Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

IPsec-VPN zwischen Fortigate 80c und 50c mit geraden und ungeraden IP-Adressen

Frage Sicherheit Firewall

Mitglied: dropmasta

dropmasta (Level 1) - Jetzt verbinden

11.11.2010 um 18:45 Uhr, 8888 Aufrufe, 6 Kommentare

Liebe Forenmitglieder!

Ich habe ein nicht nachvollziehbares Problem mit einer IPsec-VPN-Verbindung zwischen zwei Standorten mittels einer Fortigate 80c und einer Fortigate 50c.

Folgende 2 Netze möchte ich über ein SDSL-Internet verbinden:

Netz 1: 192.168.0.0 <-> Netz 2. 192.168.1.0

Die Verbindung habe ich wie in der Fortigate-Knowledgebase beschrieben hergestellt und aktiviert. Laut Fortigate-Webconfig ist die Verbindung hergestellt aber leider kann ich nur von einem Computer mit ungerader IP-Adresse (z.B. 192.168.0.17) einen Computer im anderen Netz anpingen (z.B. 192.168.1.2). Bei einer geraden IP (z.B. 192.168.0.16) komme ich nicht ins andere Netz.

Umgekehrt (192.168.1.0) -> 192.168.0.0) funktioniert es seltsamerweise mit jeder IP-Adresse.

Ich habe auch keine sonstigen speziellen Firewall-Richtlinien etc. vergeben, die eine solches Verhalten erkären würden.

Wäre schön wenn mir jemand einen Tip geben könnte!

Schöne Grüße!
Mitglied: aqui
11.11.2010 um 18:58 Uhr
Wenn du die Firewall auf der Fortigate wirklich sicher ausschliessen kannst, dann ist es wie immer vermutlich die lokale Firewall.
Bedenke das du aus einem fremden IP Netz kommst ! Lokale Firewalls blocken soclhe Zugriffe in der Regel immer !
Folgendes solltest du prüfen:
  • ICMP erlauben (Ping). In den erweiterten Eigenschaften -> ICMP checken ob der Haken "Auch eingehende Echos antworten" gesetzt ist !
  • Dienste wie CIFS Sharing, RDP usw. ggf. für den jeweiligen remoten IP Bereich freigeben oder den "Schrotschuss" Button "Alle Computer inkl. Internet" anklicken !
  • Prüfen ob nicht irgendwelche anderen lokalen Firewalls ala Zone Alarm, Kaspersky etc. ihr Unwesen treiben
Ist das überprüft und kannst du das sicher ausschliessen ists doch die Fortigate Firewall.
Dann mit Traceroute, Pathping und Wireshark Schritt für Schritt suchen...
Bitte warten ..
Mitglied: harald21
12.11.2010 um 07:47 Uhr
Hallo,

bitte beantworte zuerst zwei Fragen:
1. Welche Firmware haben deine Fortigates?
2. Hast du den IPSec-Tunnel im Interface-Mode oder im Tunnel-Mode hergstellt?

mfg
Harald
Bitte warten ..
Mitglied: dropmasta
12.11.2010 um 11:50 Uhr
Hallo,

Danke für die Antworten!

Firmware: v4.0,build0192,091222 (MR1 Patch 2)
Operation Mode: NAT (Tunnel-Modus)

Fremde Firewalls kann ich absolut ausschließen. Hab die Fortigate vom Gesamtnetz getrennt und einen Client direkt an der Lan-Schnittstelle angeschlossen. Die Windows-Firewall am Client ist deaktivert. Trotzdem das gleiche Bild:

Client-Adresse: 192.168.0.18 -> kein Ping/Verbindung
Client-Adresse: 192.168.0.19 -> Ping und RDP funktionieren
Client-Adresse: 192.168.0.20 -> kein Ping/Verbindung

Einzige aktive Firewall-Richtlinie:

Source: Netz 1 (192.168.0.0 / 255.255.255.0)
Destination: Netz 2 (192.168.1.0 / 255.255.255.0)
Schedule: always
Service: any
Action: encrypt

Der VPN-Monitor zeigt an: "Bring down" also sollte die Verbindung aktiv sein. Die Fortigates sind beide neu und es wurden keine sonstigen Einstellungen vorgenommen.

Schöne Grüße!
Bitte warten ..
Mitglied: harald21
12.11.2010 um 12:04 Uhr
Hallo,

ich nehme an, das beide Fortigates die gleiche Firmware haben?
FortiOS 4.0 MR1patch2 ist nicht besonders stabil, du solltest hier auf FOS 4.0 MR1patch8 updaten.

Sind in der Phase2 Einschränkungen bzgl Source- und Destination-IP hinterlegt? Bitte beide Fortigates überprüfen

mfg
Harald
Bitte warten ..
Mitglied: dropmasta
12.11.2010 um 13:06 Uhr
Hallo Harald,

Hab jetzt beide Fortigates (80c und 50B) auf die Firmware v4.0,build0209,100929 (MR1 Patch 8) upgedated. Leider immer noch die gleiche Situation.

Die Einstellungen in der Phase zwei sehen folgendermaßen aus:

Fortigate 80c:

1-Encryption: 3DS Authentication: SHA1
2-Encryption: AES128 Authentication: SHA1

Enable replay detection: on
Enable perfect forward secrecy(PFS): on
DH Group: 5
Keylife: Seconds 1800
Auto Keep Alive: off

Quick Mode Selector:
Source address: 192.168.0.0/24
Source port: 0
Destination address: 192.168.1.0/24
Destination port: 0
Protocol: 0



Fortigate 50b:

1-Encryption: 3DS Authentication: SHA1
2-Encryption: AES128 Authentication: SHA1

Enable replay detection: on
Enable perfect forward secrecy(PFS): on
DH Group: 5
Keylife: Seconds 1800
Auto Keep Alive: off

Quick Mode Selector:
Source address: 192.168.1.0/24
Source port: 0
Destination address: 192.168.0.0/24
Destination port: 0
Protocol: 0

Schöne Grüße
Bitte warten ..
Mitglied: dropmasta
12.11.2010 um 17:51 Uhr
Ein Mitglied im Fortigate-Forum hat mir empfohlen den VPN-Modus "Route-Mode" zu verwenden.
Auf diese Weise funktioniert die Verbindung mit jeder IP-Adresse.

Schöne Grüße!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

Linux Netzwerk
Host-to-Site VPN zwischen Openswan und Fritzboxen (2)

Frage von ThePcSwagTogether zum Thema Linux Netzwerk ...

Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...