jesaja 10 Geschrieben 25. Juli 2008 Melden Teilen Geschrieben 25. Juli 2008 Hallo MCSEBoard Gemeinde, hab in der Firma ein kleines Projekt am Laufen. Und zwar haben wir seit seit einiger Zeit einen neuen Standort. Nun will ich den Standort an unsere Zentrale anbinden. Leider kenn ich mich auf dem Gebiet nicht so gut aus. Hab schon ein wenig zu stande bekommen, leider bin ich jetzt mit meinem Wissen am Ende. Hoffentlich kann mir jemand ein wenig unter die Arme greifen. Zur Struktur: Zentrale ____________________Internet_______________Standort2 DC 2k3_________Linux FW_________________Fortigate 60B_______DC 2k3 192.168.0.1___192.168.0.2______<-->______192.168.1.254___192.168.1.1 _________<----------------------------------> Hab die Linux FW mit Nat soweit fertig konfiguriert. Den IPSec Dienst am DC in der Zentrale hat auch schon eine funktionierende Richtlinie. Die Fortigate baut den IPSec Tunnel über NAT-T auf und ich kann dann auch den DC am Standort2 anpingen, jedoch nur am Server in der Zentrale. Auf einem Client in der Zentrale lässt sich der DC am Standort2 jedoch nicht anpingen (Zeitüberschreitung). Ist da noch etwas im RRAS zu konfigurieren? Wäre echt super wenn mir jemand noch einen Tipp geben könnte. lg, jes Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 25. Juli 2008 Melden Teilen Geschrieben 25. Juli 2008 Die Fortigate baut den Tunnel wohin auf ? Zum RRAS auf dem Server in der Zentrale ? Zur Linux-Firewall ? Ich nehme an, dass eine Route auf dem Client fehlt, der ja wohl die Linux-Firewall als Default Gateway hast. Probiere am Client mal eine Route zuzufügen (das soll nur ein Test sein, ob es daran liegt) ... ROUTE ADD 192.168.1.0 MASK 255.255.255.0 192.168.0.1 Zitieren Link zu diesem Kommentar
jesaja 10 Geschrieben 25. Juli 2008 Autor Melden Teilen Geschrieben 25. Juli 2008 Hallo IThome der Tunnel wird direkt zum DC über Nat-T in der Zentrale aufgebaut. ein ganz komischer effekt. wenn ich mich per VPN über mein Notebook zum RRAS in die Zentrale verbinde kann ich den DC2 anpingen. Ohne VPN also direkt im LAN gehts nicht. Die Linux FW ist der Defaultgateway am Client. Die Route am Client hat leider nicht gefunkt. lg, jes Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 25. Juli 2008 Melden Teilen Geschrieben 25. Juli 2008 Die Fortigate verbindet sich jetzt wie mit dem DC/RRAS ? L2TP/IPSEC ? Für L2TP/IPSEC benötigst Du keine selbst konfigurierte Richtlinie. Mit dem Notebook per VPN in die Zentrale klappt der Ping ? Von wo aus verbindest Du Dich via VPN und Deinem Notebook ? Du musst das mal ein bisschen genauer beschreiben, wie und von wo nach wo ein Tunnel hergestellt wird. Warum wird kein LAN-LAN VPN zwischen der Fortigate und der Linuxdose hergestellt oder zwischen den beiden Servern via RRAS ? Zitieren Link zu diesem Kommentar
jesaja 10 Geschrieben 25. Juli 2008 Autor Melden Teilen Geschrieben 25. Juli 2008 Die Fortigate verbindet sich mit dem DC per L2TP IPSEC mit PSK. Mit dem Notebook, von zuhause aus verbinde ich mich mit pptp am DC. funktioniert problemlos. Also unser Linux kisterl ist nur firewall. War damals einfach die günstigste Variante. Nur Iptables mit NAT. Ich route nur die von mir gewünschten Ports ins interne Lan weiter. Sobald ich mit dem Notebook per VPN im Netz hänge kann ich den DC2 anpingen. Zitieren Link zu diesem Kommentar
jesaja 10 Geschrieben 25. Juli 2008 Autor Melden Teilen Geschrieben 25. Juli 2008 Anbei eine Skizze! lg, jes Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 25. Juli 2008 Melden Teilen Geschrieben 25. Juli 2008 Die Fortigate verbindet sich mit dem DC per L2TP IPSEC mit PSK. Mit dem Notebook, von zuhause aus verbinde ich mich mit pptp am DC. funktioniert problemlos.Also unser Linux kisterl ist nur firewall. War damals einfach die günstigste Variante. Nur Iptables mit NAT. Ich route nur die von mir gewünschten Ports ins interne Lan weiter. Sobald ich mit dem Notebook per VPN im Netz hänge kann ich den DC2 anpingen. Nochmal zum Verständnis :D Die Fortigate ist mit dem RRAS in Standort 1 verbunden. Während dieser Verbindung kann man vom RRAS aus den DC2 anpingen. Man kann aber nicht von einem Client im Netz des RRAS den DC 2 anpingen. Verbindest Du Dich von aussen via PPTP mit dem RRAS in Standort 1 und ist die Verbindung zwischen der Fortigate und dem RRAS hergestellt, dann kannst Du DC2 vom Notebook aus anpingen. Alles richtig ? Zitieren Link zu diesem Kommentar
jesaja 10 Geschrieben 25. Juli 2008 Autor Melden Teilen Geschrieben 25. Juli 2008 yep =) – kann es daran liegen dass die Clients im LAN vom DC1 die Firewall als Standartgateway hinterlegt haben? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 25. Juli 2008 Melden Teilen Geschrieben 25. Juli 2008 Ja genau, deswegen die Route, die Du auf einem Client eingeben solltest. Offensichtlich funktioniert der Zugriff über die Fortigate und den RRAS ja grundsätzlich. Ich denke auch, dass es ein Routingproblem ist. Du kannst ja mal als Default Gateway auf einem Client den RRAS eintragen ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.