91544
Apr 29, 2011
7638
12
1
3 Firewalls in Serie, was tun um VPN Tunnel mit Routing herstellen zu können
Hallo zusammen
Ich nerv mich gerade an der zusammenarbeit mit einem IT Partner in Holland herum.
2 Firmen sollen zusammen über einen VPN Tunnel vernetzt werden. Dafür wurde eine 2te Leitung angeschafft welches den ganzen Traffic bis auf http und smtp nach Holland routet. Aus holland habe ich eine vorkonfigurierte Firewall erhalten welche eine IP in meinem Netz besitzt. Diese darf angeblich nicht umkonfiguriert werden und dient nur als VPN Tunnel.
Leider hängt im moment die holländische Firewall direkt an einem internen Switch, was zu diversen Problem führt die ich nicht weiter ausführen will. Ja, mir ist bewusst das dies Schrott ist, jedoch wollen die Firmen bereits gewisse Dienste nutzen.
Um den Traffic zu routen muss die holländische Firewall an WAN2 angeschlossen werden. Dies funktioniert jedoch nicht da das interne und externe Netz das selbe Subnetz besitzt.
hier eine kleine zeichnung:
Ich bin der Meinung das die holländische Firewall welche in der Schweiz steht zurück ins Hollandnetz integriert werden muss und dann mit der Fortigate verbunden wird. oder sehe ich das falsch?
Was kann ich machen um das problem zu lösen ohne eine politische krise in den firmen auszulösen?
Danke für eure Hilfe
Ich nerv mich gerade an der zusammenarbeit mit einem IT Partner in Holland herum.
2 Firmen sollen zusammen über einen VPN Tunnel vernetzt werden. Dafür wurde eine 2te Leitung angeschafft welches den ganzen Traffic bis auf http und smtp nach Holland routet. Aus holland habe ich eine vorkonfigurierte Firewall erhalten welche eine IP in meinem Netz besitzt. Diese darf angeblich nicht umkonfiguriert werden und dient nur als VPN Tunnel.
Leider hängt im moment die holländische Firewall direkt an einem internen Switch, was zu diversen Problem führt die ich nicht weiter ausführen will. Ja, mir ist bewusst das dies Schrott ist, jedoch wollen die Firmen bereits gewisse Dienste nutzen.
Um den Traffic zu routen muss die holländische Firewall an WAN2 angeschlossen werden. Dies funktioniert jedoch nicht da das interne und externe Netz das selbe Subnetz besitzt.
hier eine kleine zeichnung:
Ich bin der Meinung das die holländische Firewall welche in der Schweiz steht zurück ins Hollandnetz integriert werden muss und dann mit der Fortigate verbunden wird. oder sehe ich das falsch?
Was kann ich machen um das problem zu lösen ohne eine politische krise in den firmen auszulösen?
Danke für eure Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165420
Url: https://administrator.de/contentid/165420
Printed on: May 4, 2024 at 00:05 o'clock
12 Comments
Latest comment
Zitat von @91544:
Dies funktioniert jedoch nicht da das
interne und externe Netz das selbe Subnetz besitzt.
Dies funktioniert jedoch nicht da das
interne und externe Netz das selbe Subnetz besitzt.
Du sagst es ja schon selbst: Das kann so nicht funktionieren.
Entweder ihr macht subnetting, oder ihr einigt Euch darauf, welche IP-Ranges wo benutzt werden.
Hallo,
@Lochkartenstanzer
Wie kommst du den zu dieser genialen, aber falschen Weiseheit?
@91544
Wieso selbes Netz?
10.1.x.x /16 und 10.9.x.x /16 sind doch 2 verschiedene Netze da sollte ein Routing doch keinen Stress machen.
brammer
Editiert, Details der Zeichnung übersehen!
brammer
@Lochkartenstanzer
Entweder ihr macht subnetting,
Wie kommst du den zu dieser genialen, aber falschen Weiseheit?
@91544
Wieso selbes Netz?
10.1.x.x /16 und 10.9.x.x /16 sind doch 2 verschiedene Netze da sollte ein Routing doch keinen Stress machen.
brammer
Editiert, Details der Zeichnung übersehen!
brammer
ok danke 
dann bin ich doch nicht do doof wie ich mich gerade fühle was dieses thema anbelangt.
die behauptung trat zudem noch auf, das falls die zwischengeschaltete Firewall im holländischen netz sein würde, kann der zugriff von holland in die schweiz nicht durchgeführt werden. das ist doch absolut absurd?
