VPN IPsec Site2Site mit Fortigate

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
jlandthaler
Beiträge: 2
Registriert: Mi 26.05.2021, 17:36

VPN IPsec Site2Site mit Fortigate

Beitrag von jlandthaler »

Hallo zusammen, :)

ich habe folgendes Problem:
wir probieren nun mittlerweile seit Tagen eine IPsec Verbindung zwischen einer Securepoint und einer Fortigate Firewall einzurichten - leider immer noch erfolglos.

Nun zur Frage: Hat das irgendwer von euch schonmal hinbekommen? Ist das überhaupt einfach so möglich? Ich wüsste ehrlich gesagt nicht wo der Fehler noch liegen könnte...

Bin über jede Antwort dankbar!

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

ja IPSec sollte ohne Probleme machbar sein. Wichtig ist das die Fortigate kein aggr. Mode macht. Sie können auch in der UTM im Livelog schauen woran es scheitern könnte. Ein FAQ zu den Logmeldungen finden Sie hier.

Gruß Björn

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Hallo,

ja, wir haben seit mehreren Jahren einen IKEv1-IPsec-Tunnel zu einer Fortigate:
Phase 1: AES256 / SHA2 / modp1536 / strict / IKE Lifetime 8 Stunden / Startverhalten: Outgoing mit PSK
Phase 2: AES256 / SHA2 / modp1536 / Key Lifetime 8 Stunden

Früher gab es auf der Fortigate-Seite manchmal Probleme, da wir auf unserer Seite eine dynamische IP mit einem spdns-Host hatten, aber das ist lange her. Keine Ahnung ob die das IPsec immer noch manchmal neu starten müssen, oder ob es da mittlerweile eine Lösung gibt. Habe auf jeden Fall schon lange nichts mehr von Problemen der Gegenstelle gehört.

Gruß
Rolf

jlandthaler
Beiträge: 2
Registriert: Mi 26.05.2021, 17:36

Beitrag von jlandthaler »

merlin hat geschrieben: Hallo,

ja, wir haben seit mehreren Jahren einen IKEv1-IPsec-Tunnel zu einer Fortigate:
Phase 1: AES256 / SHA2 / modp1536 / strict / IKE Lifetime 8 Stunden / Startverhalten: Outgoing mit PSK
Phase 2: AES256 / SHA2 / modp1536 / Key Lifetime 8 Stunden

Früher gab es auf der Fortigate-Seite manchmal Probleme, da wir auf unserer Seite eine dynamische IP mit einem spdns-Host hatten, aber das ist lange her. Keine Ahnung ob die das IPsec immer noch manchmal neu starten müssen, oder ob es da mittlerweile eine Lösung gibt. Habe auf jeden Fall schon lange nichts mehr von Problemen der Gegenstelle gehört.

Gruß
Rolf
Vielen Dank für eure schnellen Antworten!

An einem Standort habe ich zwischen meiner Fortigate und dem WAN eine Fritzbox (ist in einem anderen internen Netz). Diese ist allerdings im Bridge Mode, gibt also alle Ports einfach durch.

Muss ich auf meiner Fortigate dann evtl. als WAN Schnittstelle die Fritzbox angeben? Oder einfach den WAN Port der Fortigate?

Gruß
Julian

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Keine Ahnung was auf der Fortigate-Seite gemacht werden muss, aber IPsec und ein zusätzlicher NAT-Router kann so seine Schwierigkeiten machen:
https://wiki.securepoint.de/UTM/VPN/%C3%9Cbersicht
Nach deiner Erklärung klingt es danach als wäre die FritzBox ein zusätzlicher NAT-Router und keine Bridge.
Soweit ich weiß kann eine FritzBox auch nur als NAT-Router oder als Modem (PPPoE-Path-through oder so ähnlich - jedenfalls macht dann die Fortigate die Einwahl mit Authentifizierung usw. und hat die öffentliche IP direkt auf dem WAN-Interface). Aber ich kann mich auch täuschen.

MB1982
Beiträge: 20
Registriert: Fr 05.07.2019, 17:04

Beitrag von MB1982 »

Sollte eigentlich auch mit einer Fritzbox davor gehen. Wichtig ist an die Securepoint weiterzuleiten. Entweder alles über die Exposed Host Funktion der Fritzbox, dann kommt alles an der Securepoint an. Oder man leitet nur die Ports weiter die man wirklich braucht. Ist etwas aufwändiger, weil ich quasi an 2 Stellen Ports weiterleiten muss, aber so habe ich erst die Fritzbox und dann noch die Securepoint, falls es mal irgendwo Sicherheitslücken in der Firmware gibt.
Wichtig ist dann UDP Port 500 und 4500 an die WAN Seite der SP weiterzuleiten und das ESP Protokoll. NAT macht schon mal Stressweiterhin kann IPsec bei LTE Probleme machen weil dort oft private IPs vergeben werden. Stabile Alternative wäre S2S SSL.

Antworten