Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

IPsec-VPN zwischen Fortigate 80c und 50c mit geraden und ungeraden IP-Adressen

Frage Sicherheit Firewall

Mitglied: dropmasta

dropmasta (Level 1) - Jetzt verbinden

11.11.2010 um 18:45 Uhr, 8997 Aufrufe, 6 Kommentare

Liebe Forenmitglieder!

Ich habe ein nicht nachvollziehbares Problem mit einer IPsec-VPN-Verbindung zwischen zwei Standorten mittels einer Fortigate 80c und einer Fortigate 50c.

Folgende 2 Netze möchte ich über ein SDSL-Internet verbinden:

Netz 1: 192.168.0.0 <-> Netz 2. 192.168.1.0

Die Verbindung habe ich wie in der Fortigate-Knowledgebase beschrieben hergestellt und aktiviert. Laut Fortigate-Webconfig ist die Verbindung hergestellt aber leider kann ich nur von einem Computer mit ungerader IP-Adresse (z.B. 192.168.0.17) einen Computer im anderen Netz anpingen (z.B. 192.168.1.2). Bei einer geraden IP (z.B. 192.168.0.16) komme ich nicht ins andere Netz.

Umgekehrt (192.168.1.0) -> 192.168.0.0) funktioniert es seltsamerweise mit jeder IP-Adresse.

Ich habe auch keine sonstigen speziellen Firewall-Richtlinien etc. vergeben, die eine solches Verhalten erkären würden.

Wäre schön wenn mir jemand einen Tip geben könnte!

Schöne Grüße!
Mitglied: aqui
11.11.2010 um 18:58 Uhr
Wenn du die Firewall auf der Fortigate wirklich sicher ausschliessen kannst, dann ist es wie immer vermutlich die lokale Firewall.
Bedenke das du aus einem fremden IP Netz kommst ! Lokale Firewalls blocken soclhe Zugriffe in der Regel immer !
Folgendes solltest du prüfen:
  • ICMP erlauben (Ping). In den erweiterten Eigenschaften -> ICMP checken ob der Haken "Auch eingehende Echos antworten" gesetzt ist !
  • Dienste wie CIFS Sharing, RDP usw. ggf. für den jeweiligen remoten IP Bereich freigeben oder den "Schrotschuss" Button "Alle Computer inkl. Internet" anklicken !
  • Prüfen ob nicht irgendwelche anderen lokalen Firewalls ala Zone Alarm, Kaspersky etc. ihr Unwesen treiben
Ist das überprüft und kannst du das sicher ausschliessen ists doch die Fortigate Firewall.
Dann mit Traceroute, Pathping und Wireshark Schritt für Schritt suchen...
Bitte warten ..
Mitglied: harald21
12.11.2010 um 07:47 Uhr
Hallo,

bitte beantworte zuerst zwei Fragen:
1. Welche Firmware haben deine Fortigates?
2. Hast du den IPSec-Tunnel im Interface-Mode oder im Tunnel-Mode hergstellt?

mfg
Harald
Bitte warten ..
Mitglied: dropmasta
12.11.2010 um 11:50 Uhr
Hallo,

Danke für die Antworten!

Firmware: v4.0,build0192,091222 (MR1 Patch 2)
Operation Mode: NAT (Tunnel-Modus)

Fremde Firewalls kann ich absolut ausschließen. Hab die Fortigate vom Gesamtnetz getrennt und einen Client direkt an der Lan-Schnittstelle angeschlossen. Die Windows-Firewall am Client ist deaktivert. Trotzdem das gleiche Bild:

Client-Adresse: 192.168.0.18 -> kein Ping/Verbindung
Client-Adresse: 192.168.0.19 -> Ping und RDP funktionieren
Client-Adresse: 192.168.0.20 -> kein Ping/Verbindung

Einzige aktive Firewall-Richtlinie:

Source: Netz 1 (192.168.0.0 / 255.255.255.0)
Destination: Netz 2 (192.168.1.0 / 255.255.255.0)
Schedule: always
Service: any
Action: encrypt

Der VPN-Monitor zeigt an: "Bring down" also sollte die Verbindung aktiv sein. Die Fortigates sind beide neu und es wurden keine sonstigen Einstellungen vorgenommen.

