Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fortigate 60C - Datenverkehr zu bestimmten Adressen über WAN2 leiten

Frage Netzwerke Router & Routing

Mitglied: temuco

temuco (Level 1) - Jetzt verbinden

21.05.2013, aktualisiert 22.05.2013, 6017 Aufrufe, 15 Kommentare, 1 Danke

Hallo!

Wir haben eine Fortigate 60C, die über WAN1 sich über ein DSL-Modem ins Internet einwählt. Funktioniert auch seit Jahren problemlos, auch wenn die Verbindung etwas schmal dimensioniert ist.

Nun soll der firmeneigene Exchange-Server aufgegeben und statt dessen die gesamte E-Mail-Kiste in die Cloud zu einem externen Provider portiert/umgezogen werden. Dazu reicht aber die Bandbreite nicht, so dass ein bestehendes CompanyConnect für SAP von 2 auf 5 Mbit in beiden Richtungen aufgerüstet wurde.

Die Telekom hat einen Cisco-Router (800 Series) an ihr Modem angeschlossen. Laut Telekom ist der Router auf "Durchzug" geschaltet und er hat einen Adressbereich von 6 IP-Adressen: xxx.xxx.xxx.1 bis xxx.xxx.xxx.6. – An diesen Router kommen wir nicht heran (Black-Box von der Telekom). Er hat die IP-Adresse .1

Ein zweiter Cisco-Router (1800 Series), der ausschließlich für SAP konfiguriert ist, hat die IP-Adresse .2, so dass 3 bis 6 noch frei sind. An diesen Router kommen wir auch nicht heran, da er vom SAP-Dienstleister verwaltet wird.

Nun zum eigenen Problem:

Wir haben eine Adresse erhalten, sagen wir "email.dienstleister.tld", die über die CompanyConnect-Leitung geroutet werden sollte. Nun würde ich gerne wissen, wie ich das mit der Fortigate am besten realisiere. Folgendes habe ich bisher eingestellt:

WAN2
Addressing mode: manual
IP/Netmask: xxx.xxx.xxx.3/255.255.255.255

Policy internal -> WAN1
Source: Internes_Netzwerk
Destination: E-Mail-Dienstleister
Service: ANY
Action: DENY

Damit will ich auf jeden Fall vermeiden, dass diese Adresse über WAN1 bedient wird.

Policy internal -> WAN2

Source: Internes_Netzwerk
Destination: E-Mail-Dienstleister
Service: ANY
Action: ACCEPT

Natürlich sind die Adressen "Internes_Netzwerk" und "E-Mail-Dienstleister" im Bereich Address->Address bzw. Address->Group angelegt.

Reicht das oder habe ich was vergessen oder gar ganz falsch gemacht? Ich frage deswegen, da ich heute genau das über Fernwartung versucht habe, allerdings erfolglos. Ein Kollege versicherte mir telefonisch, dass WAN2 mit dem Cisco-Router der Telekom verbunden sei, so dass man ihn eigentlich erreichen sollte.

Eigentlich sollte die Fortigate anhand der Policies wissen, dass der Datenverkehr zu dem E-Mail-Dienstleister über WAN1 verboten ist und b) nur über WAN2 erfolgen sollte.

Hier ein vereinfachtes Schaubild der jetzigen Konstelation:

215de3df1bea508ed5a9bb8f3f904de0 - Klicke auf das Bild, um es zu vergrößern

Es wäre toll, wenn jemand sich meinen Beitrag kurz anschaut und mir sagen könnte, ob es so funktionieren kann, bevor ich weiter forsche oder die Verkabelung überprüfen lasse.

Im Voraus herzlichen Dank!

temuco
Mitglied: djfflow
22.05.2013 um 09:15 Uhr
Hallo,

ich vermute du musst ncoh eine Route einrichten, sodass die Adressen zu E-Mail-Dienstleister über WAN2 gehen.
Allein durch die Policy weiß die Fortigate ja noch nicht wo E-Mail-Dienstleister zu erreichen ist.
Bitte warten ..
Mitglied: temuco
22.05.2013 um 10:21 Uhr
Zitat von djfflow:
Hallo,

ich vermute du musst ncoh eine Route einrichten, sodass die Adressen zu E-Mail-Dienstleister über WAN2 gehen.
Allein durch die Policy weiß die Fortigate ja noch nicht wo E-Mail-Dienstleister zu erreichen ist.