Gruss und danke
dann bin ich doch nicht do doof wie ich mich gerade fühle was dieses thema anbelangt.
die behauptung trat zudem noch auf, das falls die zwischengeschaltete Firewall im holländischen netz sein würde, kann der zugriff von holland in die schweiz nicht durchgeführt werden. das ist doch absolut absurd?
Gruss und danke
Zitat von @brammer:
Hallo,
@Lochkartenstanzer
> Entweder ihr macht subnetting,
Wie kommst du den zu dieser genialen, aber falschen Weiseheit?
Hallo,
@Lochkartenstanzer
> Entweder ihr macht subnetting,
Wie kommst du den zu dieser genialen, aber falschen Weiseheit?
10.9.75.1 gehört ins Netz 10.9.0.0/16 kann also nicht auf der anderen Seite der Firewall sein, sofern diese auf Layer 3 und nicht auf layer 2 arbeitet.
Dann muß man eben das 10.9.0.0/16 in verschiedene Teilnetze unterteilen (subnetting) oder andere IP-Ranges dafür hernehmen.
@91544
Wieso selbes Netz?
10.1.x.x /16 und 10.9.x.x /16 sind doch 2 verschiedene Netze da sollte ein Routing doch keinen Stress machen.
s.o.
brammer
Editiert, Details der Zeichnung übersehen!
brammer
Hallo,
die Firewall auf der rechten Seite hat eine IP im rechten Netz 10.9.75.1. Auf dem Internen Interface.
Die Firewall auf der linken Seite hat eine IP im linken Netz. Auf dem Internen Interface.
Das Netz 10.9.x.x / 16 ist ein anderes Netz as 10.1.x.x
Beide Firewalls haben am externen Interface irgendeine Public IP.
Das linke Netz routet alles Richtung 10.9.x.x über die interne IP Adresse der linken Firewall
Rechts routet alles Richtung 10.1.x.x über die interne IP Adresse der rechten Firewall.
wo ist da das Problem?
Ein Standard VPN Szenario.
brammer
die Firewall auf der rechten Seite hat eine IP im rechten Netz 10.9.75.1. Auf dem Internen Interface.
Die Firewall auf der linken Seite hat eine IP im linken Netz. Auf dem Internen Interface.
Das Netz 10.9.x.x / 16 ist ein anderes Netz as 10.1.x.x
Beide Firewalls haben am externen Interface irgendeine Public IP.
Das linke Netz routet alles Richtung 10.9.x.x über die interne IP Adresse der linken Firewall
Rechts routet alles Richtung 10.1.x.x über die interne IP Adresse der rechten Firewall.
wo ist da das Problem?
Ein Standard VPN Szenario.
brammer
Zitat von @brammer:
Hallo,
die Firewall auf der rechten Seite hat eine IP im rechten Netz 10.9.75.1. Auf dem Internen Interface.
Die Firewall auf der linken Seite hat eine IP im linken Netz. Auf dem Internen Interface.
Hallo,
die Firewall auf der rechten Seite hat eine IP im rechten Netz 10.9.75.1. Auf dem Internen Interface.
Die Firewall auf der linken Seite hat eine IP im linken Netz. Auf dem Internen Interface.
Dann interpretiere ich die zeichnung anders als Du.
Ich lese es so:
Die (rechte) Watchguard hat auf dem link zur Fortigate die IP 10.9.75.1. Die Fortigate müße nach meiner Lesart auf demselben Link auch eine 10.9.0.0/16 Adresse haben, was aber zu Konflikten mit dem Netz auf Ihrer anderen Seite 10.9.0.0/16 führt.
Sollte ich die Zeichnung falsch interpretiert haben, dann passen meine Ausführugnen natürlich nicht zu der Anforderung.
Hallo,
@Lochkartenstanzer
Wenn dem so wäre dann haben die Holländer bei der Konfiguration Mist gebaut.
Ich intertpretiere die Zeichung so das die rechte Firewall der zweite WAN Anschluss ist aber auf dem Internen Interface die IP Adresse 10.9.75.1 hat.
