powerlinemk
Goto Top

Routing Probleme mit Fortigate und VPN und MPLS

Problem mit den Routen

Hallo,

ich habe folgendes Problem: Wir haben eine MPLS-Verbindung an einem Standort bekommen. An diesem Standort funktioniert das Routing durch statische Routen in einer Fortiguard Firewall auch absolut problemlos.

Nun ist es wichtig zu wissen, dass an diesem Standort per VPN ein weiterer Standort angebunden ist. Dieser hat ein 192.168.32.0/24er Netz. Der Standort an dem die MPLS Verbindung steht hat ein 10.185.0.0/16er Netz. Das Zielnetz hinter dem MPLS-Anschuß hat ein 10.172.100.0/24er Netz.

Mein Problem ist jetzt, dass ich auch Traffic aus dem 192.168.32.0er Netz über den Standort mit dem 10.185.0.0er Netz über die MPLS Leitung routen muss. (Pings direkt auf die IP und die HRSP Adresse funktionieren problemlos (10.185.254.250)

Ich habe das Problem mittlerweile soweit lokalisiert, dass ich glaube, dass die Fortigate Firewall einen Bug hat. Die eingetragenen statischen Routen tauchen nicht im Routing Monitor auf, so wie es bei der anderen Firewall am MPLS-Standort der Fall ist. Egal welche Route ich eintrage, die Firewall routet die pakete laut tracert immer ins Netz. Dort gibt es dann natürlich keine Antwort und das Routing scheitert.

Bei der Firewall handelt es sich um eine Fortigate 60b. Vielleicht kennt jemand das Problem und kann mir sagen, wie ich die Routen forcen kann?
Kann es sein, dass die Route nicht funktioniert, weil das Gateway in einem anderen Netz ist ? (10.185 statt 192.168?)

Vielen Dank für die Hilfe und weitere Tipps...

Content-Key: 172473

Url: https://administrator.de/contentid/172473

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 02.09.2011 um 09:49:02 Uhr
Goto Top
Du musst deinem MPLS Provider ebnso zwingend mitteilen das du zusätzlich zum 10.185.0.0er Netz AUCH das 192.168.32.0/24er Netz über den MPLS Router routen willst. Das muss er nachtragen in der CPE Konfig, ansonsten blockt der MPLS CPE Router den ihr vom Provider da stehen habt dieses Netzwerk bzw. ignoriert es einfach.
Ohne Provider Intervention wird es also logischerweise nicht gehen. Andernfalls suchst du dir einen Wolf. Routing Änderungen musst du deshalb immer auch dem Provider mitteilen bei MPLS.
Mitglied: powerlinemk
powerlinemk 02.09.2011 um 10:04:29 Uhr
Goto Top
Das ist getan. Ich kann auch aus dem 192er Netz Problemlos die Router erreichen, wenn ich Sie manuell anpringe oder trace. Jedoch muss ich zugeben, dass es etwas gedauert hat, bis ich es bemerkt und dem Provider mitgeteilt hatte .face-smile


Vielen Dank für die Hilfe
Mitglied: aqui
aqui 02.09.2011 um 10:05:45 Uhr
Goto Top
Was meinst du mit "Router" ?? Kannst du auch die Router am anderen Ende der MPLS Wolke erreichen ?? Genau das ist doch der Punkt !
Deine Fortinet hat doch eh eine Default Route auf den Provider CPE Router...dort kann man ja nun nichtmehr viel falsch machen ! Der Knackpunkt ist also der CPE bzw. die remoten CPE Router in denen diese 192.168er Netz AUCH eingetragen werden muss !
Es betrifft alle Router in der MPLS Wolke die dieses 192.168er Netz routen müssen ! Logischerweise nicht nur das wo eure Fortinet dran ist. Pakete müssen ja auch wieder zurückkommen in das Netz ! Traceroute und Pathping zeigen dir doch genau den Hop an wo diese Route fehlt.
Mitglied: powerlinemk
powerlinemk 02.09.2011 um 10:29:12 Uhr
Goto Top
Ich kann aus dem 192er Netz die MPLS Router problemlso erreichen. Das Netz wurde bereits vom Provider freigeschaltet. Aus dem 192er Netz lässt sich alles hinter dem Netz nicht erreichen, das liegt aber in meinen Augen daran, dass ich nichtmal aus dem 192er Netz rauskomme!

