Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing Probleme mit Fortigate und VPN und MPLS

Frage Netzwerke

Mitglied: powerlinemk

powerlinemk (Level 1) - Jetzt verbinden

02.09.2011, aktualisiert 09:47 Uhr, 5120 Aufrufe, 13 Kommentare

Problem mit den Routen

Hallo,

ich habe folgendes Problem: Wir haben eine MPLS-Verbindung an einem Standort bekommen. An diesem Standort funktioniert das Routing durch statische Routen in einer Fortiguard Firewall auch absolut problemlos.

Nun ist es wichtig zu wissen, dass an diesem Standort per VPN ein weiterer Standort angebunden ist. Dieser hat ein 192.168.32.0/24er Netz. Der Standort an dem die MPLS Verbindung steht hat ein 10.185.0.0/16er Netz. Das Zielnetz hinter dem MPLS-Anschuß hat ein 10.172.100.0/24er Netz.

Mein Problem ist jetzt, dass ich auch Traffic aus dem 192.168.32.0er Netz über den Standort mit dem 10.185.0.0er Netz über die MPLS Leitung routen muss. (Pings direkt auf die IP und die HRSP Adresse funktionieren problemlos (10.185.254.250)

Ich habe das Problem mittlerweile soweit lokalisiert, dass ich glaube, dass die Fortigate Firewall einen Bug hat. Die eingetragenen statischen Routen tauchen nicht im Routing Monitor auf, so wie es bei der anderen Firewall am MPLS-Standort der Fall ist. Egal welche Route ich eintrage, die Firewall routet die pakete laut tracert immer ins Netz. Dort gibt es dann natürlich keine Antwort und das Routing scheitert.

Bei der Firewall handelt es sich um eine Fortigate 60b. Vielleicht kennt jemand das Problem und kann mir sagen, wie ich die Routen forcen kann?
Kann es sein, dass die Route nicht funktioniert, weil das Gateway in einem anderen Netz ist ? (10.185 statt 192.168?)

Vielen Dank für die Hilfe und weitere Tipps...
Mitglied: aqui
02.09.2011 um 09:49 Uhr
Du musst deinem MPLS Provider ebnso zwingend mitteilen das du zusätzlich zum 10.185.0.0er Netz AUCH das 192.168.32.0/24er Netz über den MPLS Router routen willst. Das muss er nachtragen in der CPE Konfig, ansonsten blockt der MPLS CPE Router den ihr vom Provider da stehen habt dieses Netzwerk bzw. ignoriert es einfach.
Ohne Provider Intervention wird es also logischerweise nicht gehen. Andernfalls suchst du dir einen Wolf. Routing Änderungen musst du deshalb immer auch dem Provider mitteilen bei MPLS.
Bitte warten ..
Mitglied: powerlinemk
02.09.2011 um 10:04 Uhr
Das ist getan. Ich kann auch aus dem 192er Netz Problemlos die Router erreichen, wenn ich Sie manuell anpringe oder trace. Jedoch muss ich zugeben, dass es etwas gedauert hat, bis ich es bemerkt und dem Provider mitgeteilt hatte .



Vielen Dank für die Hilfe
Bitte warten ..
Mitglied: aqui
02.09.2011 um 10:05 Uhr
Was meinst du mit "Router" ?? Kannst du auch die Router am anderen Ende der MPLS Wolke erreichen ?? Genau das ist doch der Punkt !
Deine Fortinet hat doch eh eine Default Route auf den Provider CPE Router...dort kann man ja nun nichtmehr viel falsch machen ! Der Knackpunkt ist also der CPE bzw. die remoten CPE Router in denen diese 192.168er Netz AUCH eingetragen werden muss !
Es betrifft alle Router in der MPLS Wolke die dieses 192.168er Netz routen müssen ! Logischerweise nicht nur das wo eure Fortinet dran ist. Pakete müssen ja auch wieder zurückkommen in das Netz ! Traceroute und Pathping zeigen dir doch genau den Hop an wo diese Route fehlt.
Bitte warten ..
Mitglied: powerlinemk
02.09.2011 um 10:29 Uhr
Ich kann aus dem 192er Netz die MPLS Router problemlso erreichen. Das Netz wurde bereits vom Provider freigeschaltet. Aus dem 192er Netz lässt sich alles hinter dem Netz nicht erreichen, das liegt aber in meinen Augen daran, dass ich nichtmal aus dem 192er Netz rauskomme!