Dazu müsste der Threadowner bitte mal Seine Angaben etwas präzisieren.
brammer
@Lochkartenstanzer
Wenn dem so wäre dann haben die Holländer bei der Konfiguration Mist gebaut.
Ich intertpretiere die Zeichung so das die rechte Firewall der zweite WAN Anschluss ist aber auf dem Internen Interface die IP Adresse 10.9.75.1 hat.
Dazu müsste der Threadowner bitte mal Seine Angaben etwas präzisieren.
brammer
hi ihr beiden
FRW1:
Watchguard irgendwas
Standort: Holland
Internes Netz: 10.1.0.0/16
IP intern: unbekannt
IP extern: Fixe Public IP
FRW2:
Wachguard irgendwas
Standort: Schweiz
Internes Netz: 10.9.0.0/16
IP intern: 10.9.75.1
IP extern: Fixe Public IP (PPPoE Einwahl über einen VDSL Brigde)
FRW3:
Fortigate irgendwas
Standort: Schweiz
Internes Netz: 10.9.0.0/16
Interne IP: 10.9.1.1
Externe IP: Fixe Public IP auf WAN1
FRW1 ist mit FRW2 übers internet verbunden und bilden den VPN Tunnel. Konfiguriert von Holland
FRW2 soll auf die FRW3 auf dem WAN2 ins interne Netz routen und umgekehrt.
Jedoch haben FRW2 und FRW3 das selbe interne Netz und somit kann ich nix routen.
Also wäre die Lösung?
FRW2 umkonfigurieren sodass:
Internes Netz: 10.1.0.0/16
Interne IP: 10.1.x.1
den VPN Tunnel "intern" im Hollandnetz herzustellen und dann ein routing von der FRW2 auf die FRW3, sprich das netz 10.9.0.0/16 zu machen
umgekehrt ein routing von der FRW3 auf die FRW2 mit 10.1.0.0/16 konfigurieren.
eine direkter VPN tunnel von der Watchguard zur Fortigate ist anscheinend nicht möglich.
jetzt hab ich langsam den überblick verloren :-S
FRW1:
Watchguard irgendwas
Standort: Holland
Internes Netz: 10.1.0.0/16
IP intern: unbekannt
IP extern: Fixe Public IP
FRW2:
Wachguard irgendwas
Standort: Schweiz
Internes Netz: 10.9.0.0/16
IP intern: 10.9.75.1
IP extern: Fixe Public IP (PPPoE Einwahl über einen VDSL Brigde)
FRW3:
Fortigate irgendwas
Standort: Schweiz
Internes Netz: 10.9.0.0/16
Interne IP: 10.9.1.1
Externe IP: Fixe Public IP auf WAN1
FRW1 ist mit FRW2 übers internet verbunden und bilden den VPN Tunnel. Konfiguriert von Holland
FRW2 soll auf die FRW3 auf dem WAN2 ins interne Netz routen und umgekehrt.
Jedoch haben FRW2 und FRW3 das selbe interne Netz und somit kann ich nix routen.
Also wäre die Lösung?
FRW2 umkonfigurieren sodass:
Internes Netz: 10.1.0.0/16
Interne IP: 10.1.x.1
den VPN Tunnel "intern" im Hollandnetz herzustellen und dann ein routing von der FRW2 auf die FRW3, sprich das netz 10.9.0.0/16 zu machen
umgekehrt ein routing von der FRW3 auf die FRW2 mit 10.1.0.0/16 konfigurieren.
eine direkter VPN tunnel von der Watchguard zur Fortigate ist anscheinend nicht möglich.
jetzt hab ich langsam den überblick verloren :-S
Hallo,
Unsinn!
die Firewall 2 und die Firewall 3 kennen sich ja bereits , da sie im selben Netz sind.
Wenn der Tunnel zwischen Firewall 1 und Firewall 2 besteht muss Firewall 1 nur wissen das Sie das entfernte Netz Hinter Firewall 2 erreicht, also eine Route die so aussehen müsste:
Firewall 1 : route 10.9.x.x (entferntes Netz) erreichst du über die interne IP der Firewall 1 die alles für 10.9.x.x weiter leitet an Firewall 2
Firewall 2 : route 10.1.x.x (entferntes Netz) erreichst du über die interne IP der Firewall 2 die alles für 10.1.x.x weiter leitet an Firewall 1
Zwischen Firewall 2 und 3 brauchst du eigentlich nur einrichten das der gesamte Traffic für das Netz 10.1.x.x über Firewall 2 zu errreichen ist.
