Policy Routing Unklarheiten

[mate]

Hallo zusammen,

ich habe hier gerade ein Problem, bei dem ich nicht weiter komme. Irgendwie hapert es an der Umsetzung. Vielleicht kann ja hier jemand weiterhelfen. Gegeben ist ein Lancom 1823 mit 8.84. Dieser baut zwei VPN Tunnel zu verschiedenen Standorte auf. An den anderen Enden sind jeweils eine Fortigate. Auf dem Lancom gibt es ein internes Netz (Vlan 1, kein Schnittstellentag) und ein Gästenetz (Vlan 2, Schnittstellentag 2, DMZ). Das interne Netz geht über den Internetanschluss des 1823 ins Netz und greift über VPN zu Standort A auf weitere interne Server zu. Das funktioniert. Das Gästenetz wird per ARF und zweiter Defaultroute über Standort B geroutet. Das funtioniert auch. Jetzt soll das Gästentz aber auf einen Server in STandort A zugreifen können. Wenn ich jetzt eine Route anlege mit: "ServerIP, 255.255.255.255, Tag 2, Router Standort A VPN" + Firewallregel: Diese Regel wird zum Erzeugen von SA verwendet, Quelltag 2, Routingtag 2, Quelle Gästenetz, Ziel Server IP" - dann klappt der Zugriff auf den Server aus dem Gästentz. Aber nicht mehr aus dem internen Netz. Auf restliche Server aus dem Standort A Netz kann vom internen Netz zugegriffen werden, nur nicht auf den einen. Ich habe schon verschiedene Möglichkeiten mit Routing und Schnittstellentags durch, aber irgendwie funktioniert es nicht. Im Lanmonotir werden zwar Warnungen angezeigt "Keine Regel für IDs gefunden - unbekannte Verbindung oder fehlerhafte IDs" - so richtig nachvollziehen kann ich das aber nicht.

Hier jemand eine Idee?

Danke im Vorraus.

Mate

[Dr.Einstein]

Hi,

Folgender Vorschlag:

- VPN Regelerzeugung von automatisch auf Manuell setzen bei der betroffenen VPN Verbindung zu Standort A
- VPN-Regeln für jede Netzbeziehung für diesen Tunnel anlegen (Firewall bei den Regeln nicht anhaken, keine Tags, nicht. Nur VPN Regel + Quelle + Ziel + ACCEPT)
-- Quelle Netz A, Ziel Netz B
-- Quelle Netz B, Ziel Netz A
-- Quelle Netz C, Ziel Server-IP
-- Quelle Ziel Server-IP, Ziel Netz C
- IP Route zu dem Server, so wie du sie angelegt hast

[GrandDixence]

LANCOM 1823 ist schon lange EoL (End of life). Dieses LANCOM-Produkt durch ein Nachfolgeprodukt ersetzen. Siehe auch:
https://www.lancom-systems.de/produkte/ ... management

https://www.lancom-systems.de/fileadmin ... ent_DE.pdf

[mate]

Hi,

Folgender Vorschlag:

- VPN Regelerzeugung von automatisch auf Manuell setzen bei der betroffenen VPN Verbindung zu Standort A
- VPN-Regeln für jede Netzbeziehung für diesen Tunnel anlegen (Firewall bei den Regeln nicht anhaken, keine Tags, nicht. Nur VPN Regel + Quelle + Ziel + ACCEPT)
-- Quelle Netz A, Ziel Netz B
-- Quelle Netz B, Ziel Netz A
-- Quelle Netz C, Ziel Server-IP
-- Quelle Ziel Server-IP, Ziel Netz C
- IP Route zu dem Server, so wie du sie angelegt hast

Hallo, funktioniert leider nicht. Selbes Verhalten, Netz C kommt nach Server-IP. Netz A kommt nicht mehr auf die Server-IP.

Gruß

[Dr.Einstein]

Kann es sein, dass deine Fortigate nur eine Netzbeziehung je VPN Tunnel verwalten kann? Dazu könntest du testweise auf der Fortigate mal die eine, mal die andere Routing Regel deaktivieren.

