Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Site to Site - Fortigate 50B am Hauptsitz , zweiter Sitz bekommt einen Zyxel . Wei connecten

Frage Netzwerke LAN, WAN, Wireless

Mitglied: itgugus

itgugus (Level 2) - Jetzt verbinden

08.08.2012, aktualisiert 22:41 Uhr, 7196 Aufrufe, 21 Kommentare

Hallo,

auf der Fortigat 50B möchte ich einen VPN zugang anlegen. Es steht zur Auswahl Static IP Adress , Dialup user und Dynamic DNS . Dialup User ist es sicher nicht, da permanente VPN Verbindung dann sein wird.
Dynamic vermutlcih auch nicht, oder doch ? Oder nehme ich hier Static IP Adress und nehme eine aus dem freien Adressbereich ? Wenn ja, muss man die Natten ?
Wie sind die Konfig Schritte ?`
Wichtig ist mal der erste Teil auf der Fortigate.

Der zweite Sitz hat eventuell keine Feste IP und hat einen Zyxel, da muss ich dann wenn der Fortigate steht noch konfigurieren.

Gruss
Ralf
Mitglied: tobi83
08.08.2012 um 21:02 Uhr
Hi,

wenn es geht, dann nimm am besten an beiden Standorten die Geräte vom gleichen Herstellen, alles andere ist "pain in the ass" wie man so schön sagt. Du kannst dein VPN auch über dynDNS oder sowas laufen lassen. Und du solltest noch beachten, dass deine Standorte unterschiedliche IP-Adressbereiche haben. Soll das dann alles über IPSec laufen?
Bitte warten ..
Mitglied: itgugus
08.08.2012, aktualisiert um 22:41 Uhr
Hallo,

ich kann das nicht bestimmen. Der Hauptsitz hat die Fortigate. Und die Zweigstelle einen Zyxkel. ich muss das am 24.08 verbinden egal wie.
Bei Fortigate kann man verscvhiedene Stufen einstellen . Stufe 1 ist kein IPSec .
Hauptstandort hat 10.41. Nebenstelle mache ich 10.42.
Dyndns habe ich mich vorhin registriert. Leider ist das nicht gratis. Sonst könnte man das mal testen.
vermutlich ist wohl besser statisch oder so. Name -Y> Standort.Domäne.ch oder so
Aber ich weiss eben nicht wie man das konfigurioert.

5a1579a052aad7f5424491330bab3673 - Klicke auf das Bild, um es zu vergrößern

Gruss
Rlaf
Bitte warten ..
Mitglied: Philtaer
08.08.2012, aktualisiert um 23:54 Uhr
Icn würde sagen wenns der chef der i.d.r. keine ahnung von der materie hat bestimmt, es abervöllig verquer ist, musst du mit ihm reden und ihn überzeugen können und dürfen.
Dafür bist du doch die fachkraft in dem bereich?
Allerdings kenne ich deine situation nicht...

Ich war aber mal in einer ähnlichen situation und konnte meinen chef überzeugen. HinterheR stellte sich heraus, dass dadurch 500 € gespart werden konnten
Bitte warten ..
Mitglied: itgugus
09.08.2012 um 08:18 Uhr
Hallo,

der Kunde hat das so bestellt , wir setzen das um. Ich denke nun die Lösung wird sein. Für den externen STandort einen Sub Domänen Namen zu bestellen . Standort.Domäne.ch , muss ja dann eauch dort eine Fixe IP haben. Das wäre für den Zyxel.
Dsnn kann ich auf der Fortigate auch über Fixe IP eine Verbindung machen.
Denke das Problem ist, das was mir nicht klar war. Das ich eine Subdomäne am besten zur Fixen IP bestelle.
Das sehe ich so richtig, oder ?

Gruss
Ralf
Bitte warten ..
Mitglied: aqui
09.08.2012 um 08:37 Uhr
Da beide den Standard IPsec im ESP Mode sprechen sollte die VPN Kopplung kein Thema sein und auch funktionieren. In der IKE Negotiation solltest du bei Hersteller fremden Geräten immer den "aggressive Mode" wählen !
Zu deiner Frage was du einsetzen musst sagt deine Aufzählung eigentlich schon alles...
Der zweite Sitz hat eventuell keine Feste IP = Dynamic DNS
Wenn der 2.Standort eine feste IP hat dann = Static IP Adress
Ist eigentlich ganz einfach !
Details zu IPsec VPNs bzw. dem Protokoll findest du hier:
http://www.administrator.de/contentid/73117
Zudem hat die Zyxel Knowledgebase eine Menge Beispiele:
http://www.zyxel.com/support/knowledge_base/kb_detail_3025.shtml
Dr. Google sowieso...
Bitte warten ..
Mitglied: Dirmhirn
09.08.2012 um 10:01 Uhr
Hi!

Du solltest auch möglichst immer nur eine Option wählen: nicht DES und AES oder mehrere DH-Gruppen.
falls du keine genaue Anleitung findest.

sg Dirm
Bitte warten ..
Mitglied: itgugus
10.08.2012 um 20:02 Uhr
Hallo Danke,

die eine Anleitung sieht sehr gut aus. Da ist es relatiov einfach. Nun ist es aber viel schwieriger geworden.
Man möchte nun, das der Zyxel sich nur per Dial Up einwählt. Wie geht das ?

Gruss
Ralf
Bitte warten ..
Mitglied: sk
12.08.2012 um 01:49 Uhr
Zitat von itgugus:
die eine Anleitung sieht sehr gut aus. Da ist es relatiov einfach.

Nur leider weiss niemand, ob diese Anleitung, die Screenshots von seit längerem nicht mehr produzierten Geräten zeigt, überhaupt zum vorhandenen Gerät passt.
Die Firma Zyxel vertreibt seit über 20 Jahren Netzwerkequipment. "Der Zyxel" könnte also eines von hunderten verschiedenster Modelle sein. Von unterschiedlichen Firmwareständen mal ganz abgesehen.


Zitat von itgugus:
Nun ist es aber viel schwieriger geworden.
Man möchte nun, das der Zyxel sich nur per Dial Up einwählt.
Wie geht das?

Also ehrlich: In Anbetracht dessen, welche Fragen Du hier stellst, solltest Du das besser jemand anderen machen lassen. Ist zwar eigentlich absolut keine Kunst, aber wenn schon offenkundig jegliche Fähigkeit fehlt, systematisch an die Sache heran zu gehen und sich selbständig einzuarbeiten, sollte man nicht als Dienstleister tätig sein. *kopfschüttel*
Bitte warten ..
Mitglied: tobi83
12.08.2012 um 11:57 Uhr
Hi,

da muss ich ..sk.. absolut Recht geben. VPN kann zu einer sehr hässlichen Sache werden, holt euch lieber jemanden der euch dabei unter die Arme greift, dem kannst du bestimmt dann auch bei der Arbeit zuschauen und dabei was lernen. Oder bist du als "Admin" in deiner Firma angestellt?
Bitte warten ..
Mitglied: itgugus
13.08.2012 um 08:32 Uhr
Hoi,

wir sind Externe IT Dienleister. Werde mir das alles anschauen , wenn ich vorort bin. Wird schon klappen.
Habe ja nun Infos erhalten. Leider kann man sich nie vorher vorbereiten, da man ja ständig ausgebucht ist.

Gruss
Ralf
Bitte warten ..
Mitglied: itgugus
14.08.2012, aktualisiert um 19:42 Uhr
Hallo,

heute bald 3 Stunden probiert. Eine Internetleitung mit fester IP gefunden zum testen.
Dynamic DNS trotzdem gelöst und schon mal im Zyxel eingetragen. Und die IP als Initialadresse von der festen IP erstmal hinterlegt.
Schlüssel 1 und Schlüssel 2 hinterlegt . Ging nicht.
Habe dann DES mit MD5 gemacht und als DH Gruppe 2 gewählt . Time 28800 . Beides Identisch gemacht Schlüssel 1 und SChlüssel 2.
Es gab trotzdem keine Authentication. Kann ich Schlüssel 1 und 2 Identisch machen ?
WErde es morgen nochmals angegen. Bin mir nicht sicher, ob ich "aggressive Mode" gewählt hatte.
Im Log vom Zyxel konnte man keien Authentication sehen.

Gruss
Ralf
Bitte warten ..
Mitglied: tobi83
14.08.2012 um 19:58 Uhr
Hi Ralf,

hast du schon Erfahrungen in Sachen VPN gesammelt, oder ist das dein erstes? Bist du alleine in der Firma, deine Fragen sehen so aus, als würdest du das alles zum ersten mal machen. Ich kenne das VPN Problem, und könnte auch fast jedes mal K.tzen wenn ich das machen muss. Was meinst du denn mit Schlüssel 1 und Schlüssel 2? Die Schlüssel auf den Geräten müssen schon gleich sein. Um es hier allen etwas einfacher zu machen, kannst du ja auch mal Screenshots und Logs mit hochladen, das hilft meistens ungemein.

Gruß
-Tobi
Bitte warten ..
Mitglied: itgugus
14.08.2012 um 20:15 Uhr
Hallo Tobi,

ja genau . 15 Jahre IT. Aber mit VPN nie was am Hut gehabt. Darum frage ich ja hier . Heute hat sich das jemand von uns auch angeschaut der 30 Jahre Linux mahct und Firewalls. Leider konnte er mir nicht sehr weit helfen. Scheint ein Problem zu sein, bei 2 Marken.
Ist halt blöd die erste Installation und gleich einen Sonderfall zu haben. Das hasse ich manchmal in der IT.
Werde die Printscreens erst am Donnerstag eventuell posten können. Eventuell morgen früh. Mal schauen , wie ich dazu komme. Hatte bei anderen VPN Verbindungen nachgeschaut, da war oft Stufe 1 und Stufe 2 unterschiedlich.
Mit Stufe 1 und 2 meine ich die 2 Stufen die man einrichten muss. Schlüssel, DES etc.. Sehe das erst wenn ich wieder bei der Arbeit bin.
Werde die Bilder noch posten.

Gruss
Ralf
Bitte warten ..
Mitglied: itgugus
15.08.2012 um 10:32 Uhr
Habe nun mal verschieden Schlüssel getestet m, auch mit Agreesvie Mode. Geht nicht.
Fehlerlog ist

Date Time

2012-08-15 00:22:39

Date

2012-08-15



Time

00:22:39

Level

error error



Sub Type

ipsec

ID

37124



Virtual Domain

root

Message

IPsec phase 1 error



Action

negotiate

IPSec Remote IP

Die IP von der Zyxel



IPSec Local IP

Die IP von unserer Firewall

Remote Port

500



Outgoing Interface

fibre_WP1039018

Local Port

500



Cookies

77bccf7c56cc4cbd/0000000000000000

User

N/A



Group

N/A

XAUTH User

N/A



XAUTH Group

N/A

Status

negotiate_error



VPN Tunnel

N/A

Error Reason

no matching gateway for new request


Was mir aufgefallen ist von einem PC kann ich den Zyxel pingen. Vom Server mit der Fortigate nicht. Muss in der Forti noch der Zyxel freigegeben werden ?

Gruss
Ralf
Bitte warten ..
Mitglied: tobi83
15.08.2012 um 11:30 Uhr
Hi Ralf,

sind die Ports auch offen? Ich verstehe jetzt nicht ganz wie du die Zyxel anpingen kannst, steht die nicht in einem anderen Netz? Oder bist du da vor Ort? hast du mal ne genauere Bezeichnung von dem Zyxel-Ding?
Bitte warten ..
Mitglied: itgugus
14.12.2012 um 11:01 Uhr
Habe das mal auf gelöst gestellt. Danke vielmals.
Der STandort hat nun ne Fortigate. Settings waren immer 100% ok. Aber es ging nicht. Mittlerweile haben wir wieder so ein Problem mit einem Zyxel. Scheint wohl am Produkt zu liegen. Hin und wieder taucht so ein Gerät auf , wo nicht geht. Konfiguriert man vermutlich genau das gleiche Zyxel , wenn man 2 rumliegen aht. Dann geht es bestimmt 1 davon.
Wir gehen nun dem Product für Tunnel und VPN aus dem WEg. Wird wohl dann mehr Fortigate sein.

Gruss
Ralf
Bitte warten ..
Mitglied: sk
14.12.2012 um 12:08 Uhr
Zitat von itgugus:
Konfiguriert man vermutlich genau das gleiche Zyxel,
wenn man 2 rumliegen aht. Dann geht es bestimmt 1 davon.

[irony on]Ganz sicher: so wird es sein![irony off]
Bitte warten ..
Mitglied: eumel1979
14.12.2012 um 12:19 Uhr
Hallo,

#off Topic on


du bist dir sicher das du in der richtigen branche bist???

#off Topic off


Schönes WE
Bitte warten ..
Mitglied: goscho
14.12.2012 um 12:26 Uhr
Mahlzeit,
[OT]
wenn 2x ein Problem aufgetaucht ist, das RalfThomas73 nicht lösen konnte, muss es definitiv am Produkt gelegen haben.
Geht doch gar nicht anders.
[/OT]
Bitte warten ..
Mitglied: eumel1979
14.12.2012 um 12:27 Uhr
Zitat von goscho:
Mahlzeit,
[OT]
wenn 2x ein Problem aufgetaucht ist, das RalfThomas73 nicht lösen konnte, muss es definitiv am Produkt gelegen haben.
Geht doch gar nicht anders.
[/OT]

Hallo,

das wollte ich damit zum Ausdruck bringen

Ciao
Bitte warten ..
Mitglied: itgugus
14.12.2012, aktualisiert um 17:44 Uhr
Hallo,

es ist nun mal so. Das es hin und wieder ein Zyxel gibt, der nicht will. Wir konfigurieren sehr viele. Die Fortinet oder Time for Business Firewall gehen immer .
Es kann ja dann nicht sein, das es nicht geht. Während man ein Baugleiches gleich konfiguriert und es geht.


Gruss
Ralf
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Fortigate 50B hinter Fritz Box 7490 - Side to Side VPN (12)

Frage von teletown zum Thema Router & Routing ...

Firewall
gelöst VPN Site to Site von IPFire zu Sophos UTM (19)

Frage von touro411 zum Thema Firewall ...

Router & Routing
gelöst Firewall Fortigate 50B zugriff (7)

Frage von RazorDevil zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...