Wie ich oben schon schrieb: ein Standard VPN Szenario.
Wenn man das so nicht direkt klappt, kann man zwischen Firewall 2 und 3 eine Transfer Netz einrichten.
Dazu würde ich dann ein 172.16.x.x /29 konfigurieren.
Dann müsste eine Route auf Firewall 3 eingerichtet werden das das Netz 10.1.x.x über die Firewall 2 zu erreichen ist.
Und auf Firewall 2 ein Route das aller Traffic vom Entfernten Netz Richtung Firewall 3 zu schicken ist.
brammer
Also wäre die Lösung?
FRW2 umkonfigurieren sodass:
Internes Netz: 10.1.0.0/16
Interne IP: 10.1.x.1
den VPN Tunnel "intern" im Hollandnetz herzustellen und dann ein routing von der FRW2 auf die FRW3, sprich das netz 10.9.0.0/16 zu machen
umgekehrt ein routing von der FRW3 auf die FRW2 mit 10.1.0.0/16 konfigurieren.
FRW2 umkonfigurieren sodass:
Internes Netz: 10.1.0.0/16
Interne IP: 10.1.x.1
den VPN Tunnel "intern" im Hollandnetz herzustellen und dann ein routing von der FRW2 auf die FRW3, sprich das netz 10.9.0.0/16 zu machen
umgekehrt ein routing von der FRW3 auf die FRW2 mit 10.1.0.0/16 konfigurieren.
Unsinn!
die Firewall 2 und die Firewall 3 kennen sich ja bereits , da sie im selben Netz sind.
Wenn der Tunnel zwischen Firewall 1 und Firewall 2 besteht muss Firewall 1 nur wissen das Sie das entfernte Netz Hinter Firewall 2 erreicht, also eine Route die so aussehen müsste:
Firewall 1 : route 10.9.x.x (entferntes Netz) erreichst du über die interne IP der Firewall 1 die alles für 10.9.x.x weiter leitet an Firewall 2
Firewall 2 : route 10.1.x.x (entferntes Netz) erreichst du über die interne IP der Firewall 2 die alles für 10.1.x.x weiter leitet an Firewall 1
Zwischen Firewall 2 und 3 brauchst du eigentlich nur einrichten das der gesamte Traffic für das Netz 10.1.x.x über Firewall 2 zu errreichen ist.
Wie ich oben schon schrieb: ein Standard VPN Szenario.
Wenn man das so nicht direkt klappt, kann man zwischen Firewall 2 und 3 eine Transfer Netz einrichten.
Dazu würde ich dann ein 172.16.x.x /29 konfigurieren.
Dann müsste eine Route auf Firewall 3 eingerichtet werden das das Netz 10.1.x.x über die Firewall 2 zu erreichen ist.
Und auf Firewall 2 ein Route das aller Traffic vom Entfernten Netz Richtung Firewall 3 zu schicken ist.
brammer
hi,
das ganze klingt ja einleuchtend, jedoch finde ich es eigentlich recht bedenklich das die fremde firewall, im moment, bei mir direkt am switch hängt ohne das ich irgendwas daran steuern kann. aus diesem grund will ich ja auch die firewall hinter "meine" legen.
sind meine überlegungen falsch?
darkcube
das ganze klingt ja einleuchtend, jedoch finde ich es eigentlich recht bedenklich das die fremde firewall, im moment, bei mir direkt am switch hängt ohne das ich irgendwas daran steuern kann. aus diesem grund will ich ja auch die firewall hinter "meine" legen.
sind meine überlegungen falsch?
darkcube
Nein, deine Überlegungen sind grundlegend richtig. Auch muss man für den Lochkartnestanzer einmal eine Lanze brechen, denn er hat recht mit der falschen IP Adressierung (sorry brammer...)
Jedenfalls ist deine o.a. Zeichnung dazu zu oberflächlich und nicht eindeutig und lässt 2 Interpretationen zu, so das man zum Teil auch Kollege brammer Recht geben kann.
