Toon posts:

Fortigate configureren, routering en firewalls en subnetten

Pagina: 1
Acties:

Vraag


  • P-e-t-j-e
  • Registratie: Juli 2005
  • Laatst online: 20-03 18:48

P-e-t-j-e

dapper oranje: wortheldje

Topicstarter
Mijn vraag

Ik ben met een fortigate aan het stoeien ter lering ende vermaak om wat vlan en routeringservaring op te doen. Uiteindelijk moet hij op een klein zakelijk netwerkje komen te draaien. Ik heb weinig cli ervaring qua routers dus configureer via de gui.

Wat ik wil:

- Kantoor subnet met internettoegang (done)
- L2tp remote vpn toegang van buitenaf (done)
- Site-site vpn met thuis (done)

Wat nog niet lukt of niet goed weet hoe:

- Internet via remote vpn (voor toegang tot diensten die alleen vanaf kantoor beschikbaar zijn). Toegang tot het kantoorsubnet lukt, maar internet via de remote vpn lukt niet
- verkeer via de remote vpn routeren maar de site-site vpn zodat ik geen 2 vpn's op hoef te zetten (share thuis benaderen via remote vpn naar de zaak als ik onderweg ben)
- vpn gebruikers komen nu in kantoor subnet uit. Heb daar klein ipreeksje opgegeven wat in het kantoorsubnet valt. Echter heb ik een servertje die dhcp uitgeeft met juiste domein/dns. Hoe gebruik ik die ipv statisch ipreeksje?

Wat is slim?

- remote vpn gebruikers in apart subnet binnen laten komen en via firewalling naar kantoorsubnet openzetten, of zoals nu direct in het kantoorunits uit laten komen?

Relevante software en hardware die ik gebruik

Fortigate 60e met os v7.x

Wat ik al gevonden of geprobeerd heb

Van alles. De gewenste situatie is te specifiek on zinvol en gericht te kunnen zoeken, ik heb mensen met ervaring nodig. Maar ik kan de gevraagde zaken niet zelf beredeneren vanwege ervaringsgebrek met fortigate. Wanneer vlan? Wanneer zone? Wel of geen apart subnet voor vpn? Op de huidige draytek werkt alles prima. Ook ben ik benieuwd hoe anderen over de juiste opzet denken.

doe wat je niet laten kunt en laat wat je niet doen kunt

Alle reacties


  • _Hades_
  • Registratie: Juli 2000
  • Laatst online: 27-03 23:09
On internet via de vpn te routeren moet je de 0.0.0.0/0 route meegeven aan vpn clients. Daarmee hebben ze ook meteen de route naar jouw s2s vpn. Ik zou ze in een apart subnet laten uitkomen zodat je altijd controle (en logging) hebt over wat er gebeurd.

  • EelcoB
  • Registratie: April 2000
  • Laatst online: 12:53
Ik zou de VPN inderdaad in een apart subnet zetten, en dan dmv firewalling de toegang tot het bedrijfsnetwerk open zetten, op die manier kan je ook reguleren wat er wel en niet kan/mag qua diensten via VPN.

Ik werk voornamelijk met SSL VPN's via fortigates icm Forticlient VPN, daar heb je de optie om wel/geen split tunnel te gebruiken. Dat werkt over het algemeen prima, op M1 Macs na, daarvoor moet je de 6.4.7 forticlient gebruiken, de 7.x versie werk niet.... :X

Ik zou kiezen om een split tunnel te gebruiken indien beschikbaar. Dan routeer je alleen het relevante verkeer via de VPN, en al het andere gaat dan buiten de VPN om. Dat scheelt je ook nog eens aan bandbreedte die nodig is op de Fortigate naar de VPN gebruikers

[Voor 13% gewijzigd door EelcoB op 07-01-2022 23:11]


  • P-e-t-j-e
  • Registratie: Juli 2005
  • Laatst online: 20-03 18:48

P-e-t-j-e

dapper oranje: wortheldje

Topicstarter
_Hades_ schreef op vrijdag 7 januari 2022 @ 22:51:
On internet via de vpn te routeren moet je de 0.0.0.0/0 route meegeven aan vpn clients. Daarmee hebben ze ook meteen de route naar jouw s2s vpn. Ik zou ze in een apart subnet laten uitkomen zodat je altijd controle (en logging) hebt over wat er gebeurd.
Als ik de vpn opzet krijg ik op mijn client idd 0.0.0.0 als default gateway. Heb routeren via remote vpn naar site2site nog niet getest om ik de remote vpn opzet vanuit thuis (om te testen). Site-site staat nu dus uit. Maar ik krijg geen internet als ik de vpn open heb staan. Zoals gezegd wil ik geen split internet omdat ik uiteindelijk via de remote vpn ook via de site-site vpn op mijn thuisnetwerk wil kunnen.