Herzlichen Dank! Routen kann ich aber nur auf IP-Ebene vergeben und vom Dienstleister haben wir nur eine FQDN, deren IP-Adresse sich ändern kann. OK, ich versuche es mit der jetzt gültigen IP-Adresse. Wenn diese sich später ändert, dann hat man eben keine E-Mails mehr, solange die Route nicht angepasst wurde...

Was mich aber wundert, ist die Tatsache, dass die Fortigate nicht auf Pinganfragen auf WAN2 antwortet – auf WAN1 ja.
Bitte warten ..
Mitglied: kontext
22.05.2013, aktualisiert 19.05.2016
Zitat von temuco:
> Zitat von djfflow:
Was mich aber wundert, ist die Tatsache, dass die Fortigate nicht auf Pinganfragen auf WAN2 antwortet – auf WAN1 ja.

Hast du den PING auf WAN2 freigeschaltet?
Das kann man, wenn ich mich richtig erinnere, direkt beim Interface machen ...

Gruß
kontext
Bitte warten ..
Mitglied: temuco
22.05.2013, aktualisiert um 10:32 Uhr
Zitat von kontext:
Hast du den PING auf WAN2 freigeschaltet?
Das kann man, wenn ich mich richtig erinnere, direkt beim Interface machen ...

Eigentlich schon, aber ich schaue gerne nochmals nach.

Edit: Ja, freigeschaltet.

Ich habe hier (auch im Eingangsposting) eine kleine vereinfachte Skizze des jetziges Netzwerkaufbaus:

215de3df1bea508ed5a9bb8f3f904de0 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Dirmhirn
22.05.2013 um 12:33 Uhr
Hi!

IP/Netmask: xxx.xxx.xxx.3/255.255.255.255
die Netmask ist falsch, so sitzt die IP ja alleine im Subnetz.

sg Dirm
Bitte warten ..
Mitglied: temuco
22.05.2013 um 12:58 Uhr
Zitat von Dirmhirn:
Hi!

IP/Netmask: xxx.xxx.xxx.3/255.255.255.255
die Netmask ist falsch, so sitzt die IP ja alleine im Subnetz.

Das ist ja die IP-Adresse des Interfaces – die von WAN2. Ich bin immer still davon ausgegangen, dass diese die Maske 255.255.255.255 haben muss. Nun habe ich testhalber die Maske 255.255.255.248 verwendet, ändert sich aber nichts.
Bitte warten ..
Mitglied: Dirmhirn
22.05.2013 um 13:09 Uhr
kannst du die .3 nicht mal Pingen? kann dein Kollege sich einmal direkt anhängen und pingen?
kannst du die .1 an dem Laborswitch pingen?

btw. hast du in der Skizze eh eine falsche IP hingeschrieben
Bitte warten ..
Mitglied: temuco
22.05.2013 um 13:18 Uhr
Zitat von Dirmhirn:
kannst du die .3 nicht mal Pingen? kann dein Kollege sich einmal direkt anhängen und pingen?

Der Kollege kann das leider nicht. Ich werde daher morgen hinfahren, um es selbst zu machen.

Zitat von Dirmhirn:
kannst du die .1 an dem Laborswitch pingen?

Ja. Der Telekom-Router antwortet darauf.

Zitat von Dirmhirn:
btw. hast du in der Skizze eh eine falsche IP hingeschrieben

Welche?
Bitte warten ..
Mitglied: Dirmhirn
22.05.2013 um 14:45 Uhr
> Zitat von Dirmhirn:
> ----
> btw. hast du in der Skizze eh eine falsche IP hingeschrieben

Welche?

eure externe, weil du sie im Post ausgeixt hast.

du musst eine Route einrichten, so werden die Pakete einfach blockiert - der Client sendet sie ja ans Std-Gateway.

btw. was sagen eigentlich die Logs?
werden die Pakete geblockt? oder kommen sie gar nie an der FGT an? du kannst bei den Rules auch angeben, dass sie geloggt werden.

sg Dirm
Bitte warten ..
Mitglied: exchange
23.05.2013 um 22:11 Uhr
Hallo,
also mit der .255er Maske wird das nichts.
von .1 bis .6 nutzbarer IP Raum ist eine 29 Bit Maske und die hat die Maske von 255.255.255.248.