Der Grund für den Streitpunkt ist, das du das Koppelnetz von der Fortigate zur Watchguard in CH nicht richtig beschrieben hast von der IP Adressierung.
In der Regel ist es üblich das jedes aktive Segment an einer Firewall auch in einem eigenen separaten IP Netzwerk betrieben wird.
In der Beziehung ist es dann natürlich ein fataler Fehler, das das Koppelnetz die IP 10.9.0.0 /16 hat und das lokale Netzwerk in CH ebenfalls.
Das geht definitiv nicht !! Logisch ...doppelte IP Netze !
Sind die Ports aber als simple Layer 2 Switchports an der Fortigate definiert (wie es Kollege brammer vermutlich interpretiert hat) dann liegen alle gemeinsam im lokalen 10.9.0.0er Produktiv Netz.
Du liegst richtig das diese Konstrukt nicht eben sehr gerade "sicher" ist, zumal du ein Fremdgerät, auf das du keinen Zugriff hast, direkt in deinem Produktivnetz hast. Bei Firmennetzen ein klares Unding was absolut inakzeptabel ist und damit eine Firewall komplett konterkariert.
Keiner macht sowas und in der Beziehung macht es absolut Sinn die Watchguard Kopplung in ein eigenes IP Segment an der Fortigate zu setzen.
Das gibt dir zusätzlich erheblich bessere Möglichkeiten den Traffic, der vom remoten Netz kommt, an der Fortigate zentral zu kontrollieren und zwar unabhängig was die Geheimniskrämer aus NL an ihrer Watchguard auch immer einstellen. Damit macht du dich aus Sicherheitssicht wieder eigenständig und kannst so unabhängig kontrollieren WAS in dein Produktivnetz darf und was eben nicht !
Es ist dann klar das dann das lokale Watchguard Interface NICHT die 10.9.0.0 /16 haben kann, das ist logisch.
Am besten ist, du setzt das um auf die IP Netzadresse wie z.B. 10.90.0.0 /24 denn ein /24 Netz reicht für die Kopplung allemal aus !
Das ist ein minimaler Eingriff in die Watchguard Konfig der in 3 Minuten erledigt ist und damit dein Netzwerk dann problemlos zum Fliegen bringt. Und das zudem noch mit erheblichen Sicherheitsvorteilen für dich und den Verbleib deiner Security Policy in deinen eigenen Händen !
Wenn du alles richtig gemacht hast sieht ein klassisches und sicheres Szenario so aus:
Nochwas zum Schluss: Es ist völliger Unsinn das man "anscheinend" eine Watchguard nicht mit einer Fortigate koppeln kann ! (Der Schein trügt immer !) Die Watchguard und die Fortigate Webseiten haben diverse Beispiele dazu. Beide Produkte sprechen IPsec mit ESP im VPN Tunnel und über diesen Standard ist eine Kopplung problemlos möglich.
Für dich allerdings ist das o.a. Szenario mit einem extra IP Segment an der Fortigate erheblich sicherer, da du dich damit unabhängig machst von evtl. Sicherheitsfehlern oder Problemen auf der NL Seite. Zudem musst du niemand Fremden so auf deine Fortigate tunneln.
Fazit: Die Security Hoheit bleibt bei dir ! Belass es also besser bei der separaten Lösung.
Jedenfalls ist deine o.a. Zeichnung dazu zu oberflächlich und nicht eindeutig und lässt 2 Interpretationen zu, so das man zum Teil auch Kollege brammer Recht geben kann.
Der Grund für den Streitpunkt ist, das du das Koppelnetz von der Fortigate zur Watchguard in CH nicht richtig beschrieben hast von der IP Adressierung.
In der Regel ist es üblich das jedes aktive Segment an einer Firewall auch in einem eigenen separaten IP Netzwerk betrieben wird.
In der Beziehung ist es dann natürlich ein fataler Fehler, das das Koppelnetz die IP 10.9.0.0 /16 hat und das lokale Netzwerk in CH ebenfalls.
Das geht definitiv nicht !! Logisch ...doppelte IP Netze !
Sind die Ports aber als simple Layer 2 Switchports an der Fortigate definiert (wie es Kollege brammer vermutlich interpretiert hat) dann liegen alle gemeinsam im lokalen 10.9.0.0er Produktiv Netz.