Sobald ich ein tracert aus dem 192er Netz mit einem Zielhost mache macht er bereits den falschen Hop. Er geht garnicht in das 10.185er Netz oder an den MPLS router sondern versucht ins Internet zu routen.
Mitglied: sk
sk 02.09.2011 um 11:40:24 Uhr
Goto Top
Hallo,

zunächst einmal wäre es sehr vorteilhaft, eine Skizze von Netzaufbau beizufügen, damit hier nicht jeder seine eigenen Annahmen tätigt und alle aneinander vorbei reden.

Zitat von @powerlinemk:
Sobald ich ein tracert aus dem 192er Netz mit einem Zielhost mache macht er bereits den falschen Hop. Er geht garnicht in das
10.185er Netz oder an den MPLS router sondern versucht ins Internet zu routen.

Ich nehme an (s.o.!), dass Du einen IPSec-Tunnel übers Internet zwischen den Standorten 192.168.32.0/24 und 10.185.0.0/16 hast. Nun willst Du zusätzlich noch durch diesen (oder einen weiteren) Tunnel eine Kommunikation zwischen 192.168.32.0/24 und 10.172.100.0/24 (über 10.185.0.0/16) realisieren, richtig? Und das hast Du - wenn ich Dich richtig verstanden habe - per statischer Route versucht (beiderseites auf dort jeweils als VPN-Endpunkt fungierenden Fortigates?). Das geht so aber nicht. Laut diesem Guide http://docs.fortinet.com/fgt/archives/3.0/techdocs/FortiGate_IPSec_VPN_ ... geht das, indem Du eine Firewallregel definierst. Die konkrete Implementierung ist zudem davon abhängig, ob Dein VPN nun policybased oder routedbased arbeitet. Arbeitet es routetbased, genügt (auf beiden Seiten) eine Firewallregel, die den Traffic auf das vorhandene Tunnelinterface leitet. Arbeitet es hingegen policybased, benötigst Du eine zusätzliche Phase2-Policy und musst diese in der Firewallregel verwenden.

Gruß
sk
Mitglied: powerlinemk
powerlinemk 02.09.2011 um 12:10:49 Uhr
Goto Top
Hey,

genau so will ich es machen ! face-smile

Ich habs auch schon über die Routen versucht. Folgende Firewall Regeln sind momentan aktiv:

Firewall am 192.32er Netz :

Source --> Destination
192.168.32.0/24 --> 10.172.100.0/24 geht über Tunnel nach 10.185.0.0/16

Firewall am 10.185er Netz
Source --> Destination
10.172.100.0/24--> 192.168.32.0/24 über Tunnel nach 192.168.32.0/24

Reichen diese zwei Regeln?
Mitglied: sk
sk 02.09.2011 um 12:29:10 Uhr
Goto Top
Routebased oder policybased VPN?
Systematisch vorgehen! Pinge von 192.168.32.0/24 nach 10.172.100.0/24 und prüfe im Logfile der Firewall im 10.185er Netz, ob der Traffic wie gewünscht durch den Tunnel kommt. Wenn das funktioniert, geht es Schritt für Schritt weiter. Wo bleibt der Netzplan?

Gruß
sk
Mitglied: powerlinemk
powerlinemk 02.09.2011 um 12:44:16 Uhr
Goto Top
9b870d08bcf7608c5f13bd433d4e5ef2

Woran erkenne ich, ob es Route - oder Policybased ist?