Was hat denn der DNS Name "email.dienstleister.tld" für eine IP Adresse? Für diese IP Adresse musst Du ein Routing einstellen. Dort darfst Du dann auch deine .255 Maske benutzen

Policys testweise erstmal auf Any Any Accept.

Kann ja sein, dass ich schon zu Müde bin aber die Skizze verstehe ich ganz. Ist auf der LWL Strecke ein VLAN oder hast Du gnadenlos alles auf der Leitung? Was ist dein eigentliches LAN Netz?

Im Grunde hast Du doch 2 WAN Leitungen und eine, ich vermute, VPN Strecke für dein SAP. Die WAN Leitungen auf WAN1 und WAN2 . Den SAP Router kannst Du an die Company Connect direkt dran hängen. Dann einen Port von dem Router direkt auf die FG. Auf der 60C kannst Du den Switch auftrennen und jeden Port getrennt konfigurieren.

Gruß
Bitte warten ..
Mitglied: temuco
24.05.2013 um 13:00 Uhr
Danke! Komme erst jetzt dazu, dir zur antworten.

Ich habe folgende Einstellungen vorgenommen:

WAN2
IP/Netmask: 80.149.94.3/255.255.255.248

Statische Route
aaa.bbb.ccc.ddd/255.255.255.255 wobei diese die Adresse des Dienstleisters ist ("email.dienstleister.tld"). Ich darf sie leider nicht weitergeben, sonst bekomme ich Ärger.

Internal->WAN1
Firewall-Policy testhalber alles auf ACDCEPT.

Internal->WAN2
Firewall-Policy testhalber alles auf ACDCEPT.

Nun kann ich jetzt die FG60C anpingen (80.149.94.3), nicht jedoch den CISCO-Router (80.149.94.1) - Nach Durchsicht der Logs konnte ich auch nichts finden.

Kann ja sein, dass ich schon zu Müde bin aber die Skizze verstehe
ich ganz. Ist auf der LWL Strecke ein VLAN oder hast Du gnadenlos
alles auf der Leitung? Was ist dein eigentliches LAN Netz?

Keine virtuelle LANs. Zunächst ging es nur darum, den Zugriff auf SAP über den SAP-Router (ist über VPN mit dem SAP-Dienstleister verbunden), den Telekom-Router (stellte die Telekom als Black-Box zur Verfügung) und das Modem für das CompanyConnect zu ermöglichen. Dazu wird über DHCP einfach eine Route an die Clients verteilt.

Nun soll jetzt das CompanyConnect zuusätzlich für die Clud basierende E-Mail-Lösung mit verwendet werden.

Im Grunde hast Du doch 2 WAN Leitungen und eine, ich vermute, VPN
Strecke für dein SAP.

Ja, richtig. Siehe vorigen Text.

Die WAN Leitungen auf WAN1 und WAN2 . Den SAP Router
kannst Du an die Company Connect direkt dran hängen.
Dann einen Port von dem Router direkt auf die FG. Auf der 60C
kannst Du den Switch auftrennen und jeden Port getrennt
konfigurieren.

Kann ich alles nicht:

SAP-Router: Stellt der SAP-Dienstleister zur Verfügung und darf für sonst nichts zusätzlich verwendet werden. Nur ein Port ist aktiv, während die anderen abgeschaltet wurden. Wir haben nicht einmal einen Zugang zu diesem Gerät, um ihn eventuell umkonfigurieren zu können. Auch richtig, wenn der SAP-Dienstleister für Datenschutz und -integrität haftet.

Telekom-Router: Auch dieser ist kastriert. Nur ein Port ist freigeschaltet, während die anderen alle gesperrt wurden. Zugang zum Gerät rückt die Telekom nicht raus, so dass es ebenfalls als Black-Box anzusehen ist. Wir wissen nur den Adressbereich (die bereits beschriebenen 6 Adressen) und dass er auf "Durchzug" geschaltet ist. Wozu dann ein Router? Das weiß sicher die Telekom.

Das DSL-Modem hat zwei LAN-Schnittstellen, aber wie du schon vermuten wirst, nur eine ist aktiv!

Daher die Mimik über den kleinen 8-Port-Switch.

Das alles, um für Klarheit zu sorgen.