Sobald ich ein tracert aus dem 192er Netz mit einem Zielhost mache macht er bereits den falschen Hop. Er geht garnicht in das 10.185er Netz oder an den MPLS router sondern versucht ins Internet zu routen.
Bitte warten ..
Mitglied: sk
02.09.2011 um 11:40 Uhr
Hallo,

zunächst einmal wäre es sehr vorteilhaft, eine Skizze von Netzaufbau beizufügen, damit hier nicht jeder seine eigenen Annahmen tätigt und alle aneinander vorbei reden.

Zitat von powerlinemk:
Sobald ich ein tracert aus dem 192er Netz mit einem Zielhost mache macht er bereits den falschen Hop. Er geht garnicht in das
10.185er Netz oder an den MPLS router sondern versucht ins Internet zu routen.

Ich nehme an (s.o.!), dass Du einen IPSec-Tunnel übers Internet zwischen den Standorten 192.168.32.0/24 und 10.185.0.0/16 hast. Nun willst Du zusätzlich noch durch diesen (oder einen weiteren) Tunnel eine Kommunikation zwischen 192.168.32.0/24 und 10.172.100.0/24 (über 10.185.0.0/16) realisieren, richtig? Und das hast Du - wenn ich Dich richtig verstanden habe - per statischer Route versucht (beiderseites auf dort jeweils als VPN-Endpunkt fungierenden Fortigates?). Das geht so aber nicht. Laut diesem Guide http://docs.fortinet.com/fgt/archives/3.0/techdocs/FortiGate_IPSec_VPN_ ... geht das, indem Du eine Firewallregel definierst. Die konkrete Implementierung ist zudem davon abhängig, ob Dein VPN nun policybased oder routedbased arbeitet. Arbeitet es routetbased, genügt (auf beiden Seiten) eine Firewallregel, die den Traffic auf das vorhandene Tunnelinterface leitet. Arbeitet es hingegen policybased, benötigst Du eine zusätzliche Phase2-Policy und musst diese in der Firewallregel verwenden.

Gruß
sk
Bitte warten ..
Mitglied: powerlinemk
02.09.2011 um 12:10 Uhr
Hey,

genau so will ich es machen !

Ich habs auch schon über die Routen versucht. Folgende Firewall Regeln sind momentan aktiv:

Firewall am 192.32er Netz :

Source --> Destination
192.168.32.0/24 --> 10.172.100.0/24 geht über Tunnel nach 10.185.0.0/16

Firewall am 10.185er Netz
Source --> Destination
10.172.100.0/24--> 192.168.32.0/24 über Tunnel nach 192.168.32.0/24

Reichen diese zwei Regeln?
Bitte warten ..
Mitglied: sk
02.09.2011 um 12:29 Uhr
Routebased oder policybased VPN?
Systematisch vorgehen! Pinge von 192.168.32.0/24 nach 10.172.100.0/24 und prüfe im Logfile der Firewall im 10.185er Netz, ob der Traffic wie gewünscht durch den Tunnel kommt. Wenn das funktioniert, geht es Schritt für Schritt weiter. Wo bleibt der Netzplan?

Gruß
sk
Bitte warten ..
Mitglied: powerlinemk
02.09.2011 um 12:44 Uhr
9b870d08bcf7608c5f13bd433d4e5ef2 - Klicke auf das Bild, um es zu vergrößern

Woran erkenne ich, ob es Route - oder Policybased ist?

Wo finde ich denn Logs der Firewall?

