Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wie kann ich den Fortigate 60b als PPTP-VPN-Server einrichten

Mitglied: gonimaus

gonimaus (Level 1) - Jetzt verbinden

18.04.2009, aktualisiert 10:12 Uhr, 12436 Aufrufe, 6 Kommentare

Einrichtung ohne pass through

Hallo liebe Administratoren,

ich habe nach Anleitung von FortiGate "PPTP VPN User Guide" versucht, den Fortigate soweit zu bringen, daß er eine PPTP-VPN akzeptiert. Ich schaffe ich es nicht ohne Hilfe.

PPTP-VPN über Pass through an den Domänencontroller und SSL-VPN funktionieren.

Ich möchte aber den Fortigate als PPTP-Server verwenden!

Hier meine Grunddaten (Alle Adressen sind Dummy-Adressen):

statische IP vom Provider: 85.85.85.194 auf WAN1 (Mit Netmask 255.255.255.248 konfiguriert)
interne IP vom Fortigate: 192.168.0.100
internes Netz: 192.168.0.x
interner freier Bereich: von 192.168.0.[80-90]


So habe ich angefangen:

1. Usergruppe "PPTP-UserGroup" angelegt und User (mit Passwort) eingetragen. (unfiltered)

2. PPTP "enabled". IP Range: "192.168.0.[80-85]". Usergruppe "PPTP-UserGroup" eingetragen

3. Firewall Source Adress Name: "Ext_PPTPRange", Type: "Subnet / IP Range", Subnet / IP Range: "192.168.0.[80-85]", Interface: "WAN1"

4. Firewall Destination Adress Name: "Int_PPTPRange", Type: "Subnet / IP Range", Subnet / IP Range: "192.168.0.[86-90]" (Auch "192.168.0.[80-85]" getestet), Interface: "internal"

5. Policy hinzugefügt mit Source Interface/Zone: "WAN1", Source Address:"Ext_PPTPRange", Destination Interface/Zone:"internal", Destination Address:"Int_PPTPRange", Schedule: "always", Service:"any", Action:"ACCEPT", NAT angehakt


Wo liegt hier mein Fehler. Ich bin nicht sicher, ob die Adressbereiche stimmen. Ich habe auch schon versucht, als externe Adresse den Adressbereich des "entfernten" Netzes zu verwenden. 192.168.178.[ ]
Muß ich noch irgendwo eine Authentication-Abfrage machen?


Viele Dank für Eure Hilfe

Goni
Mitglied: aqui
18.04.2009 um 12:34 Uhr
Dein Fehler liegt vermutlich in der Firewall Definition !!

Die Firewall Source Adress Name: "Ext_PPTPRange" ist ja niemals die gleiche IP Adresse wie auch die Destination !!! Das würde ja bedeuten das Absender und Empfänger gleich wären, was bei IP ja unsinnig ist.

Bei Firewall Source Adress Name: "Ext_PPTPRange" muss also das Quellnetz hin.
Bei dir ist das dann 192.168.178.x (vermutlich ein Fritzbox Netzwerk !?)

Fortigate beschreibt das in dem von dir oben zitierten VPN PPTP HowTo auf Seite 19 leider nicht ganz genau !
Sie verwednen für die external und internal Range etwas verwirrende Beispiele.
Ggf. solltest du nicht ein Range sondern doch 2mal das gesamte Subnetz 192.168.0.0 /24 freigeben erstmal testweise !
Bedenke das dies Subnetz lokal zwingend eine 24 Bit Maske (255.255.255.0) haben muss !!!
Vermutlich sehen sie den Tunnel doch als ein Netzwerk. Andere VPN server wollen als externes IP Netz immer das remote lokale Netzwerk (192.168.178.0 /24 in deinem Fall) wissen. Fortigate scheinbar nicht und sieht nur den Tunnel selber. Dann wäre die Angabe von 192.168.0.x in beiden definitione richtig aber etwas verwirrend.
Ggf. musst du nach Trial and Error versuchen... Am besten immer mit dem gesamten Netz versuchen...
Das PPTP Howto beschreibt auch nur die Einrichtung. Zusätzlich zu den Angaben musst du natürlich noch Usernamen und Passwort definieren auf der Fortigate !
Du solltest in jedem Falle das Logging aktivieren wie im Whitepaper beschrieben und einmal mitloggen was passiert wenn du einen PPTP Zugang startest und das Log hier ggf. mal postest !

Damit sollte dann der VPN Zugang sauber funktionieren !!
Vielleicht solltest du als Alternative über ein SSL VPN nachdenken, denn dann benötigt der Client lediglich einen Browser für den Zugang, eine recht elegante VPN Lösung die Fortigate auch supportet.

