Archiv der Kategorie: Workaround

Work around & troubleshotings

FortiGate subnet overlapping remapping

Bei einer Site-to-Site-VPN-Konfiguration kann es oft vorkommen, dass die privaten IPv4 Subnet-Adressen an jedem terminierten Ende die selben sind. Das Problem kann durch Remapping der privaten IPv4-Adressen mithilfe von virtuellen IP-Adressen (VIP) gelöst werden.

Durch VIPs können Computer in dessen überlappenden privaten Subnets jeweils einen anderen IP-Adressbereich zugewiesen werden, die Subnets können transparent verwendet werden. Die FortiGate Appliance bildet die VIP-Adressen zu den ursprünglichen Adressen um. Dies bedeutet, wenn PC1 eine Sitzung mit PC2 bei 10.31.101.10 beginnt, leitet FortiGate_2 die Sitzung zu PC2, dieser tatsächliche die IP-Adresse 10.11.101.10 besitzt.

Abbildung zeigt – Finance Netzwerk VIP ist 10.21.101.0/24 und das HR-Netzwerk hat 10.31.101.0/24.

Überlappende Subnetze Beispiel
Überlappende Subnetze Beispiel

Konfiguration einer Route-basierten VPN Lösung:

Eine IPsec Phase 1 und Phase 2 erstellen, wie du es normalerweise für ein Route-basierten VPN tun würdest. In diesem Beispiel wird die resultierende IPsec-Schnittstelle mit IPsec_FGT1_2_FGT2 bezeichnet.

Konfigurieren des virtuellen IP (VIP) Mapping, unter Policy & Objects > Virtual IPs > Create New

New Virtual IP
New Virtual IP

Konfiguriere eine outbound Policy auf beiden FortiGate, unter Policy & Objects > IPv4 Policy > Create New, Lasse den Policy Type auf Firewall und die Policy Subtype als Adresse:

Policy outbound
Policy outbound

Konfigurieren der inbound Policy:

Policy inbound
Policy inbound

Konfigurieren der Static Route:

Static Route
Static Route

Wiederhole diesen Vorgang auf beiden FortiGate, FGT1 und FGT2, unter berücksichtigung der entsprechenden Subnets, 10.21.101.0/24 und 10.31.101.0/24.

LogExpert für Entwickler unter Windows

Unix Entwickler kennen das Shell cmd, tail –f und less <F> um die Protokollierung der Log-Files in Echtzeit anzuzeigen. Arbeitet man unter Windows bietet sich hier On-Board nur die Windows Management Console, die Ereignisanzeige (eventvwr.msc). Mit dem Open Source Tool LogExpert von Hagen Raab haben *IX Entwickler die Möglichkeit die Logs in fast gewohnter Unix weise zu untersuchen.

github.com/hraab/LogExpert

LogExpert
LogExpert, tail for windows