Wo finde ich denn Logs der Firewall?

Danke für die Hilfe!
Mitglied: aqui
aqui 02.09.2011 um 13:27:25 Uhr
Goto Top
Wenn du mit dem VPN Client per VPN verbunden bist, dann solltest du erstmal mit einem route print am Client dir die Routing Tabelle des Fortinet genau ansehen ob die 10er Netze bzw. alle Zielnetze die du via VPN und dann MPLS erreichen willst auch auf den VPN Tunnel gemappt sind. Andernfalls werden sie lokal geroutet über das LAN Interface und landen so im Nirwana.
Die Fortigate muss also diese Netze als VPN Server auch auf die remote Seite propagieren bzw. müssen sie hier ebenfalls statisch eingetragen sein, das die in den VPN Tunnel geroutet werden und NICHT lokal ! Das sieht man wie gesagt mit "route print" wenn der Client aktiv ist ! Sieh dir also zwingend dazu erstmal die Routing Tabelle von beiden Fortigates an und/oder poste die hier ggf. ! Pathping und Traceroute sind wie immer deine Freunde !!
Noch besser wäre es wenn du von allen MPLS CPE Routern ebenfalls einmal die Routing Tabelle vom Provider geemailt bekommst nach dem Motto "Vertraune ist gut, Kontrolle ist besser !"
Die Logs der Firewall findest du wie immer im GUi der Firewall oder im Syslog Buffer der Firewall.
Mitglied: sk
sk 02.09.2011 um 13:52:41 Uhr
Goto Top
Eigentlich solltest Du mir das sagen können und nicht umgekehrt! Ich habe selbst keine Fortigate und kann mich nur an den online verfügbaren Ressorcen (Demo-GUI, Anleitungen) orientieren.

Zitat von @powerlinemk:
Woran erkenne ich, ob es Route - oder Policybased ist?

VPN-->IPSec-->AuoKey (IKE). Hier werden die Policies bereits nach Tunnel-Mode und Interface-Mode getrennt gruppiert.


Zitat von @powerlinemk:
Wo finde ich denn Logs der Firewall?

Log&Report-->Log&Archiv Access-->Traffic Log. Hier ggf. noch zusätzlich benötigte Spalten einblenden.


Deine Zeichnung ist mir noch nicht ganz klar bzw. es fehlen noch Angaben.
  • Die eingezeichneten Firewalls sind jeweils Fortigates?
  • Sind diese Firewalls jeweils das Standardgateway im jeweiligen LAN?
  • Die graue Büchse am Hauptstandort symbolisiert einen Switch im LAN?
  • Wie wird das MLPS übergeben? Ist das eine reine Layer2-Verbindung? Ist das auf beiden Seiten ein Router dran und hängt dieser jeweils im LAN (also im Rücken der Firewall) oder hängt die Strecke an separaten Interfaces der Firewalls? Wer hat ggf. administrativen Zugriff auf die zusätzlichen Router?


Gruß
sk
Mitglied: sk
sk 02.09.2011 um 13:57:29 Uhr
Goto Top
Zitat von @aqui:
Wenn du mit dem VPN Client per VPN verbunden bist, dann solltest du erstmal mit einem route print am Client nachsehen on die
10er Netze bzw. alle Zielnetze die du via VPN und dann MPLS erreichen willst auch auf den VPN Tunnel gemappt sind.

Wo siehst Du hier VPN-Clients? Das ist ein Site-to-Site-Szenario! face-wink

Gruß
sk
Mitglied: aqui
aqui 02.09.2011 um 19:04:12 Uhr
Goto Top
...sorry sk du hast natürlich Recht. Text ist entsprechend editiert !
Mitglied: aqui
aqui 06.09.2011 um 10:19:39 Uhr
Goto Top
@powerlinemk
Wenns das denn nun war oder du das Interesse an einer Lösung verloren hast bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !