Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Konfiguration End - Site(NAT) - Site mit Fortigate

Frage Sicherheit Firewall

Mitglied: itproject

itproject (Level 1) - Jetzt verbinden

22.01.2015 um 13:08 Uhr, 1399 Aufrufe, 3 Kommentare

Hallo zusammen,

ich brauche eure Hilfe, ich blick noch nicht ganz durch ;)

Die Situation:

Ein Entwickler verbindet sich mit seinem MAC oder Windows Rechner von zuhause über SSL VPN oder IPSEC in das Firmennetzwerk um dort zu arbeiten. Dort wird er in ein VPN Netzwerk geschmissen, welches auch Zugriff (zumindest die verwendeten Ports) auf das Firmennetz bietet.

z.B. VPN Network 192.168.1.0/24
z.B. Company Network 10.0.0.0/24

So weit so gut, der Entwickler kann auf seine Server im Firmennetzwerk zugreifen.

Anforderung:

Entwickler sollen nun auch auf das Netzwerk eines Hosters zugreifen können, welches mit einer dauerhaften IPSEC Verbindung am Firmennetzwerk hängt.

z.B. Hoster Network 10.0.20.0/24

(Vom Firmennetz problemlos möglich, Zugriff ist jedoch nur über die Öffentliche IP Adreesse des Firmennetzwerks möglich)

Die eigentliche Frage:

Wie schaffe ich, dass sich der Entwickler von zuhause ins Firmennetzwerk einwählt und von dort aus ebenfalls problemlos auf das Hoster Netzwerk (unter Verwendung der Firmeneigenen öffentlichen Adresse nach außen) verbinden kann.

Meine Idee, falls das gehen sollte: Die bestehende VPN Verbindung von zuhause hinter die Company FW per NAT legen und dann den benötigten traffic in das Hoster Netzwerk routen.

Nur irgendwie funktioniert das nicht so wie ich mir das vorstelle, bzw. IPSEC behind NAT ... ist ja eigentlich nur möglich wenn man das gekapselte paket nochmal kapseln würde oder?

Ich hoffe ich drücke mich hier nicht zu kompliziert aus, vielen Dank an jede Hilfe

MfG
Itproject
Mitglied: aqui
22.01.2015 um 13:21 Uhr
Wie schaffe ich, dass sich der Entwickler von zuhause ins Firmennetzwerk einwählt und von dort aus ebenfalls problemlos auf das Hoster Netzwerk
Das ist kinderleicht und hätte dir auch als Laie auffallen müssen warum es nicht geht !!
Wenn er sich per VPN einwählt bekommt sein Client dynmaisch eine Route in das 10.0.0.0 /24 er Netz mitgeteilt aber natürlich KEINE IP Route in das Hoster Netzwerk 10.0.20.0 /24 !!
Woher auch ??
Der VPN Client kann ja nicht raten oder hellsehen. Folglich geht dieser logischerweise davon aus das er es nicht über den VPN Tunnel erreicht sondern über seine Default Route die über welche NIC auch immer geht.
Funktioniert also alles wie es soll !!
Der Fehler liegt klar in der Misskonfiguration des VPNs für diesen Client ! Der muss zusätzlich noch einen Route ins 10.0.20.0 /24 er Netz übermittelt bekommen, damit er weiss das er Pakete für dieses Netzwerk auch in den VPN Tunnel routen muss.
Das geht auf dem VPN Server mit einer entsprechenden Template Änderung für diesen User indem der einfach nur die richtige Route bekommt.
Alternativ kann man auch die vom VPN Server übermittelte Route mit einer 16 Bit Subnetzmaske statt 24 an den Client geben, dann würde er alles was 10.0.x.x als Zieladresse hat in den Tunnel routen. Das wäre das einfachste.
Falls alle Stricke reissen kann man ohne jeglichen Eingriff am VPN Server eine statische Route auf den Client einrichten mit
route add 10.0.20.0 mask 255.255.255.0 gateway <tunnel_ip_vpn_server>

Diese 3 Optionen hast du um das ganz einfach zu fixen.
IPSEC behind NAT ... ist ja eigentlich nur möglich wenn man das gekapselte paket nochmal kapseln würde oder?
Nein das ist technischer Unsinn, dafür gibt es NAT-Traversal beim IPsec.
Details dazu bei IPsec erklärt dir dieses Forums Tutorial:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Ich hoffe ich drücke mich hier nicht zu kompliziert aus
Nein, tust du nicht. Ist ein klassischer, täglicher Fehler hier im Forum wenn es um Routing von weiteren IP Netzen hinter dem VPN Tunnel geht
Bitte warten ..
Mitglied: itproject
23.01.2015 um 15:47 Uhr
Hi Aqui,

das VPN und das Routing wird über eine Fortigate geregelt, leider wird die entsprechende route nicht dem VPN Client (zuhause) übermittelt.
Wenn ich die Route am Client fest eintrage, dann findet er entsprechend den Weg ins Hoster Netzwerk.

Problem ist nun eher, dass die entsprechende Route nicht zum VPN Client gepusht wird.
Wenn ich das hinbekomme bin ich durch, "wenn" ;)

Schonmal vorab besten Dank für Deine Tipps!

Grüße an den Hasen mit Sonnenbrille!
Itproject
Bitte warten ..
Mitglied: aqui
23.01.2015 um 20:00 Uhr
leider wird die entsprechende route nicht dem VPN Client (zuhause) übermittelt.
Wie erwartet und vermutet ! Genau das ist dein Problem und eine falsche Konfiguration der Fortinet !
Wenn ich die Route am Client fest eintrage, dann findet er entsprechend den Weg ins Hoster Netzwerk.
Bestätigt die Vermutung und den Fehler !
Problem ist nun eher, dass die entsprechende Route nicht zum VPN Client gepusht wird.
Wie gesagt: ein Fehler in der Konfiguration der Fortinet FW ! Geh zum FW Admin und lass ihn das fixen ! Sind 2-3 Mausklicks im Setup GUI.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Firewall
gelöst VPN Site to Site von IPFire zu Sophos UTM (19)

Frage von touro411 zum Thema Firewall ...

Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...