Danke für die Hilfe!
Bitte warten ..
Mitglied: aqui
02.09.2011 um 13:27 Uhr
Wenn du mit dem VPN Client per VPN verbunden bist, dann solltest du erstmal mit einem route print am Client dir die Routing Tabelle des Fortinet genau ansehen ob die 10er Netze bzw. alle Zielnetze die du via VPN und dann MPLS erreichen willst auch auf den VPN Tunnel gemappt sind. Andernfalls werden sie lokal geroutet über das LAN Interface und landen so im Nirwana.
Die Fortigate muss also diese Netze als VPN Server auch auf die remote Seite propagieren bzw. müssen sie hier ebenfalls statisch eingetragen sein, das die in den VPN Tunnel geroutet werden und NICHT lokal ! Das sieht man wie gesagt mit "route print" wenn der Client aktiv ist ! Sieh dir also zwingend dazu erstmal die Routing Tabelle von beiden Fortigates an und/oder poste die hier ggf. ! Pathping und Traceroute sind wie immer deine Freunde !!
Noch besser wäre es wenn du von allen MPLS CPE Routern ebenfalls einmal die Routing Tabelle vom Provider geemailt bekommst nach dem Motto "Vertraune ist gut, Kontrolle ist besser !"
Die Logs der Firewall findest du wie immer im GUi der Firewall oder im Syslog Buffer der Firewall.
Bitte warten ..
Mitglied: sk
02.09.2011 um 13:52 Uhr
Eigentlich solltest Du mir das sagen können und nicht umgekehrt! Ich habe selbst keine Fortigate und kann mich nur an den online verfügbaren Ressorcen (Demo-GUI, Anleitungen) orientieren.

Zitat von powerlinemk:
Woran erkenne ich, ob es Route - oder Policybased ist?

VPN-->IPSec-->AuoKey (IKE). Hier werden die Policies bereits nach Tunnel-Mode und Interface-Mode getrennt gruppiert.


Zitat von powerlinemk:
Wo finde ich denn Logs der Firewall?

Log&Report-->Log&Archiv Access-->Traffic Log. Hier ggf. noch zusätzlich benötigte Spalten einblenden.


Deine Zeichnung ist mir noch nicht ganz klar bzw. es fehlen noch Angaben.
  • Die eingezeichneten Firewalls sind jeweils Fortigates?
  • Sind diese Firewalls jeweils das Standardgateway im jeweiligen LAN?
  • Die graue Büchse am Hauptstandort symbolisiert einen Switch im LAN?
  • Wie wird das MLPS übergeben? Ist das eine reine Layer2-Verbindung? Ist das auf beiden Seiten ein Router dran und hängt dieser jeweils im LAN (also im Rücken der Firewall) oder hängt die Strecke an separaten Interfaces der Firewalls? Wer hat ggf. administrativen Zugriff auf die zusätzlichen Router?


Gruß
sk
Bitte warten ..
Mitglied: sk
02.09.2011 um 13:57 Uhr
Zitat von aqui:
Wenn du mit dem VPN Client per VPN verbunden bist, dann solltest du erstmal mit einem route print am Client nachsehen on die
10er Netze bzw. alle Zielnetze die du via VPN und dann MPLS erreichen willst auch auf den VPN Tunnel gemappt sind.

Wo siehst Du hier VPN-Clients? Das ist ein Site-to-Site-Szenario!

Gruß
sk
Bitte warten ..
Mitglied: aqui
02.09.2011 um 19:04 Uhr
...sorry sk du hast natürlich Recht. Text ist entsprechend editiert !
Bitte warten ..
Mitglied: aqui
06.09.2011 um 10:19 Uhr
@powerlinemk
Wenns das denn nun war oder du das Interesse an einer Lösung verloren hast bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 10
gelöst VPN Verbindung Probleme (7)

Frage von Yeter2 zum Thema Windows 10 ...

DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Router & Routing
gelöst VPN- Routing - Problem - Netzwer 1 kommt auf 2 aber anders herum nicht (8)

Frage von itschloegl zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (29)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...