Du liegst richtig das diese Konstrukt nicht eben sehr gerade "sicher" ist, zumal du ein Fremdgerät, auf das du keinen Zugriff hast, direkt in deinem Produktivnetz hast. Bei Firmennetzen ein klares Unding was absolut inakzeptabel ist und damit eine Firewall komplett konterkariert.
Keiner macht sowas und in der Beziehung macht es absolut Sinn die Watchguard Kopplung in ein eigenes IP Segment an der Fortigate zu setzen.
Das gibt dir zusätzlich erheblich bessere Möglichkeiten den Traffic, der vom remoten Netz kommt, an der Fortigate zentral zu kontrollieren und zwar unabhängig was die Geheimniskrämer aus NL an ihrer Watchguard auch immer einstellen. Damit macht du dich aus Sicherheitssicht wieder eigenständig und kannst so unabhängig kontrollieren WAS in dein Produktivnetz darf und was eben nicht !
Es ist dann klar das dann das lokale Watchguard Interface NICHT die 10.9.0.0 /16 haben kann, das ist logisch.
Am besten ist, du setzt das um auf die IP Netzadresse wie z.B. 10.90.0.0 /24 denn ein /24 Netz reicht für die Kopplung allemal aus !
Das ist ein minimaler Eingriff in die Watchguard Konfig der in 3 Minuten erledigt ist und damit dein Netzwerk dann problemlos zum Fliegen bringt. Und das zudem noch mit erheblichen Sicherheitsvorteilen für dich und den Verbleib deiner Security Policy in deinen eigenen Händen !
Wenn du alles richtig gemacht hast sieht ein klassisches und sicheres Szenario so aus:
Nochwas zum Schluss: Es ist völliger Unsinn das man "anscheinend" eine Watchguard nicht mit einer Fortigate koppeln kann ! (Der Schein trügt immer !) Die Watchguard und die Fortigate Webseiten haben diverse Beispiele dazu. Beide Produkte sprechen IPsec mit ESP im VPN Tunnel und über diesen Standard ist eine Kopplung problemlos möglich.
Für dich allerdings ist das o.a. Szenario mit einem extra IP Segment an der Fortigate erheblich sicherer, da du dich damit unabhängig machst von evtl. Sicherheitsfehlern oder Problemen auf der NL Seite. Zudem musst du niemand Fremden so auf deine Fortigate tunneln.
Fazit: Die Security Hoheit bleibt bei dir ! Belass es also besser bei der separaten Lösung.
Zitat von @91544:
sind meine überlegungen falsch?
sind meine überlegungen falsch?
wie aqui schon dargelegt hat, sind diese im Prinzip richtig.
Die lange Diskussion mit brummer oben entstand, weil die zeichnung mißverständlich war udn ich dise daher anders als brummer interpretiert habe.
Nach Deinen weiteren Informationen interpretiere ich Dein Problem nun folgendermaßen:
Du hast Dein Netz 10.9.0.0/16 (Schweiz) unter mit der Fortigate Deiner Kontrolle und willst, daß die Holländer mit Ihrem VPN, daß sie mit Ihren watchguards machen, nur durch dir Fortigate kontrolliert in "Dein" Netz kommen.
Da sehe ich zwei Möglichkeiten.
1. Die Holländer lassen mit sich reden:
Ein Transfernetz vereinbaren und die watchguard mit der Fortigate über das Transfernetz verbinden. Das dürfte die einfachste und komfortabelste Variante sein.
2. Die watchguard muß so bleiben wie sie ist
Irgendeine kiste mit zwei NICs schnappen, BSD, Linux oder eine passenden FW-Distribution drauf, als switch konfigurieren und mit handgeschnitzten Regeln den Zugriff erlauben.
Alternativ könnte man nachschauen, ob die fortigate auch auf layer 2 arbeiten kann. Dazu kenne ich die frotigate zuwenig, um aussagen darüber treffen zu können.
Nachtrag: Ich habe mal ein Blick auf die PDFs von Fortinet bzgl. FortiOS geworfen und prinzipiell kann die fortigate auch eine "transparent bridge" sein. Das würde Dein Problem lösen.