Schöne Grüße!
Bitte warten ..
Mitglied: harald21
12.11.2010 um 12:04 Uhr
Hallo,

ich nehme an, das beide Fortigates die gleiche Firmware haben?
FortiOS 4.0 MR1patch2 ist nicht besonders stabil, du solltest hier auf FOS 4.0 MR1patch8 updaten.

Sind in der Phase2 Einschränkungen bzgl Source- und Destination-IP hinterlegt? Bitte beide Fortigates überprüfen

mfg
Harald
Bitte warten ..
Mitglied: dropmasta
12.11.2010 um 13:06 Uhr
Hallo Harald,

Hab jetzt beide Fortigates (80c und 50B) auf die Firmware v4.0,build0209,100929 (MR1 Patch 8) upgedated. Leider immer noch die gleiche Situation.

Die Einstellungen in der Phase zwei sehen folgendermaßen aus:

Fortigate 80c:

1-Encryption: 3DS Authentication: SHA1
2-Encryption: AES128 Authentication: SHA1

Enable replay detection: on
Enable perfect forward secrecy(PFS): on
DH Group: 5
Keylife: Seconds 1800
Auto Keep Alive: off

Quick Mode Selector:
Source address: 192.168.0.0/24
Source port: 0
Destination address: 192.168.1.0/24
Destination port: 0
Protocol: 0



Fortigate 50b:

1-Encryption: 3DS Authentication: SHA1
2-Encryption: AES128 Authentication: SHA1

Enable replay detection: on
Enable perfect forward secrecy(PFS): on
DH Group: 5
Keylife: Seconds 1800
Auto Keep Alive: off

Quick Mode Selector:
Source address: 192.168.1.0/24
Source port: 0
Destination address: 192.168.0.0/24
Destination port: 0
Protocol: 0

Schöne Grüße
Bitte warten ..
Mitglied: dropmasta
12.11.2010 um 17:51 Uhr
Ein Mitglied im Fortigate-Forum hat mir empfohlen den VPN-Modus "Route-Mode" zu verwenden.
Auf diese Weise funktioniert die Verbindung mit jeder IP-Adresse.

Schöne Grüße!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Fortigate ipsec
Frage von meister00Router & Routing5 Kommentare

hallo, ich habe folgendes Problem. ich möchte von einem aussenstandort einen Server in unsere Domäne einbinden. habe mit 2 ...

Firewall
Fortigate 80c - Antivirus in Routed Mode?
Frage von santhraxxFirewall1 Kommentar

Hallo zusammen, ich habe das Netzwerks eines Kunden übernommen, welcher eine Fortigate 80c einsetzt. Diese soll aufgrund von AntiVirus ...

Batch & Shell
Dateien mit Zahlen im Dateinamen - ungerade oder gerade verschieben
gelöst Frage von flohhausBatch & Shell10 Kommentare

Hallo, ich habe eine Frage: die Ausgangssituation: im Ordner <Alle> sind alle Bilder mit hochgezählten Dateinamen : img000001.jpg, img000002.jpg, ...

Firewall
Externe IP Adressen herausfinden mit Fortigate 40C
gelöst Frage von ImTrainingFirewall9 Kommentare

Hallo, Ist es möglich mit meiner Fortigate 40C herauszufinden welche Externen IP Adressen schon belegt sind und welche nicht? ...

Neue Wissensbeiträge
Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 4 StundenLinux12 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 2 TagenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Heiß diskutierte Inhalte
Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux12 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Windows 10
Alle Programme mit bestimmtem Namen automatisch (per GPO) deinstallieren
gelöst Frage von lordofremixesWindows 1012 Kommentare

Hallo zusammen, gibt es eine Möglichkeit, alle Programme beginnend mit z.B. "Dell" im Namen per Script und somit per ...