Nun weiß ich jetzt aber langsam nicht weiter. Ich erreiche über WAN2 den Telekom-Router nicht. SSchalte ich WAN2 und stelle ich den ursprünglichen Zustand wieder her, kann ich ihn anpingen. Also die Verkabelung ist OK, meine Konfiguration jedoch nicht. Daher freue ich mich über jede Hilfe.

Nochmals vielen Dank!

temuco
Bitte warten ..
Mitglied: temuco
04.06.2013 um 22:19 Uhr
Ich greife das Thema nach einer aus privaten Gründen bedingten Pause wieder auf, denn es gelingt mir einfach nicht, den Datenverkehr zu einer bestimmten Adresse über WAN2 zu leiten. Daher brauche ich unbedingt eure Hilfe.

Was ich bisher eingestellt habe:

IP/Mask WAN2: 80.149.94.3/255.255.255.248

Ich kann sowohl den Telekom-Router (80.149.94.1) wie auch WAN2 der FG (80.149.94.3) anpingen – die sind also erreichbar.

Ich habe es mit einer statischen und einer "Policy" Route versucht:

Statische Route:

Destination IP/Mask: E-Mail-Dienstleister/255.255.255.255
Device: wan2
Gateway: 80.149.94.1
Distance: 10
Priority: 0

Policy-Route:

If incoming traffic matches:
Protocol: 0
Incoming interface: internal
Source address / mask: 192.168.1.0/255.255.255.0
Destination address / mask: E-Mail-Dienstleister/255.255.255.255
Destination Ports From: 1 To: 65535
Type of Service bit pattern: 00 (hex) bit mask: 00 (hex)
Force traffic to:
Outgoing interface: wan2
Gateway Address: 80.149.94.1

Folgende Firewall-Regeln sind angelegt:

Policy internal -> WAN1
Source: 192.168.1.0/255.255.255.0
Destination:0.0.0.0/0.0.0.0
Service: ANY
Action: ACCEPT

Policy internal -> WAN2
Source: 192.168.1.0/255.255.255.0
Destination: E-Mail-Dienstleister
Service: ANY
Action: ACCEPT

Trotzdem geht der Datenverkehr über WAN1 raus, wenn ich die Adresse des E-Mail-Dienstleisters angebe.

Irgendwie stehe ich auf dem Schlauch und benötige eure Hilfe. Was muss ich noch einstellen, damit der Datenverkehr zum E-Mail-Dienstleister über WAN2 rausgeht?

Herzlichen Dank!

temuco
Bitte warten ..
Mitglied: Dirmhirn
11.06.2013 um 17:40 Uhr
Hi!

funktioniert's schon?

hast du schon mal das logging aktiviert bei den Policies? greifen die?
lösen die Clients die IP richtig auf?

sg Dirm
Bitte warten ..
Mitglied: temuco
12.06.2013 um 11:42 Uhr
Ich konnte erst am Sonntag wieder ran. Ich habe alle vorgenommenen Einstellungen gelöscht und diese wieder eingepflegt und plötzlich ging es. Woran es lag, dass es früher nicht lief, mag ich nicht sagen. Was habe ich gemacht? Das, was ich bereits beschrieben habe!

Was ich nicht verstehe, ist die Tatsache, dass zur statischen Route (ich will den ganzen Datenverkehr zu einer bestimmten Adresse über WAN2 leiten), noch eine Policy-Route notwendig ist, die alles mit einschließt. Ich bin immer davon ausgegangen, wenn ich alles über WAN2 will, dass die statische ausreichend ist.

Nun funktioniert es jetzt, so wie ich es mir immer vorstellte.

An dieser Stelle herzlichen Dank an alle, die mir bei der Lösungsfindung geholfen haben!

Herzliche Grüße

temuco
Bitte warten ..
Mitglied: kontext
12.06.2013, aktualisiert 19.05.2016
Hallo temuco,

naja ab und zu sieht man den Wald vor lauter Bäumen nicht ...
... das kann ein kleiner Konfigurationsfehler gewesen sein
... ein vergessener Haken oder ein Haken zuviel und nichts funktioniert mehr

Da ist es ab und zu besser, so wie du es jetzt gemacht hast, alles zurück auf Anfang und nochmals beginnen.

Bitte nun auch noch die Frage als gelöst markieren (http://www.administrator.de/faq/32) und alle sind glücklich

Gruß
kontext
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (17)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...