Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie kann ich den Fortigate 60b als PPTP-VPN-Server einrichten

Frage Sicherheit Firewall

Mitglied: gonimaus

gonimaus (Level 1) - Jetzt verbinden

18.04.2009, aktualisiert 10:12 Uhr, 12225 Aufrufe, 6 Kommentare

Einrichtung ohne pass through

Hallo liebe Administratoren,

ich habe nach Anleitung von FortiGate "PPTP VPN User Guide" versucht, den Fortigate soweit zu bringen, daß er eine PPTP-VPN akzeptiert. Ich schaffe ich es nicht ohne Hilfe.

PPTP-VPN über Pass through an den Domänencontroller und SSL-VPN funktionieren.

Ich möchte aber den Fortigate als PPTP-Server verwenden!

Hier meine Grunddaten (Alle Adressen sind Dummy-Adressen):

statische IP vom Provider: 85.85.85.194 auf WAN1 (Mit Netmask 255.255.255.248 konfiguriert)
interne IP vom Fortigate: 192.168.0.100
internes Netz: 192.168.0.x
interner freier Bereich: von 192.168.0.[80-90]


So habe ich angefangen:

1. Usergruppe "PPTP-UserGroup" angelegt und User (mit Passwort) eingetragen. (unfiltered)

2. PPTP "enabled". IP Range: "192.168.0.[80-85]". Usergruppe "PPTP-UserGroup" eingetragen

3. Firewall Source Adress Name: "Ext_PPTPRange", Type: "Subnet / IP Range", Subnet / IP Range: "192.168.0.[80-85]", Interface: "WAN1"

4. Firewall Destination Adress Name: "Int_PPTPRange", Type: "Subnet / IP Range", Subnet / IP Range: "192.168.0.[86-90]" (Auch "192.168.0.[80-85]" getestet), Interface: "internal"

5. Policy hinzugefügt mit Source Interface/Zone: "WAN1", Source Address:"Ext_PPTPRange", Destination Interface/Zone:"internal", Destination Address:"Int_PPTPRange", Schedule: "always", Service:"any", Action:"ACCEPT", NAT angehakt


Wo liegt hier mein Fehler. Ich bin nicht sicher, ob die Adressbereiche stimmen. Ich habe auch schon versucht, als externe Adresse den Adressbereich des "entfernten" Netzes zu verwenden. 192.168.178.[ ]
Muß ich noch irgendwo eine Authentication-Abfrage machen?


Viele Dank für Eure Hilfe

Goni
Mitglied: aqui
18.04.2009 um 12:34 Uhr
Dein Fehler liegt vermutlich in der Firewall Definition !!

Die Firewall Source Adress Name: "Ext_PPTPRange" ist ja niemals die gleiche IP Adresse wie auch die Destination !!! Das würde ja bedeuten das Absender und Empfänger gleich wären, was bei IP ja unsinnig ist.

Bei Firewall Source Adress Name: "Ext_PPTPRange" muss also das Quellnetz hin.
Bei dir ist das dann 192.168.178.x (vermutlich ein Fritzbox Netzwerk !?)

Fortigate beschreibt das in dem von dir oben zitierten VPN PPTP HowTo auf Seite 19 leider nicht ganz genau !
Sie verwednen für die external und internal Range etwas verwirrende Beispiele.
Ggf. solltest du nicht ein Range sondern doch 2mal das gesamte Subnetz 192.168.0.0 /24 freigeben erstmal testweise !
Bedenke das dies Subnetz lokal zwingend eine 24 Bit Maske (255.255.255.0) haben muss !!!
Vermutlich sehen sie den Tunnel doch als ein Netzwerk. Andere VPN server wollen als externes IP Netz immer das remote lokale Netzwerk (192.168.178.0 /24 in deinem Fall) wissen. Fortigate scheinbar nicht und sieht nur den Tunnel selber. Dann wäre die Angabe von 192.168.0.x in beiden definitione richtig aber etwas verwirrend.
Ggf. musst du nach Trial and Error versuchen... Am besten immer mit dem gesamten Netz versuchen...
Das PPTP Howto beschreibt auch nur die Einrichtung. Zusätzlich zu den Angaben musst du natürlich noch Usernamen und Passwort definieren auf der Fortigate !
Du solltest in jedem Falle das Logging aktivieren wie im Whitepaper beschrieben und einmal mitloggen was passiert wenn du einen PPTP Zugang startest und das Log hier ggf. mal postest !

