffe es findet sich hier jemand der dir helfen kann. Ich hatte vor kurzem genau die gleiche Anforderung und habs auch nicht hinbekommen.
Problem ist dass man nicht mit klassischen Routen arbeiten kann sondern Policy-Routes verwenden muss.
In Deinem Fall könnte das sogar klappen weil du dich auf ein Protokoll beschränken kannst, in meinem gings nicht weil ich an meinem SDSL eine VPN-Verbindung hatte, da war dann nix mehr mit sinnvollem Routen - bzw. war es auch noch ein Problem dass beim Routen ja ein Gateway angegeben werden muss welches man ja bei ner ADSL-Verbindung nicht hat.
Alles in allem hab ich da 2 Tage drauf verschwendet und kam nicht weiter.
Lösung wäre wohl vors ADSL noch einen Billig-Router zu klemmen (oder einen Provider-All-In-One zu verdenden weil man dann 2 Gateways hat mit denen man arbeiten kann.
Viele Grüße und good luck
mosurama
Redundante Default routes auch über PPPoE oder DHCP funktionieren per ECMP auf den Fortigates, das ist kein Problem. Das Problem ist die (serviceabhängige) Umleitung per 'policy route'. Im Gegensatz zu normalen Routingeinträgen werden policy routes nicht gelöscht, wenn das benutzte Interface down ist (bzw. der pingserver nicht antwortet). Sie werden vor der Inspektion der routing table abgearbeitet und sind (soweit ich weiss) nicht dynamisch.
Man könnte sich dadurch behelfen, dass man im Ernstfall die policy route manuell disabled, ECMP sorgt dann automatisch dafür, dass der gesamte Verkehr über das andere WAN-Interface geht. Das ist zugegebenermassen unbefriedigend.
Man könnte sich dadurch behelfen, dass man im Ernstfall die policy route manuell disabled, ECMP sorgt dann automatisch dafür, dass der gesamte Verkehr über das andere WAN-Interface geht. Das ist zugegebenermassen unbefriedigend.
