Jump to content

VPN aus anderem VPN nicht erreichbar

Empfohlene Beiträge

Hallo Leute,

 

wir haben folgendes Szenario und Problem:

Außenstelle 1 geht über einen Netgear FVS318 VPN Router online, der per Draytek Vigor 130 Modem am DSL angeschlossen ist. Ständige VPN-Verbindung zu unserer Geschäftsstelle (Fortigate 90D) ist eingerichtet und funktioniert. Die Leute in der Außenstelle können sich per MSTSC (Terminalserver in der Geschäftsstelle) anmelden.

Außenstelle 2 geht über eine FritzBox 7490 online und hat ebenfalls eine VPN-Verbindung zu unserer Geschäftsstelle. Einloggen per MSTSC ist möglich.

Nun sollen die IP-Telefone in Außenstelle 2 in der Telefonanlage in Außenstelle 1 registriert werden, sodass eine Telefonie in Außenstelle 2 möglich ist.

Allerdings kann ich von Außenstelle 1 nur die Geschäftsstelle anpingen und nicht Außenstelle 2.

Genau so ist es auch in Außenstelle 2 - hier kann ich nur die Geschäftsstelle anpingen und nicht Außenstelle 1.

Wir kriegen es folglich nicht hin, dass sich die IP-Telefonie erfolgreich registrieren.

Ich komme auch nicht auf das Webinterface der jeweils anderen Router (klar, wenn der Ping schon nicht geht...).

Ich habe schon alles probiert, was mir nur eingefallen ist...

Vielleicht könnt ihr noch ein Stichwort in den Raum werfen um mich so auf die richtige Fährte zu bringen?

Danke!

Grüße

Alex

bearbeitet von alexanderbrix

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 36 Minuten schrieb alexanderbrix:

Vielleicht könnt ihr noch ein Stichwort in den Raum werfen um mich so auf die richtige Fährte zu bringen?

Hast du irgendwo in Aussenstelle 1 hinterlegt, über welches Gateway Geräte der Aussenstelle 2 zu erreichen ist?

Wobei ich davon ausgehe, dass es prinzipiell getrennte Netze sind. Zu der Konfiguration sagtest du bislang nichts.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also, Außenstelle 1 ist ein 192.168.18.0 Netz, Außenstelle 2 ist ein 192.168.22.0 Netz und die Geschäftsstelle hat ein 192.168.23.0 Netz.

Vom 23er Netz kann ich beide anderen Netze anpingen, von den Außenstellen erreiche ich jeweils nur die Geschäftsstelle...

Als Gateway sind die jeweiligen Router eingetragen, ich kann später gerne noch Screenshots der LAN-Konfiguration und der VPN-Konfigurationen machen und hochladen falls benötigt...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Stunden schrieb RubberDog:

Ich würde ja tippen, dass du in den Routern jeweils ne feste Route zur anderen Aussenstelle eintragen musst.

Entweder das, oder in der Forti ist nicht hinterlegt dass man aus VPN1 auch in das VPN2 reinlinsen darf und umgekehrt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 10 Minuten schrieb Maniska:

Entweder das, oder in der Forti ist nicht hinterlegt dass man aus VPN1 auch in das VPN2 reinlinsen darf und umgekehrt.

Statische Routen hatte ich bereits eingetragen, ohne Erfolg...

auf der Forti habe ich statische Routen zu sämtlichen Außenstellen hinterlegt.

wo genau kann ich denn einstellen, dass von VPN1 in VPN2 geschaut werden darf?das wäre bestimmt die Lösung...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor einer Stunde schrieb alexanderbrix:

Statische Routen hatte ich bereits eingetragen, ohne Erfolg...

auf der Forti habe ich statische Routen zu sämtlichen Außenstellen hinterlegt.

wo genau kann ich denn einstellen, dass von VPN1 in VPN2 geschaut werden darf?das wäre bestimmt die Lösung...

Nicht die Routen, sondern die Regeln was aus VPN1 nach VPN2 gespröchen werden darf.