Damit sollte dann der VPN Zugang sauber funktionieren !!
Vielleicht solltest du als Alternative über ein SSL VPN nachdenken, denn dann benötigt der Client lediglich einen Browser für den Zugang, eine recht elegante VPN Lösung die Fortigate auch supportet.

Nochwas Generelles:
Man kann dir nur dringend abraten als lokales netzwerk sowas banales und allerweltliches wie 192.168.0.0 /24 zu verwenden.
Ein IP Netzwerk was jeder Billigrouter vom Blödmarkt vom Grabbeltisch verwendet.
Wie du ja sicher selber weisst müssen bei VPN Netzen Sender und Empfänger zwingend in unterschiedlichen Netzen liegen !!!
Es wird schneller als du denkst der Tag kommen, da ein Externer auch genau diese IP Netz Adresse hat und nix is mit VPN oder du musst immer und immer wieder eine Umstellung machen... !!!

Um das sicher zu verhindern solltest du besser dein lokales Netz auf etwas krummes einrichten wie z.B.:
172.27.44.0 /24 oder 172.19.147.0 /24 oder 192.168.247.0 /24 oder oder...
Das verringert die Chance eine Netzdopplung bei VPN ganz entscheidend und verschafft dir Planungssicherheit !!!
Der RFC 1918 hat ja außer den 192.168er Netzen noch 172.16-32 und das ganze 10er Netz für private Netze zur Auswahl !!
Bitte warten ..
Mitglied: gonimaus
19.04.2009 um 09:10 Uhr
Vielen Dank für die vielen Ideen und Tips.

Leider klappen auch diese Einstellungen nicht. Diese hatte ich auch schon getestet. Außerdem habe ich als externe Adresse mal die 85.85.85.194 eingetragen. Dann habe ich auch schon mal alle Einstellungen "gedreht" (Man weiß ja nie).
Daß ich Extern und Intern das gleiche Netz angegeben habe, liegt daran, daß das der letzte "verzweifelte" Test von vielen war, bevor die ich die Frage gestellt habe. Daß das nicht stimmen konnte, war mir "einigermaßen" bekannt, wenn ich auch nicht der Netz-Profi bin.

"SSL-VPN" und "PPTP pass through" habe ich auch hinbekommen.

Was könnte noch falsch sein? Welche Werte müssen wo hinein? Was habe ich vergessen?

Vielen Dank für die Hilfe

Goni
Bitte warten ..
Mitglied: aqui
19.04.2009 um 20:59 Uhr
Eigentlich hast du alles laut Handbuch richtig gemacht !!
Gibt es ein Log in der Fortigate was du auslesen kannst ???

Ansonsten hilft halt nur die Fortinet Hotline in FFM:

Wöhlerstrasse 5
60323 Frankfurt am Main
Germany
Tel: +49-69 710 423 535
Fax: +49 69 710 423 200
Bitte warten ..
Mitglied: harald21
20.04.2009 um 07:57 Uhr
Hallo,

bei Fortigate ist es durchaus möglich für die PPTP-User einen Range des internern Subnetzes zu reservieren. Die oben gemachten Angaben sehen soweit eigentlich ganz gut aus, nur in der Policy muß das Häckchen bei NAT weg. Das ist definitiv überflüssig.

mfg
Harald
Bitte warten ..
Mitglied: gonimaus
21.04.2009 um 21:04 Uhr
Hallo miteinander,

vielen Dank für Eure Hilfe,

Die LÖSUNG!

Ich hatte zuvor die PPTP-VPN über pass through gelöst. Dabei wird eine Virtual IP für den PPTP-Port (1723) angelegt.
Ich dachte, wenn ich in den Policy die Regel für den VPN-Zugang für pass through abschalte (Haken herausnehme), reicht das.
Das ist aber nicht so. Es muß die gesamte Regel inklusive der Virtual IP für den Port 1723 gelöscht werden.

Kaum war die Virtual IP gelöscht, schon funktionierte die FGT als PPTP-Server.

Vielen Dank an den Support aus dem Hause Fortigate.

mfg
Goni
Bitte warten ..
Mitglied: aqui
22.04.2009 um 16:33 Uhr
...und Dank an dich für das Feedback hier !!!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerke
Open VPN Server am LINKSYS LRT214 korrekt einrichten (1)

Frage von Thomas866 zum Thema Netzwerke ...

Windows Netzwerk
PPTP-VPN Abbruch nach 20 Sekunden (13)

Frage von Otomombe zum Thema Windows Netzwerk ...

Linux Netzwerk
VPN Server mit Drosselung Linux Debian basiert (4)

Frage von Niklas434 zum Thema Linux Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...