[PappaBaer]

Moin,
die Richtung von Dr.Einstein dürfte die richtige sein.
Du musst in der FortiGate bei der VPN-Verbindung für jede Netzbeziehung unter "Phase 2 Selectors" einen eigenen Eintrag anlegen, Adressgruppen funktionieren in diesem Fall nicht.

Grüße,
Torsten

[plumpsack]

Gegeben ist ein Lancom 1823 mit 8.84. Dieser baut zwei VPN Tunnel zu verschiedenen Standorte auf.

Ich glaub das ja nicht - aber ... manche Menschen sind echt einfach unbelehrbar ...

https://www.verfassungsschutz.de/Shared ... -2023.html

https://www.verfassungsschutz.de/Shared ... onFile&v=2

[mate]

Moin,
die Richtung von Dr.Einstein dürfte die richtige sein.
Du musst in der FortiGate bei der VPN-Verbindung für jede Netzbeziehung unter "Phase 2 Selectors" einen eigenen Eintrag anlegen, Adressgruppen funktionieren in diesem Fall nicht.

Grüße,
Torsten

Guten Morgen,

die Selectoren sind angelegt und und auch "grün". Laut Cli kommt aber kein Traffic rein. Wir haben das ähnlich auch woanders laufen und das klappt alles. Wenn ich auf Lancom Seite die Policyroute mit dem Tag rausnehme funktioniert es ja auch. Ich vermute den Fehler auf Lancom Seite. Ich erreiche aus dem internen Netz ja auch andere Server im selben Subnetz, nur eben nicht den Server, welcher aus dem Gästenetz erreichbar ist.

@an die anderen, ich weiß EOL etc. Es handelt sich noch um eine Teststellung, produktive Standorte sind alle aktuell, falls euch das beruhigt. Habt ihr ggf. sonst was beizutragen?

Grüße
Mate

[Dr.Einstein]

Es fehlt noch irgendein Puzzlestück. Normalerweise ist das keine Raketenwissenschaft.

Kannst du einmal den VPN-Status Trace mitlaufen lassen (ssh: trace # vpn-status oder LanTracer), den VPN trennen/wiederaufbauen lassen und nach den Nachrichten suchen, wo der Aufbau der Netzbeziehung scheitert und hier posten.

[mate]

Es fehlt noch irgendein Puzzlestück. Normalerweise ist das keine Raketenwissenschaft.

Kannst du einmal den VPN-Status Trace mitlaufen lassen (ssh: trace # vpn-status oder LanTracer), den VPN trennen/wiederaufbauen lassen und nach den Nachrichten suchen, wo der Aufbau der Netzbeziehung scheitert und hier posten.

Mache ich am Montag, Danke Dir!

[plumpsack]

@an die anderen, ich weiß EOL etc. Es handelt sich noch um eine Teststellung, produktive Standorte sind alle aktuell, falls euch das beruhigt. Habt ihr ggf. sonst was beizutragen?

Wenn dir das bekannt ist, warum machst du so ein Scheiß?

Du konnektierst das doch via Internet, oder?

Da interessiert doch niemanden den "aktuellen Stand" deiner "produktiven Standorte" wenn du eine so alte Möhre, als Zwischenglied, einsetzt!

In der "Bucht" findest du, >preisgünstig< , Router von Lancom mit aktueller Software!

Setz die als "Teststellung" ein!

Ist wie mit den KFZ-Inhabern die bis heute nicht verstehen was sie für veraltete Gateways in ihren Kraftfahrzeugen betreiben ...

Da kommt noch sowas von ... auf uns zu!

[mate]

Es fehlt noch irgendein Puzzlestück. Normalerweise ist das keine Raketenwissenschaft.

Kannst du einmal den VPN-Status Trace mitlaufen lassen (ssh: trace # vpn-status oder LanTracer), den VPN trennen/wiederaufbauen lassen und nach den Nachrichten suchen, wo der Aufbau der Netzbeziehung scheitert und hier posten.

Moin, das Rätsel ist gelöst, ich habe auf FG Seite nochmal zusätzlich zum Selector Netz intern/Servernetz und Netz Gäste/Server IP nochmal einen Selector Netz intern/Server IP angelegt und dann ging es. Warum auch immer, der Selector Netz intern/Servernetz schließt ja eigentlich Netz intern/Server IP mit ein.

Danke für die Hilfe!

Gruß