doe wat je niet laten kunt en laat wat je niet doen kunt


  • P-e-t-j-e
  • Registratie: Juli 2005
  • Laatst online: 20-03 18:48

P-e-t-j-e

dapper oranje: wortheldje

Topicstarter
EelcoB schreef op vrijdag 7 januari 2022 @ 23:06:
Ik zou de VPN inderdaad in een apart subnet zetten, en dan dmv firewalling de toegang tot het bedrijfsnetwerk open zetten, op die manier kan je ook reguleren wat er wel en niet kan/mag qua diensten via VPN.
Ok, dacht dat rechtstreeks in het kantoorsubnet gewoon makkelijk was maar ik snap de logging/controle aspecten. Zit ik wel met dns, ik wil de server als dns + domeinachtervoegsel. De server heeft dat met zijn dhcp mee. Hoe regel ik dat voor de vpn gebruikers? Zie zo niet waar ik het in moet stellen?
Ik werk voornamelijk met SSL VPN's via fortigates, daar heb je de optie om wel/geen split tunnel te gebruiken. Ik zou dan kiezen om een split tunnel te gebruiken. Dan routeer je alleen het relevante verkeer via de VPN, en al het andere gaat dan buiten de VPN om. Dat scheelt je ook nog eens aan bandbreedte die nodig is op de Fortigate naar de VPN gebruikers
Zoals gezegd wil ik geen split internet omdat ik uiteindelijk via de remote vpn ook via de site-site vpn op mijn thuisnetwerk wil kunnen.

doe wat je niet laten kunt en laat wat je niet doen kunt


  • EelcoB
  • Registratie: April 2000
  • Laatst online: 12:53
P-e-t-j-e schreef op vrijdag 7 januari 2022 @ 23:11:
[...]

Zoals gezegd wil ik geen split internet omdat ik uiteindelijk via de remote vpn ook via de site-site vpn op mijn thuisnetwerk wil kunnen.
Static route aanmaken op de fortigate om voor jouw thuis subnet de site to site te gebruiken?

  • P-e-t-j-e
  • Registratie: Juli 2005
  • Laatst online: 20-03 18:48

P-e-t-j-e

dapper oranje: wortheldje

Topicstarter
Ja lijkt me inderdaad de oplossing. Maar internet via de VPN lukt al niet. Dus naar de site-site zal wel lukken als internet ook lukt. Enig idee waarom internet via VPN niet zou werken? Kan helaas geen config posten, firewall staat nog op de zaak :(

doe wat je niet laten kunt en laat wat je niet doen kunt


  • EelcoB
  • Registratie: April 2000
  • Laatst online: 12:53
Waarom een L2TP VPN, en niet gewoon een SSL VPN icm de Forticlient, die pakken wij meestal. In de SSL VPN settings kan ik namelijk zo DNS specificeren als ik non standaard DNS servers wil.

Internettoegang zal denk ik een kwestie zijn van firewalling, je zal uitgaand verkeer in de Fortigate ook moeten toestaan, dus een regel als volgt:
Source: VPN interface
Destination WAN interface
en dan uiteraard aangeven welke diensten e.d. je wilt toestaan.

  • P-e-t-j-e
  • Registratie: Juli 2005
  • Laatst online: 20-03 18:48

P-e-t-j-e

dapper oranje: wortheldje

Topicstarter
L2tp vpn staat nu al op de 3 laptops in gesteld naar de huidige router. Heb dus de instellingen overgenomen zodat ik op de laptops niets aan hoef te passen. Wil het eerst zo even werkend zien te krijgen (omdat het kan :)). Ik ga het maandag nog eens doorkijken met de firewallregels. Thanks!

doe wat je niet laten kunt en laat wat je niet doen kunt


  • EelcoB
  • Registratie: April 2000
  • Laatst online: 12:53
Ik weet niet hoeveel mensen tegelijk die VPN gaan gebruiken, maar met een full tunnel gaat al het verkeer over die VPN, dus ook als ze streamen. youtube kijken etc etc, dan loopt je internetlijn op de fortigate al snel dicht.

Het kan overigens prima werken via split tunnels
Bij een klant van ons werkt het als volgt
VPN naar hoofdkantoor ( primaire servers staan daar)
Site to site naar een 2e locatie, daar draait ook nog een server in een compleet ander subnet
Als ik een VPN open naar het hoofdkantoor, kan ik prima de server op de 2e locatie benaderen omdat ik in de static route vermeld heb dat dat hele subnet over die site to site moet lopen.