Du wirst sicher eine Regel haben was aus VPN1 nach/von LAN (oder wie das bei dir heißt) darf und von VPN2 nach/von LAN. Wenn du jetzt keine Regel hast die den direkten Zugriff VPN1 nach/von VPN2 regelt...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich würde folgendermaßen vorgehen:

  • Routing überprüfen auf den externen Routern, sowie auf der Fortigate FW.
  • Firewall Regelwerk überprüfen, ob entsprechende Pakete erlaubt sind von VPN1 nach VPN2 in beide Richtungen (dabei darauf achten, ob die Interface auch stimmen, falls man diese in Regeln mit angegeben hat). Falls nicht erlaubt, Traffic erlauben und nochmal testen.
  • Überprüfung der Local-In Policy, ob durch sie etwas blockiert wird. Das Gemeine ist, dass diese Blocks nicht im Log angezeigt werden, sondern man sie nur durch aktives Debugging sieht. Die Local-In Policy hat mir schon des Öfteren in de Suppe gespuckt. Evtl. testweise die erste Regel durch eine any-any Regel ersetzen, die alles erlaubt. 
  • Tieferes Debugging (auf Konsolenebene), ob Pakete aus irgendeinem anderen Grund auf der Firewall verworfen werden und falls ja, weshalb. (z.B. wegen MTU, CRC, ...)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wir haben es jetzt erstmal anders gelöst und die IP-Telefone in Außenstelle 1 auf der TK-Anlage in der Geschäftsstelle registriert.

Nun haben wir aber das Problem, dass zwar die Telefonie-Verbindung zu den Apparaten aufgebaut werden kann, aber nach dem Abheben des Hörers wird keine Voice übertragen...
Ich habe schon sämtliche Ports in der Forti freigegeben (hier geht es v.a. um das RTP-Protokoll), aber ich komme nicht weiter...

In welche(n) Regel(n) muss ich denn die Portfreigaben der TK-Anlage eintragen?

folgende Regeln sind u.a. vorhanden:
* LAN-WAN
* WAN-LAN
* Außenstelle1-LAN
* LAN-Außenstelle1

Ich habe testweise in allen 4 Regeln sogar "ALL" als Services freigegeben - ohne Erfolg...

Langsam bin ich echt ratlos...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wenn die andere Außenstelle an der Geschäftsstelle hängt, und nicht auch direkt erreicht werden kann (sogenanntes "Hub and Spoke Konzept"), dann macht es auch durchaus Sinn, wenn die TK-Anlage der Geschäftsstelle genutzt wird, denn ansonsten muss nur eine der beiden Anbindungen wegfallen und schon geht kein Telefon mehr in der einen Niederlassung. Zudem würden beide Anbindungen unnötigerweise belastet mit Traffic für Telefonie für diese Außenstelle 2. Solch eine Kaskadierung von WAN-Anbindungen sollte man tunlichst vermeiden.

Habt ihr das vordefinierte "ALL"-Objekt genommen, oder selber eines definiert? Ich meine das von Fortinet vordefinierte "ALL"-Objekt lässt nämlich längst nicht alles zu. Was genau ausgeklammert ist, weiß ich aber nicht mehr so genau.

Was genau eingetragen werden muss, hängt von der Konfiguration der TK-Anlage / der Clients ab.

Keine Ahnung, was nun der Unterschied zwischen LAN-WAN und LAN-Außenstelle 1 sein soll. Und wieso überhaupt Außenstelle 1? Ich dachte es geht um Außenstelle 2 (laut deinem initialen Posting).

Du musst zwischen der VPN-Verbindung und dem LAN der Geschäftsstelle den Traffic erlauben.
Dabei solltest du aber beachten, dass du bei der VPN-Verbindung auch eine Policy (VPN Security Policy) mitgeben kannst / musst, welcher Traffic darüber erlaubt ist. Eventuell liegt also bei dieser Security Policy das Problem und nicht im eigentlichen Regelwerk. Alternativ könnte es auch noch an den Local-In-Policies liegen, wie weiter oben schon einmal erwähnt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nimm an der Diskussion teil

Du kannst jetzt hier posten und Dich später registrieren. Wenn Du bereits über eine Konto verfügst, melde Dich jetzt an, um mit Deinem Konto zu posten.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.


Fachinformatiker.de, 2019 SE Internet Services

fidelogo_small.png

if_icon-6-mail-envelope-closed_314900.pnSchicken Sie uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App


Get it on Google Play

Kontakt

Hier werben?
Oder senden Sie eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung