Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst IPsec-VPN zwischen Fortigate 80c und 50c mit geraden und ungeraden IP-Adressen

Mitglied: dropmasta

dropmasta (Level 1) - Jetzt verbinden

11.11.2010 um 18:45 Uhr, 9021 Aufrufe, 6 Kommentare

Liebe Forenmitglieder!

Ich habe ein nicht nachvollziehbares Problem mit einer IPsec-VPN-Verbindung zwischen zwei Standorten mittels einer Fortigate 80c und einer Fortigate 50c.

Folgende 2 Netze möchte ich über ein SDSL-Internet verbinden:

Netz 1: 192.168.0.0 <-> Netz 2. 192.168.1.0

Die Verbindung habe ich wie in der Fortigate-Knowledgebase beschrieben hergestellt und aktiviert. Laut Fortigate-Webconfig ist die Verbindung hergestellt aber leider kann ich nur von einem Computer mit ungerader IP-Adresse (z.B. 192.168.0.17) einen Computer im anderen Netz anpingen (z.B. 192.168.1.2). Bei einer geraden IP (z.B. 192.168.0.16) komme ich nicht ins andere Netz.

Umgekehrt (192.168.1.0) -> 192.168.0.0) funktioniert es seltsamerweise mit jeder IP-Adresse.

Ich habe auch keine sonstigen speziellen Firewall-Richtlinien etc. vergeben, die eine solches Verhalten erkären würden.

Wäre schön wenn mir jemand einen Tip geben könnte!

Schöne Grüße!
Mitglied: aqui
11.11.2010 um 18:58 Uhr
Wenn du die Firewall auf der Fortigate wirklich sicher ausschliessen kannst, dann ist es wie immer vermutlich die lokale Firewall.
Bedenke das du aus einem fremden IP Netz kommst ! Lokale Firewalls blocken soclhe Zugriffe in der Regel immer !
Folgendes solltest du prüfen:
  • ICMP erlauben (Ping). In den erweiterten Eigenschaften -> ICMP checken ob der Haken "Auch eingehende Echos antworten" gesetzt ist !
  • Dienste wie CIFS Sharing, RDP usw. ggf. für den jeweiligen remoten IP Bereich freigeben oder den "Schrotschuss" Button "Alle Computer inkl. Internet" anklicken !
  • Prüfen ob nicht irgendwelche anderen lokalen Firewalls ala Zone Alarm, Kaspersky etc. ihr Unwesen treiben
Ist das überprüft und kannst du das sicher ausschliessen ists doch die Fortigate Firewall.
Dann mit Traceroute, Pathping und Wireshark Schritt für Schritt suchen...
Bitte warten ..
Mitglied: harald21
12.11.2010 um 07:47 Uhr
Hallo,

bitte beantworte zuerst zwei Fragen:
1. Welche Firmware haben deine Fortigates?
2. Hast du den IPSec-Tunnel im Interface-Mode oder im Tunnel-Mode hergstellt?

mfg
Harald
Bitte warten ..
Mitglied: dropmasta
12.11.2010 um 11:50 Uhr
Hallo,

Danke für die Antworten!

Firmware: v4.0,build0192,091222 (MR1 Patch 2)
Operation Mode: NAT (Tunnel-Modus)

Fremde Firewalls kann ich absolut ausschließen. Hab die Fortigate vom Gesamtnetz getrennt und einen Client direkt an der Lan-Schnittstelle angeschlossen. Die Windows-Firewall am Client ist deaktivert. Trotzdem das gleiche Bild:

Client-Adresse: 192.168.0.18 -> kein Ping/Verbindung
Client-Adresse: 192.168.0.19 -> Ping und RDP funktionieren
Client-Adresse: 192.168.0.20 -> kein Ping/Verbindung

Einzige aktive Firewall-Richtlinie:

Source: Netz 1 (192.168.0.0 / 255.255.255.0)
Destination: Netz 2 (192.168.1.0 / 255.255.255.0)
Schedule: always
Service: any
Action: encrypt

Der VPN-Monitor zeigt an: "Bring down" also sollte die Verbindung aktiv sein. Die Fortigates sind beide neu und es wurden keine sonstigen Einstellungen vorgenommen.

Schöne Grüße!
Bitte warten ..
Mitglied: harald21
12.11.2010 um 12:04 Uhr
Hallo,

ich nehme an, das beide Fortigates die gleiche Firmware haben?
FortiOS 4.0 MR1patch2 ist nicht besonders stabil, du solltest hier auf FOS 4.0 MR1patch8 updaten.

Sind in der Phase2 Einschränkungen bzgl Source- und Destination-IP hinterlegt? Bitte beide Fortigates überprüfen

mfg
Harald
Bitte warten ..
Mitglied: dropmasta
12.11.2010 um 13:06 Uhr
Hallo Harald,

Hab jetzt beide Fortigates (80c und 50B) auf die Firmware v4.0,build0209,100929 (MR1 Patch 8) upgedated. Leider immer noch die gleiche Situation.

Die Einstellungen in der Phase zwei sehen folgendermaßen aus:

Fortigate 80c:

1-Encryption: 3DS Authentication: SHA1
2-Encryption: AES128 Authentication: SHA1

Enable replay detection: on
Enable perfect forward secrecy(PFS): on
DH Group: 5
Keylife: Seconds 1800
Auto Keep Alive: off

Quick Mode Selector:
Source address: 192.168.0.0/24
Source port: 0
Destination address: 192.168.1.0/24
Destination port: 0
Protocol: 0



Fortigate 50b:

1-Encryption: 3DS Authentication: SHA1
2-Encryption: AES128 Authentication: SHA1

Enable replay detection: on
Enable perfect forward secrecy(PFS): on
DH Group: 5
Keylife: Seconds 1800
Auto Keep Alive: off

Quick Mode Selector:
Source address: 192.168.1.0/24
Source port: 0
Destination address: 192.168.0.0/24
Destination port: 0
Protocol: 0

Schöne Grüße
Bitte warten ..
Mitglied: dropmasta
12.11.2010 um 17:51 Uhr
Ein Mitglied im Fortigate-Forum hat mir empfohlen den VPN-Modus "Route-Mode" zu verwenden.
Auf diese Weise funktioniert die Verbindung mit jeder IP-Adresse.

Schöne Grüße!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Fortigate ipsec
Frage von meister00Router & Routing5 Kommentare

hallo, ich habe folgendes Problem. ich möchte von einem aussenstandort einen Server in unsere Domäne einbinden. habe mit 2 ...

Batch & Shell

Dateien mit Zahlen im Dateinamen - ungerade oder gerade verschieben

gelöst Frage von flohhausBatch & Shell10 Kommentare

Hallo, ich habe eine Frage: die Ausgangssituation: im Ordner <Alle> sind alle Bilder mit hochgezählten Dateinamen : img000001.jpg, img000002.jpg, ...

Router & Routing

VPN(IPSec) mit pfsense, externe IP Adressen sind nicht erreichbar

gelöst Frage von ss140207Router & Routing11 Kommentare

Liebe Community, ich betreibe eine pfsense als Firewall in meinem Heimnetz. Die pfsense befindet sich hinter einem Kabelmodem. Konfiguriert ...

Firewall

Externe IP Adressen herausfinden mit Fortigate 40C

gelöst Frage von ImTrainingFirewall9 Kommentare

Hallo, Ist es möglich mit meiner Fortigate 40C herauszufinden welche Externen IP Adressen schon belegt sind und welche nicht? ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...