Nochwas Generelles:
Man kann dir nur dringend abraten als lokales netzwerk sowas banales und allerweltliches wie 192.168.0.0 /24 zu verwenden.
Ein IP Netzwerk was jeder Billigrouter vom Blödmarkt vom Grabbeltisch verwendet.
Wie du ja sicher selber weisst müssen bei VPN Netzen Sender und Empfänger zwingend in unterschiedlichen Netzen liegen !!!
Es wird schneller als du denkst der Tag kommen, da ein Externer auch genau diese IP Netz Adresse hat und nix is mit VPN oder du musst immer und immer wieder eine Umstellung machen... !!!

Um das sicher zu verhindern solltest du besser dein lokales Netz auf etwas krummes einrichten wie z.B.:
172.27.44.0 /24 oder 172.19.147.0 /24 oder 192.168.247.0 /24 oder oder...
Das verringert die Chance eine Netzdopplung bei VPN ganz entscheidend und verschafft dir Planungssicherheit !!!
Der RFC 1918 hat ja außer den 192.168er Netzen noch 172.16-32 und das ganze 10er Netz für private Netze zur Auswahl !!
Bitte warten ..
Mitglied: gonimaus
19.04.2009 um 09:10 Uhr
Vielen Dank für die vielen Ideen und Tips.

Leider klappen auch diese Einstellungen nicht. Diese hatte ich auch schon getestet. Außerdem habe ich als externe Adresse mal die 85.85.85.194 eingetragen. Dann habe ich auch schon mal alle Einstellungen "gedreht" (Man weiß ja nie).
Daß ich Extern und Intern das gleiche Netz angegeben habe, liegt daran, daß das der letzte "verzweifelte" Test von vielen war, bevor die ich die Frage gestellt habe. Daß das nicht stimmen konnte, war mir "einigermaßen" bekannt, wenn ich auch nicht der Netz-Profi bin.

"SSL-VPN" und "PPTP pass through" habe ich auch hinbekommen.

Was könnte noch falsch sein? Welche Werte müssen wo hinein? Was habe ich vergessen?

Vielen Dank für die Hilfe

Goni
Bitte warten ..
Mitglied: aqui
19.04.2009 um 20:59 Uhr
Eigentlich hast du alles laut Handbuch richtig gemacht !!
Gibt es ein Log in der Fortigate was du auslesen kannst ???

Ansonsten hilft halt nur die Fortinet Hotline in FFM:

Wöhlerstrasse 5
60323 Frankfurt am Main
Germany
Tel: +49-69 710 423 535
Fax: +49 69 710 423 200
Bitte warten ..
Mitglied: harald21
20.04.2009 um 07:57 Uhr
Hallo,

bei Fortigate ist es durchaus möglich für die PPTP-User einen Range des internern Subnetzes zu reservieren. Die oben gemachten Angaben sehen soweit eigentlich ganz gut aus, nur in der Policy muß das Häckchen bei NAT weg. Das ist definitiv überflüssig.

mfg
Harald
Bitte warten ..
Mitglied: gonimaus
21.04.2009 um 21:04 Uhr
Hallo miteinander,

vielen Dank für Eure Hilfe,

Die LÖSUNG!

Ich hatte zuvor die PPTP-VPN über pass through gelöst. Dabei wird eine Virtual IP für den PPTP-Port (1723) angelegt.
Ich dachte, wenn ich in den Policy die Regel für den VPN-Zugang für pass through abschalte (Haken herausnehme), reicht das.
Das ist aber nicht so. Es muß die gesamte Regel inklusive der Virtual IP für den Port 1723 gelöscht werden.

Kaum war die Virtual IP gelöscht, schon funktionierte die FGT als PPTP-Server.

Vielen Dank an den Support aus dem Hause Fortigate.

mfg
Goni
Bitte warten ..
Mitglied: aqui
22.04.2009 um 16:33 Uhr
...und Dank an dich für das Feedback hier !!!
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Fortigate 60b durch Zyxel USG XXX ersetzen?

gelöst Frage von Odde23Router & Routing9 Kommentare

Hallo zusammen, einer meiner Kunden (Firma mit 25 Arbeitsplätzen) nutzt noch ein Fortigate 60b, ohne Support. Nun wurde er ...

Router & Routing

Pfsense PPTP - IPsec VPN Server einrichten

gelöst Frage von Grave111Router & Routing7 Kommentare

Guten Tag, ich habe seit kurzem als Gateway und Firewall die Pfsense im Einsatz. Diese hängt jedoch noch hinter ...

Router & Routing

FortiGate - Policy Route einrichten

gelöst Frage von jompsiRouter & Routing4 Kommentare

Hallo zusammen Ich habe eine FortiGate 60D mit Firmware 5.2. Auf dieser FortiGate habe ich 2 WAN Anschlüsse, mit ...

Google Android

Android PPTP-VPN Weiterleitungsrouten

gelöst Frage von twoDarkMessiahGoogle Android3 Kommentare

Hallo Zusammen, zum Thema VPN gibt es hier ja schon einige Beiträge, doch ich stehe gerade vor einem Problem ...

Neue Wissensbeiträge
Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 30 MinutenAdministrator.de Feedback4 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 17 StundenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 TagSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...