Toon posts:

Routering.

Pagina: 1
Acties:

donderdag 4 augustus 2011 16:41

Acties:

Verwijderd

Topicstarter
Hoi,

We hebben hier een MPLS netwerk van KPN, en een firewall naar het internet toe.
De Firewall is een Fortinet 400A.

Verder hebben wij een aantal zeer kleine kantoortjes zonder MPLS, deze verbinden doormiddel van een VPN IPSEC verbinding naar onze firewall..
Lokaal hebben hun ook een kleine Fortinet staan (60C)

De mensen kunnen allemaal prima werken en de resources benaderen die ze nodig hebben.
Maar we hebben nog 1 puntje waar ik mee in de maag zit.
Mensen binnen ons MPLS netwerk die via de Firewall naar het internet surfen hebben een webfilter die op de firewall draait.

De mensen die op de VPN sites zitten gaan blijkbaar buiten onze centrale firewall om het internet op en hebben dus geen webfilter.
Het enigste verkeer wat door de tunnel gaat is het verkeer van de applicaties. Ze gaan vanaf hun eigen fortinet rechtstreeks het internet op..

Ik zou graag een oplossing willen dat het internet verkeer ook door de tunnel gaat naar onze centrale firewall en daar daadwerkelijk het internet op gaat.

Op dit moment hebben wij gateway to gateway verbindingen geconfigureerd.

Een collega had het over hub and spoke maar als ik naar die configuratie kijk werkt dit op ongeveer dezelfde manier en zal het verkeer niet door de tunnel gaan. enigste verschil is dat de hoofdrouter als hub functioneerd tussen alle vpn sites..

Kan iemand me in de juiste richting helpen op welke manier ik het beste kan configureren?

[ Voor 8% gewijzigd door Verwijderd op 04-08-2011 16:45 ]

donderdag 4 augustus 2011 16:47

Acties:
  • CodeCaster
  • Registratie: Juni 2003
  • Niet online

CodeCaster

Stop AI Slop

Ik ken die Fortigate-routers niet, maar je zal iets als "force all traffic through tunnel" moeten doen, wat zal resulteren in een default route (0.0.0.0/0) die naar je IPSec-interface verwijst (local2remote heet die bij Fortigate voor zover ik zo snel kan vinden).

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

donderdag 4 augustus 2011 18:36

Acties:
  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 23-02 22:08

webfreakz.nl

el-nul-zet-é-er

Ga je wel genoeg bandbreedte richting het internet overhouden voor iedereen als alle Branch Offices (spokes) internetten via de Main Office(Hub)?

Als je de tip van CodeCaster implementeert, stel dat de internet verbinding van je Main Office eruit ligt, kunnen je Branch Offices dan nog het internet op?

[ Voor 39% gewijzigd door webfreakz.nl op 04-08-2011 18:41 ]

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

donderdag 4 augustus 2011 18:41

Acties:
  • Vinnienerd
  • Registratie: Juli 2000
  • Laatst online: 11:42

Vinnienerd

Kan je dan niet beter je grote Fortinet colocated maken? Dan houd je op je hoofdkantoor nog wat bandbreedte over.

vrijdag 5 augustus 2011 08:59

Acties:

Verwijderd

Topicstarter
webfreakz.nl schreef op donderdag 04 augustus 2011 @ 18:36:
Ga je wel genoeg bandbreedte richting het internet overhouden voor iedereen als alle Branch Offices (spokes) internetten via de Main Office(Hub)?

Als je de tip van CodeCaster implementeert, stel dat de internet verbinding van je Main Office eruit ligt, kunnen je Branch Offices dan nog het internet op?
Bandbreedte hebben we genoeg..
Als onze verbinding eruit ligt kunnen ze ook niet bij de applicaties dus kunnen ze zowiezo weinig.
Internetten is niet noodzakelijk..

Situatie hoe het nu geconfigureerd is:
De IPSEC verbindingen zijn policy based geconfigureerd, niet route based. (ik vermoed ook dat hier de fout in zit).

Mijn default route is 0.0.0.0 verwijst naar de gateway van het internet (het modem) en als interface de wan1 port waar internet op binnenkomt. (verder geen routes)

Verder heb ik een policy die op basis van dest. traffic van bepaalde subnets (op het het hoofdkantoor) de tunnel in gooit (subnets zijn ook in phase2 gedefinieert van de ipsec tunnel).
Verkeer anders dan de subnets op het hoofdkantoor gaan via een any any allow policy via de wan1 port naar buiten.

Ik ga komend weekend eens testen, maar kan in de handleidingen weinig vinden over forcing all traffic through tunnel.

Zou ik de config om moeten gooien tot een route based ipsec verbinding? of zal het met policy's op te lossen zijn?

[ Voor 41% gewijzigd door Verwijderd op 05-08-2011 09:14 ]

vrijdag 5 augustus 2011 20:04

Acties:
  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 23-02 22:08

webfreakz.nl

el-nul-zet-é-er

Verwijderd schreef op vrijdag 05 augustus 2011 @ 08:59:
[...]
Ik ga komend weekend eens testen, maar kan in de handleidingen weinig vinden over forcing all traffic through tunnel.
Dat is ook niet echt een optie waar je een vinkje bij zet zodat het dan werkt :P

Vanaf de Fortinet op je Branch Offices gezien:

Je route 0.0.0.0/0 moet zijn next-hop hebben naar de "remote peer" binnen je VPN tunnel. Je moet dan niet vergeten je public IP van je Main Office te hardcoden met een /32 route richting je modem, anders komt je tunnel niet meer up ;) (die route zal nu onder 0.0.0.0/0 met next-hop je modem vallen).

Eventueel kan je als je Cisco apparatuur had nog wat hippe dingen doen met "ip sla monitor" zodat je een gateway kan pingen (bijvoorbeeld de "remote peer" van je VPN) en als die gateway down is je route omschakelen. Dus in dat geval je 0.0.0.0/0 niet via je VPN tunnel schoppen maar terugzetten zodat het verkeer gewoon normaal richting je modem over het internet gaat. Maar dat was niet nodig zei je. Heb ook geen idee of dat mogelijk is om te configureren met Fortinet.

http://www.cisco.com/en/U...e/dbackupx.html#wp1071672
http://www.cciecandidate.com/?p=389

Misschien kan je ook in plaats van die "ip sla monitor" OSPF gebruiken, en dan een "default information originate" doorgeven richting je Branch Offices. In het geval van een failure (VPN down, of internetverbinding van je Main Office down) zou je 0.0.0.0/0 route die je via OSPF hebt gekregen verwijderd worden. Maar dat mag je zelf uitvogelen :P

[ Voor 22% gewijzigd door webfreakz.nl op 05-08-2011 20:20 ]

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

dinsdag 9 augustus 2011 11:40

Acties:

Verwijderd

Topicstarter
Door wat issues nog niet aan het testen toegekomen.

Maar wat ik nu begrijp is het volgende:

Route 0.0.0.0/0 naar het interne ip van de firewall op het main-office routeren.
route public-ipadres main firewall/32 naar modem.

En dan zou het moeten werken?

[ Voor 6% gewijzigd door Verwijderd op 09-08-2011 11:40 ]

dinsdag 9 augustus 2011 11:48

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Kan je de PC op de remote site niet verplichten een proxy server te gebruiken die op je centrale site staat. Hoef je niks aan je routering te wijzigen.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq