alexanderbrix Geschrieben 18. Juni 2019 Teilen Geschrieben 18. Juni 2019 (bearbeitet) Hallo Leute, wir haben folgendes Szenario und Problem: Außenstelle 1 geht über einen Netgear FVS318 VPN Router online, der per Draytek Vigor 130 Modem am DSL angeschlossen ist. Ständige VPN-Verbindung zu unserer Geschäftsstelle (Fortigate 90D) ist eingerichtet und funktioniert. Die Leute in der Außenstelle können sich per MSTSC (Terminalserver in der Geschäftsstelle) anmelden. Außenstelle 2 geht über eine FritzBox 7490 online und hat ebenfalls eine VPN-Verbindung zu unserer Geschäftsstelle. Einloggen per MSTSC ist möglich. Nun sollen die IP-Telefone in Außenstelle 2 in der Telefonanlage in Außenstelle 1 registriert werden, sodass eine Telefonie in Außenstelle 2 möglich ist. Allerdings kann ich von Außenstelle 1 nur die Geschäftsstelle anpingen und nicht Außenstelle 2. Genau so ist es auch in Außenstelle 2 - hier kann ich nur die Geschäftsstelle anpingen und nicht Außenstelle 1. Wir kriegen es folglich nicht hin, dass sich die IP-Telefonie erfolgreich registrieren. Ich komme auch nicht auf das Webinterface der jeweils anderen Router (klar, wenn der Ping schon nicht geht...). Ich habe schon alles probiert, was mir nur eingefallen ist... Vielleicht könnt ihr noch ein Stichwort in den Raum werfen um mich so auf die richtige Fährte zu bringen? Danke! Grüße Alex Bearbeitet 18. Juni 2019 von alexanderbrix Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
RubberDog Geschrieben 18. Juni 2019 Teilen Geschrieben 18. Juni 2019 vor 36 Minuten schrieb alexanderbrix: Vielleicht könnt ihr noch ein Stichwort in den Raum werfen um mich so auf die richtige Fährte zu bringen? Hast du irgendwo in Aussenstelle 1 hinterlegt, über welches Gateway Geräte der Aussenstelle 2 zu erreichen ist? Wobei ich davon ausgehe, dass es prinzipiell getrennte Netze sind. Zu der Konfiguration sagtest du bislang nichts. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
alexanderbrix Geschrieben 18. Juni 2019 Autor Teilen Geschrieben 18. Juni 2019 Also, Außenstelle 1 ist ein 192.168.18.0 Netz, Außenstelle 2 ist ein 192.168.22.0 Netz und die Geschäftsstelle hat ein 192.168.23.0 Netz. Vom 23er Netz kann ich beide anderen Netze anpingen, von den Außenstellen erreiche ich jeweils nur die Geschäftsstelle... Als Gateway sind die jeweiligen Router eingetragen, ich kann später gerne noch Screenshots der LAN-Konfiguration und der VPN-Konfigurationen machen und hochladen falls benötigt... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
RubberDog Geschrieben 19. Juni 2019 Teilen Geschrieben 19. Juni 2019 Ich würde ja tippen, dass du in den Routern jeweils ne feste Route zur anderen Aussenstelle eintragen musst. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Maniska Geschrieben 19. Juni 2019 Teilen Geschrieben 19. Juni 2019 vor 2 Stunden schrieb RubberDog: Ich würde ja tippen, dass du in den Routern jeweils ne feste Route zur anderen Aussenstelle eintragen musst. Entweder das, oder in der Forti ist nicht hinterlegt dass man aus VPN1 auch in das VPN2 reinlinsen darf und umgekehrt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
alexanderbrix Geschrieben 19. Juni 2019 Autor Teilen Geschrieben 19. Juni 2019 vor 10 Minuten schrieb Maniska: Entweder das, oder in der Forti ist nicht hinterlegt dass man aus VPN1 auch in das VPN2 reinlinsen darf und umgekehrt. Statische Routen hatte ich bereits eingetragen, ohne Erfolg... auf der Forti habe ich statische Routen zu sämtlichen Außenstellen hinterlegt. wo genau kann ich denn einstellen, dass von VPN1 in VPN2 geschaut werden darf?das wäre bestimmt die Lösung... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Bennox Geschrieben 19. Juni 2019 Teilen Geschrieben 19. Juni 2019 Hört sich auch für mich als Routing-Problem an. Kannst du uns mal von allen Geräten die Routingtabellen und evtl vorliegende Weiterleitungstabellen mitteilen ? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Maniska Geschrieben 19. Juni 2019 Teilen Geschrieben 19. Juni 2019 vor einer Stunde schrieb alexanderbrix: Statische Routen hatte ich bereits eingetragen, ohne Erfolg... auf der Forti habe ich statische Routen zu sämtlichen Außenstellen hinterlegt. wo genau kann ich denn einstellen, dass von VPN1 in VPN2 geschaut werden darf?das wäre bestimmt die Lösung... Nicht die Routen, sondern die Regeln was aus VPN1 nach VPN2 gespröchen werden darf. Du wirst sicher eine Regel haben was aus VPN1 nach/von LAN (oder wie das bei dir heißt) darf und von VPN2 nach/von LAN. Wenn du jetzt keine Regel hast die den direkten Zugriff VPN1 nach/von VPN2 regelt... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 24. Juni 2019 Teilen Geschrieben 24. Juni 2019 Ich würde folgendermaßen vorgehen: Routing überprüfen auf den externen Routern, sowie auf der Fortigate FW. Firewall Regelwerk überprüfen, ob entsprechende Pakete erlaubt sind von VPN1 nach VPN2 in beide Richtungen (dabei darauf achten, ob die Interface auch stimmen, falls man diese in Regeln mit angegeben hat). Falls nicht erlaubt, Traffic erlauben und nochmal testen. Überprüfung der Local-In Policy, ob durch sie etwas blockiert wird. Das Gemeine ist, dass diese Blocks nicht im Log angezeigt werden, sondern man sie nur durch aktives Debugging sieht. Die Local-In Policy hat mir schon des Öfteren in de Suppe gespuckt. Evtl. testweise die erste Regel durch eine any-any Regel ersetzen, die alles erlaubt. Tieferes Debugging (auf Konsolenebene), ob Pakete aus irgendeinem anderen Grund auf der Firewall verworfen werden und falls ja, weshalb. (z.B. wegen MTU, CRC, ...) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
alexanderbrix Geschrieben 24. Juni 2019 Autor Teilen Geschrieben 24. Juni 2019 Wir haben es jetzt erstmal anders gelöst und die IP-Telefone in Außenstelle 1 auf der TK-Anlage in der Geschäftsstelle registriert. Nun haben wir aber das Problem, dass zwar die Telefonie-Verbindung zu den Apparaten aufgebaut werden kann, aber nach dem Abheben des Hörers wird keine Voice übertragen... Ich habe schon sämtliche Ports in der Forti freigegeben (hier geht es v.a. um das RTP-Protokoll), aber ich komme nicht weiter... In welche(n) Regel(n) muss ich denn die Portfreigaben der TK-Anlage eintragen? folgende Regeln sind u.a. vorhanden: * LAN-WAN * WAN-LAN * Außenstelle1-LAN * LAN-Außenstelle1 Ich habe testweise in allen 4 Regeln sogar "ALL" als Services freigegeben - ohne Erfolg... Langsam bin ich echt ratlos... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 25. Juni 2019 Teilen Geschrieben 25. Juni 2019 Wenn die andere Außenstelle an der Geschäftsstelle hängt, und nicht auch direkt erreicht werden kann (sogenanntes "Hub and Spoke Konzept"), dann macht es auch durchaus Sinn, wenn die TK-Anlage der Geschäftsstelle genutzt wird, denn ansonsten muss nur eine der beiden Anbindungen wegfallen und schon geht kein Telefon mehr in der einen Niederlassung. Zudem würden beide Anbindungen unnötigerweise belastet mit Traffic für Telefonie für diese Außenstelle 2. Solch eine Kaskadierung von WAN-Anbindungen sollte man tunlichst vermeiden. Habt ihr das vordefinierte "ALL"-Objekt genommen, oder selber eines definiert? Ich meine das von Fortinet vordefinierte "ALL"-Objekt lässt nämlich längst nicht alles zu. Was genau ausgeklammert ist, weiß ich aber nicht mehr so genau. Was genau eingetragen werden muss, hängt von der Konfiguration der TK-Anlage / der Clients ab. Keine Ahnung, was nun der Unterschied zwischen LAN-WAN und LAN-Außenstelle 1 sein soll. Und wieso überhaupt Außenstelle 1? Ich dachte es geht um Außenstelle 2 (laut deinem initialen Posting). Du musst zwischen der VPN-Verbindung und dem LAN der Geschäftsstelle den Traffic erlauben. Dabei solltest du aber beachten, dass du bei der VPN-Verbindung auch eine Policy (VPN Security Policy) mitgeben kannst / musst, welcher Traffic darüber erlaubt ist. Eventuell liegt also bei dieser Security Policy das Problem und nicht im eigentlichen Regelwerk. Alternativ könnte es auch noch an den Local-In-Policies liegen, wie weiter oben schon einmal erwähnt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.