Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Konfiguration End - Site(NAT) - Site mit Fortigate

Mitglied: itproject

itproject (Level 1) - Jetzt verbinden

22.01.2015 um 13:08 Uhr, 1627 Aufrufe, 3 Kommentare

Hallo zusammen,

ich brauche eure Hilfe, ich blick noch nicht ganz durch ;)

Die Situation:

Ein Entwickler verbindet sich mit seinem MAC oder Windows Rechner von zuhause über SSL VPN oder IPSEC in das Firmennetzwerk um dort zu arbeiten. Dort wird er in ein VPN Netzwerk geschmissen, welches auch Zugriff (zumindest die verwendeten Ports) auf das Firmennetz bietet.

z.B. VPN Network 192.168.1.0/24
z.B. Company Network 10.0.0.0/24

So weit so gut, der Entwickler kann auf seine Server im Firmennetzwerk zugreifen.

Anforderung:

Entwickler sollen nun auch auf das Netzwerk eines Hosters zugreifen können, welches mit einer dauerhaften IPSEC Verbindung am Firmennetzwerk hängt.

z.B. Hoster Network 10.0.20.0/24

(Vom Firmennetz problemlos möglich, Zugriff ist jedoch nur über die Öffentliche IP Adreesse des Firmennetzwerks möglich)

Die eigentliche Frage:

Wie schaffe ich, dass sich der Entwickler von zuhause ins Firmennetzwerk einwählt und von dort aus ebenfalls problemlos auf das Hoster Netzwerk (unter Verwendung der Firmeneigenen öffentlichen Adresse nach außen) verbinden kann.

Meine Idee, falls das gehen sollte: Die bestehende VPN Verbindung von zuhause hinter die Company FW per NAT legen und dann den benötigten traffic in das Hoster Netzwerk routen.

Nur irgendwie funktioniert das nicht so wie ich mir das vorstelle, bzw. IPSEC behind NAT ... ist ja eigentlich nur möglich wenn man das gekapselte paket nochmal kapseln würde oder?

Ich hoffe ich drücke mich hier nicht zu kompliziert aus, vielen Dank an jede Hilfe

MfG
Itproject
Mitglied: aqui
22.01.2015 um 13:21 Uhr
Wie schaffe ich, dass sich der Entwickler von zuhause ins Firmennetzwerk einwählt und von dort aus ebenfalls problemlos auf das Hoster Netzwerk
Das ist kinderleicht und hätte dir auch als Laie auffallen müssen warum es nicht geht !!
Wenn er sich per VPN einwählt bekommt sein Client dynmaisch eine Route in das 10.0.0.0 /24 er Netz mitgeteilt aber natürlich KEINE IP Route in das Hoster Netzwerk 10.0.20.0 /24 !!
Woher auch ??
Der VPN Client kann ja nicht raten oder hellsehen. Folglich geht dieser logischerweise davon aus das er es nicht über den VPN Tunnel erreicht sondern über seine Default Route die über welche NIC auch immer geht.
Funktioniert also alles wie es soll !!
Der Fehler liegt klar in der Misskonfiguration des VPNs für diesen Client ! Der muss zusätzlich noch einen Route ins 10.0.20.0 /24 er Netz übermittelt bekommen, damit er weiss das er Pakete für dieses Netzwerk auch in den VPN Tunnel routen muss.
Das geht auf dem VPN Server mit einer entsprechenden Template Änderung für diesen User indem der einfach nur die richtige Route bekommt.
Alternativ kann man auch die vom VPN Server übermittelte Route mit einer 16 Bit Subnetzmaske statt 24 an den Client geben, dann würde er alles was 10.0.x.x als Zieladresse hat in den Tunnel routen. Das wäre das einfachste.
Falls alle Stricke reissen kann man ohne jeglichen Eingriff am VPN Server eine statische Route auf den Client einrichten mit
route add 10.0.20.0 mask 255.255.255.0 gateway <tunnel_ip_vpn_server>

Diese 3 Optionen hast du um das ganz einfach zu fixen.
IPSEC behind NAT ... ist ja eigentlich nur möglich wenn man das gekapselte paket nochmal kapseln würde oder?
Nein das ist technischer Unsinn, dafür gibt es NAT-Traversal beim IPsec.
Details dazu bei IPsec erklärt dir dieses Forums Tutorial:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Ich hoffe ich drücke mich hier nicht zu kompliziert aus
Nein, tust du nicht. Ist ein klassischer, täglicher Fehler hier im Forum wenn es um Routing von weiteren IP Netzen hinter dem VPN Tunnel geht
Bitte warten ..
Mitglied: itproject
23.01.2015 um 15:47 Uhr
Hi Aqui,

das VPN und das Routing wird über eine Fortigate geregelt, leider wird die entsprechende route nicht dem VPN Client (zuhause) übermittelt.
Wenn ich die Route am Client fest eintrage, dann findet er entsprechend den Weg ins Hoster Netzwerk.

Problem ist nun eher, dass die entsprechende Route nicht zum VPN Client gepusht wird.
Wenn ich das hinbekomme bin ich durch, "wenn" ;)

Schonmal vorab besten Dank für Deine Tipps!

Grüße an den Hasen mit Sonnenbrille!
Itproject
Bitte warten ..
Mitglied: aqui
23.01.2015 um 20:00 Uhr
leider wird die entsprechende route nicht dem VPN Client (zuhause) übermittelt.
Wie erwartet und vermutet ! Genau das ist dein Problem und eine falsche Konfiguration der Fortinet !
Wenn ich die Route am Client fest eintrage, dann findet er entsprechend den Weg ins Hoster Netzwerk.
Bestätigt die Vermutung und den Fehler !
Problem ist nun eher, dass die entsprechende Route nicht zum VPN Client gepusht wird.
Wie gesagt: ein Fehler in der Konfiguration der Fortinet FW ! Geh zum FW Admin und lass ihn das fixen ! Sind 2-3 Mausklicks im Setup GUI.
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen

IPSec Site-to-Site über NAT ohne Portforwarding

Frage von BirdyBNetzwerkgrundlagen18 Kommentare

Hallo miteinander, ich habe da mal eine Frage: In unserem Hauptstandort gibt es eine Sophos UTM mit fester IP. ...

Firewall

Verständnisfrage zur NAT Konfiguration auf meinem Router

gelöst Frage von warbyrdFirewall7 Kommentare

Hallo zusammen, ich habe eine Verständnisfrage zu Portweiterleitungen auf meinem Router. Hier der Screenshot, um den es geht: Gehe ...

LAN, WAN, Wireless

Site to Site VPN FritzBox

gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

TK-Netze & Geräte

Digitalisierungsbox Premium VPN End-to-Site ShrewSoft Probleme

gelöst Frage von EnzephaloNTK-Netze & Geräte7 Kommentare

Hallo Ich habe seit Kurzem eine Digitalisierungsbox Premium. Bisher habe ich alles funktionierend konfiguriert bekommen: Internet, VoIP, LAN und ...

Neue Wissensbeiträge
CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 6 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Heiß diskutierte Inhalte
Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung26 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Windows 10
Unter Windows 10 Home 64Bit (1709) kommt Fehler beim Aufruf von verschiedenen Systemprogrammen wie z.B. Gerätemanager
Frage von bitshopWindows 1017 Kommentare

Hallo, beim meinem Onkel haben wir seit längerem das Problem, dass z.B. beim Aufruf des Gerätemanagers eine Fehlermeldung kommt ...