Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Konfiguration End - Site(NAT) - Site mit Fortigate

Frage Sicherheit Firewall

Mitglied: itproject

itproject (Level 1) - Jetzt verbinden

22.01.2015 um 13:08 Uhr, 1454 Aufrufe, 3 Kommentare

Hallo zusammen,

ich brauche eure Hilfe, ich blick noch nicht ganz durch ;)

Die Situation:

Ein Entwickler verbindet sich mit seinem MAC oder Windows Rechner von zuhause über SSL VPN oder IPSEC in das Firmennetzwerk um dort zu arbeiten. Dort wird er in ein VPN Netzwerk geschmissen, welches auch Zugriff (zumindest die verwendeten Ports) auf das Firmennetz bietet.

z.B. VPN Network 192.168.1.0/24
z.B. Company Network 10.0.0.0/24

So weit so gut, der Entwickler kann auf seine Server im Firmennetzwerk zugreifen.

Anforderung:

Entwickler sollen nun auch auf das Netzwerk eines Hosters zugreifen können, welches mit einer dauerhaften IPSEC Verbindung am Firmennetzwerk hängt.

z.B. Hoster Network 10.0.20.0/24

(Vom Firmennetz problemlos möglich, Zugriff ist jedoch nur über die Öffentliche IP Adreesse des Firmennetzwerks möglich)

Die eigentliche Frage:

Wie schaffe ich, dass sich der Entwickler von zuhause ins Firmennetzwerk einwählt und von dort aus ebenfalls problemlos auf das Hoster Netzwerk (unter Verwendung der Firmeneigenen öffentlichen Adresse nach außen) verbinden kann.

Meine Idee, falls das gehen sollte: Die bestehende VPN Verbindung von zuhause hinter die Company FW per NAT legen und dann den benötigten traffic in das Hoster Netzwerk routen.

Nur irgendwie funktioniert das nicht so wie ich mir das vorstelle, bzw. IPSEC behind NAT ... ist ja eigentlich nur möglich wenn man das gekapselte paket nochmal kapseln würde oder?

Ich hoffe ich drücke mich hier nicht zu kompliziert aus, vielen Dank an jede Hilfe

MfG
Itproject
Mitglied: aqui
22.01.2015 um 13:21 Uhr
Wie schaffe ich, dass sich der Entwickler von zuhause ins Firmennetzwerk einwählt und von dort aus ebenfalls problemlos auf das Hoster Netzwerk
Das ist kinderleicht und hätte dir auch als Laie auffallen müssen warum es nicht geht !!
Wenn er sich per VPN einwählt bekommt sein Client dynmaisch eine Route in das 10.0.0.0 /24 er Netz mitgeteilt aber natürlich KEINE IP Route in das Hoster Netzwerk 10.0.20.0 /24 !!
Woher auch ??
Der VPN Client kann ja nicht raten oder hellsehen. Folglich geht dieser logischerweise davon aus das er es nicht über den VPN Tunnel erreicht sondern über seine Default Route die über welche NIC auch immer geht.
Funktioniert also alles wie es soll !!
Der Fehler liegt klar in der Misskonfiguration des VPNs für diesen Client ! Der muss zusätzlich noch einen Route ins 10.0.20.0 /24 er Netz übermittelt bekommen, damit er weiss das er Pakete für dieses Netzwerk auch in den VPN Tunnel routen muss.
Das geht auf dem VPN Server mit einer entsprechenden Template Änderung für diesen User indem der einfach nur die richtige Route bekommt.
Alternativ kann man auch die vom VPN Server übermittelte Route mit einer 16 Bit Subnetzmaske statt 24 an den Client geben, dann würde er alles was 10.0.x.x als Zieladresse hat in den Tunnel routen. Das wäre das einfachste.
Falls alle Stricke reissen kann man ohne jeglichen Eingriff am VPN Server eine statische Route auf den Client einrichten mit
route add 10.0.20.0 mask 255.255.255.0 gateway <tunnel_ip_vpn_server>

Diese 3 Optionen hast du um das ganz einfach zu fixen.
IPSEC behind NAT ... ist ja eigentlich nur möglich wenn man das gekapselte paket nochmal kapseln würde oder?
Nein das ist technischer Unsinn, dafür gibt es NAT-Traversal beim IPsec.
Details dazu bei IPsec erklärt dir dieses Forums Tutorial:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Ich hoffe ich drücke mich hier nicht zu kompliziert aus
Nein, tust du nicht. Ist ein klassischer, täglicher Fehler hier im Forum wenn es um Routing von weiteren IP Netzen hinter dem VPN Tunnel geht
Bitte warten ..
Mitglied: itproject
23.01.2015 um 15:47 Uhr
Hi Aqui,

das VPN und das Routing wird über eine Fortigate geregelt, leider wird die entsprechende route nicht dem VPN Client (zuhause) übermittelt.
Wenn ich die Route am Client fest eintrage, dann findet er entsprechend den Weg ins Hoster Netzwerk.

Problem ist nun eher, dass die entsprechende Route nicht zum VPN Client gepusht wird.
Wenn ich das hinbekomme bin ich durch, "wenn" ;)

Schonmal vorab besten Dank für Deine Tipps!

Grüße an den Hasen mit Sonnenbrille!
Itproject
Bitte warten ..
Mitglied: aqui
23.01.2015 um 20:00 Uhr
leider wird die entsprechende route nicht dem VPN Client (zuhause) übermittelt.
Wie erwartet und vermutet ! Genau das ist dein Problem und eine falsche Konfiguration der Fortinet !
Wenn ich die Route am Client fest eintrage, dann findet er entsprechend den Weg ins Hoster Netzwerk.
Bestätigt die Vermutung und den Fehler !
Problem ist nun eher, dass die entsprechende Route nicht zum VPN Client gepusht wird.
Wie gesagt: ein Fehler in der Konfiguration der Fortinet FW ! Geh zum FW Admin und lass ihn das fixen ! Sind 2-3 Mausklicks im Setup GUI.
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Site to Site VPN (Kein Zugriff von Client auf Remote Server) (3)

Frage von subsee zum Thema Windows Server ...

Router & Routing
Cisco887VAW -VPN NAT-Freigabe (11)

Frage von Serial90 zum Thema Router & Routing ...

Router & Routing
gelöst Site to Site VPN mit PfSense - Zugriff auf Remote Netze nicht möglich. (6)

Frage von RRESEARCH zum Thema Router & Routing ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Heiß diskutierte Inhalte