5
Fortigate: Problem Erreichbarkeit WAN-Port 2 mit DSL+SHDSL
Hallo zusammen,
wir haben aktuell eine Fortigate 40C im Einsatz. Bisher hatten wir auf WAN1 einen Ecotel DSL-Anschluss im Einsatz. Hat auch alles (Site2Site, VPN-Client...) problemlos funktioniert. Da uns die Performance aber nicht mehr ausreicht, haben wir zusätzlich einen SHDSL-Anschluss der Ecotel bestellt.
Diesen SHDSL-Anschluss habe ich jetzt auf WAN2 eingerichtet. WAN2-Port ist mit dem SHDSL-Router der Ecotel verbunden, die feste IP ist auf der Fotigate eingerichtet, Status: UP.
Wan1 (DSL1) / Type Physical / IP: xxxxx, Netmask: 255.255.255.255 / Access: HTTPS, PING, SSH
Wan2 (SHDL) / Type Physical / IP: feste IP-Adresse Ecotel, Netmask: 255.255.255.248 / Access: HTTPS, PING, SSH, FMG-Access
Jetzt zu den Problemen:
1. Ich kann von außen den WAN2-Port nicht erreichen. Lt. Ecotel-Support steht die Verbindung zwischen SHDSL-Router und Fortigate und diese ist auch über die feste IP erreichbar. Der SHDSL-Router ist von außen problemlos pingbar, nur die Fortigate nicht.
2. Ich möchte den gesamten Traffic über die neue Leitung leiten. Hierfür habe ich folgende Static-Route eingerichtet:
IP/Mask: 0.0.0.0/0.0.0.0 / Gateway: feste-IP des SHDSL-Routers / Device: WAN2
Dies funktioniert auch nicht. Der Traffic geht weiterhin über WAN1. Für WAN 1 ist keine statische Route hinterlegt. Wenn ich aber eine gezielte Statische Route auf eine bestimme IP-Adresse anlege, funktioniert das Ganze. Dann nutzt das System den WAN2 Port.
Hat jemand von euch eine Idee woran das liegen kann? Könnte es evtl. sein, dass der dynamische Routing Eintrag (via DSL) Vorrang hat sodass die statische Default-Route für WAN2 nicht wirkt? Und warum ist der WAN2 von außen nicht direkt erreichbar??
Danke euch.
Gruß
teletown
wir haben aktuell eine Fortigate 40C im Einsatz. Bisher hatten wir auf WAN1 einen Ecotel DSL-Anschluss im Einsatz. Hat auch alles (Site2Site, VPN-Client...) problemlos funktioniert. Da uns die Performance aber nicht mehr ausreicht, haben wir zusätzlich einen SHDSL-Anschluss der Ecotel bestellt.
Diesen SHDSL-Anschluss habe ich jetzt auf WAN2 eingerichtet. WAN2-Port ist mit dem SHDSL-Router der Ecotel verbunden, die feste IP ist auf der Fotigate eingerichtet, Status: UP.
Wan1 (DSL1) / Type Physical / IP: xxxxx, Netmask: 255.255.255.255 / Access: HTTPS, PING, SSH
Wan2 (SHDL) / Type Physical / IP: feste IP-Adresse Ecotel, Netmask: 255.255.255.248 / Access: HTTPS, PING, SSH, FMG-Access
Jetzt zu den Problemen:
1. Ich kann von außen den WAN2-Port nicht erreichen. Lt. Ecotel-Support steht die Verbindung zwischen SHDSL-Router und Fortigate und diese ist auch über die feste IP erreichbar. Der SHDSL-Router ist von außen problemlos pingbar, nur die Fortigate nicht.
2. Ich möchte den gesamten Traffic über die neue Leitung leiten. Hierfür habe ich folgende Static-Route eingerichtet:
IP/Mask: 0.0.0.0/0.0.0.0 / Gateway: feste-IP des SHDSL-Routers / Device: WAN2
Dies funktioniert auch nicht. Der Traffic geht weiterhin über WAN1. Für WAN 1 ist keine statische Route hinterlegt. Wenn ich aber eine gezielte Statische Route auf eine bestimme IP-Adresse anlege, funktioniert das Ganze. Dann nutzt das System den WAN2 Port.
Hat jemand von euch eine Idee woran das liegen kann? Könnte es evtl. sein, dass der dynamische Routing Eintrag (via DSL) Vorrang hat sodass die statische Default-Route für WAN2 nicht wirkt? Und warum ist der WAN2 von außen nicht direkt erreichbar??
Danke euch.
Gruß
teletown
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 285879
Url: https://administrator.de/contentid/285879
Printed on: April 24, 2024 at 17:04 o'clock
5 Comments
Latest comment
Hi
hast du die Policies angepasst, dass der interne Datenverkehr auch über WAN2 geht? Nur die Route reicht nicht aus, in den einzelnen Policies ist ja der Weg bzw. die Regel z.B. "HTTP von Intern -> WAN1 | allow" eingestellt und die verhindert dann den Datenverkehr.
Die bessere Lösung wäre allerdings die beiden Leitungen via Load-Balancer (kann man auf der 40C einrichten) einzubinden, ansonsten switcht der nicht automatisch auf die andere Leitung falls mal eine ausfällt. Wir haben so die Leitung der Telekom und die von Versatel eingebunden, die akzeptieren auch auf beiden Leitungen die Site2Site VPN Verbindung, so dass bei einem Leitungsausfall die Verbindung wieder aufgebaut wird.
Zum testen: versuch mal über die Konsole ob du das pingen kannst.
hast du die Policies angepasst, dass der interne Datenverkehr auch über WAN2 geht? Nur die Route reicht nicht aus, in den einzelnen Policies ist ja der Weg bzw. die Regel z.B. "HTTP von Intern -> WAN1 | allow" eingestellt und die verhindert dann den Datenverkehr.
Die bessere Lösung wäre allerdings die beiden Leitungen via Load-Balancer (kann man auf der 40C einrichten) einzubinden, ansonsten switcht der nicht automatisch auf die andere Leitung falls mal eine ausfällt. Wir haben so die Leitung der Telekom und die von Versatel eingebunden, die akzeptieren auch auf beiden Leitungen die Site2Site VPN Verbindung, so dass bei einem Leitungsausfall die Verbindung wieder aufgebaut wird.
Zum testen: versuch mal über die Konsole ob du das pingen kannst.
Hi,
habe gerade die Policies gepfürt.
Folgende zwei waren eingerichtet:
1) internal - wan1 / All/All/All/Always/Accept
2) Internal - wan2 / All/All/All/Always/Accept
Der HTTP-Traffic müsste damit über beide WANs funktionieren.
Habe jetzt mal testweise bei Policy 1 den http-traffic deaktiviert. Dann geht das surfen überhaupt nicht mehr. Policy 2 greift überhaupt nicht.
Was mich auch wundert ist, dass ich über die feste IP nicht direkt auf die Fortigate komme. Eine Verbindung mit dem SSL-VPN-Client auf die neue IP geht ebenfalls nicht.
habe gerade die Policies gepfürt.
Folgende zwei waren eingerichtet:
1) internal - wan1 / All/All/All/Always/Accept
2) Internal - wan2 / All/All/All/Always/Accept
Der HTTP-Traffic müsste damit über beide WANs funktionieren.
Habe jetzt mal testweise bei Policy 1 den http-traffic deaktiviert. Dann geht das surfen überhaupt nicht mehr. Policy 2 greift überhaupt nicht.
Was mich auch wundert ist, dass ich über die feste IP nicht direkt auf die Fortigate komme. Eine Verbindung mit dem SSL-VPN-Client auf die neue IP geht ebenfalls nicht.
was sagt denn ein Traceping? An welcher Stelle bricht der die Verbindung ab? Direkt an der Fortinet oder an dem Hop dahinter zum Internet? Damit siehst du dann auch wo er genau lang geht.
Hey,
dein Problem ist die Rückroute! Du hast eine statische Route, die vom PPPOE kommt. Wenn du nun über die zweite Leitung reinpingst, geht das Rückpaket über die erste Leitung raus. Grund dafür ist dass via PPPOE eine administrative Distanz der Route vom Wert 5 automatisch gesetzt wird. Die Route, die du manuell gesetzt hat (0.0.0.0 -> WAN2) hat eine größere, administrative Distanz. Nämlich 10.
Entweder stellst du die manuell von dir gesetzte Route auf einen Wert von unter 5 oder stellst die Distanz der Route in den PPPOE Einstellungen von wan1 höher als 10.
Damit du beide Leitungen gleichzeitig nutzen kannst musst du mit Policy based Routing arbeiten oder mit dem "Virtual-wan-Link" welcher ab FortiOS 5.2 gekommen ist.
Melde dich wenn du noch Probleme hast.
Grüße
exellent
dein Problem ist die Rückroute! Du hast eine statische Route, die vom PPPOE kommt. Wenn du nun über die zweite Leitung reinpingst, geht das Rückpaket über die erste Leitung raus. Grund dafür ist dass via PPPOE eine administrative Distanz der Route vom Wert 5 automatisch gesetzt wird. Die Route, die du manuell gesetzt hat (0.0.0.0 -> WAN2) hat eine größere, administrative Distanz. Nämlich 10.
Entweder stellst du die manuell von dir gesetzte Route auf einen Wert von unter 5 oder stellst die Distanz der Route in den PPPOE Einstellungen von wan1 höher als 10.
Damit du beide Leitungen gleichzeitig nutzen kannst musst du mit Policy based Routing arbeiten oder mit dem "Virtual-wan-Link" welcher ab FortiOS 5.2 gekommen ist.
Melde dich wenn du noch Probleme hast.
Grüße
exellent
1
Hi exellent,
danke für den Hinweis. Hätte noch folgende Frage dazu:
Aktuell kommen die Notebooks von außen per SSL-VPN-Client herein. Im SSL-VPN-Client ist die DDNS-Adresse vom WAN-1 Port hinterlegt. Wenn ich die Distanz von WAN2 zwei jetzt runter setze, kommt man dann noch mit der WAN1-Adresse drauf? Kann ich die Fortigate dann noch mit der WAN1-Adresse direkt erreichen?
Die Kiste steht nicht bei mir vor Ort. Möchte mir mit der Umstellung nicht selbst den Ast absägen
Aktuell komme ich per DDNS-Adresse von WAN1 von außen auf die Fortigate, außerdem über den SSL-VPN-Client ins Netz. Über die WAN2-Adresse funktioniert aktuell weder der Zugriff von außen auf die Fortigate selbst, noch die Einwahl per VPN-Client ins Netz.
Dreht sich das komplett nach der Änderung der Distanz?
Danke Dir.
Gruß
teletown
danke für den Hinweis. Hätte noch folgende Frage dazu:
Aktuell kommen die Notebooks von außen per SSL-VPN-Client herein. Im SSL-VPN-Client ist die DDNS-Adresse vom WAN-1 Port hinterlegt. Wenn ich die Distanz von WAN2 zwei jetzt runter setze, kommt man dann noch mit der WAN1-Adresse drauf? Kann ich die Fortigate dann noch mit der WAN1-Adresse direkt erreichen?
Die Kiste steht nicht bei mir vor Ort. Möchte mir mit der Umstellung nicht selbst den Ast absägen
Aktuell komme ich per DDNS-Adresse von WAN1 von außen auf die Fortigate, außerdem über den SSL-VPN-Client ins Netz. Über die WAN2-Adresse funktioniert aktuell weder der Zugriff von außen auf die Fortigate selbst, noch die Einwahl per VPN-Client ins Netz.
Dreht sich das komplett nach der Änderung der Distanz?
Danke Dir.
Gruß
teletown