Ik ben geen expert in Fortigates, maar werk er nu een aantal jaar mee, in situaties die heel eenvoudig zijn, tot klanten met meerdere vestigingen en site to site vpns onderling, en naar externe partijen.
Ik kan er gelukkig steeds beter mee uit de voeten :)

  • P-e-t-j-e
  • Registratie: Juli 2005
  • Laatst online: 20-03 18:48

P-e-t-j-e

dapper oranje: wortheldje

Topicstarter
Ben er via teamviewer toch nog bij gekomen :) snel even gekeken. Voor de remote vpn heeft hij 2 firewallregels aangemaakt met 2 verschillende inkomende interfaces via de ipsec vpn wi,ard voor native windows? 1 is met de naam l2t.root (al het verkeer vanuit l2t.root naar kantoorsubnet toestaan) en de 2e is met de naam vpn_kantoor (l2tp verkeer van vpn_kantoor naar wan1 toestaan). Die laatste snap ik niet goed? Is dat voor het retourverkeer bij het opzetten van de vpn? En hoe zet ik internet vanuit vpn open? Welke inkomende interface pak ik? L2t.roor of vpn_kantoor?

doe wat je niet laten kunt en laat wat je niet doen kunt


  • P-e-t-j-e
  • Registratie: Juli 2005
  • Laatst online: 20-03 18:48

P-e-t-j-e

dapper oranje: wortheldje

Topicstarter
Gelukt via alle verkeer met source interfave l2t.root en destination wan1.

Waarom heb ik interface l2t.root en vpn_kantoor? Wat is het verschil/de functie? Hier begint het leren....

doe wat je niet laten kunt en laat wat je niet doen kunt


  • plizz
  • Registratie: Juni 2009
  • Laatst online: 11:15
l2t.root interface = L2tp remote VPN toegang van buitenaf
vpn_kantoor interface - site-to-site VPN thuis en kantoor.

Je stelt policy's in op die interfaces zodat verkeer van interface naar andere interface mag.

  • P-e-t-j-e
  • Registratie: Juli 2005
  • Laatst online: 20-03 18:48

P-e-t-j-e

dapper oranje: wortheldje

Topicstarter
plizz schreef op zaterdag 8 januari 2022 @ 09:51:
l2t.root interface = L2tp remote VPN toegang van buitenaf
vpn_kantoor interface - site-to-site VPN thuis en kantoor.

Je stelt policy's in op die interfaces zodat verkeer van interface naar andere interface mag.
Zo! Was ik even aan het slapen.... vermoeidheid zullen we maar zeggen...

Volgend probleem: zeg het kantoor subnet is 192.168.1.1/24. Ik heb nu een vlan aangemaakt voor de vpn gebruikers (zeg 192.168.11.1/24). Tijdens de vpn wizard heb ik een kleine iprange opgegeven voor ipadressen: 192.168.1.240-192.168.1.250 zodat ik direcy in het kantoor subnet zat. Nu wil ik dus op advies een apart subnet voor vpn users.

Ik zie onder adresses wel mijn iprange benoemd, maar kan in de gui nergens vinden waar ik de een andere range aan de huidige remote vpn toeken. Hoe zorg ik dat de vpn gebruikers in mijn nieuwe vlan met 192.168.11.x subnet uitkomen?

Meteen twee aanvullende vragen:
- hoe kan ik zien welke gebruiker een actieve vpn heeft? Ik zie wel het aantal verbindingen maar geen gebruiker.
- hoe kan ik een gebruiker vanaf de firewall een specifiek ip geven bij het verbinden? Dan kan ik per ip/gebruiker firewall regels aanmaken wie naar specifieke ips op het kantoor/mij thuis mag.

doe wat je niet laten kunt en laat wat je niet doen kunt


  • plizz
  • Registratie: Juni 2009
  • Laatst online: 11:15
Ik zal niet uitgebreid vertellen. Anders leer je niks. Maak wel eerst een backup word je gaat sleutelen aan je Fortigate.

Je kan op Fortigate SSL VPN Portal nieuwe SSL VPN portal maken. Daar in zet je die subnet 192.168.11.0/24 als source IP pool en welke subnet(s) naar SSL VPN client wordt gestuurd. Je kunt verder user groep maken en die user groep in policy gebruiken zodat ze alleen naar bepaalde subnet(s) of host(s) mogen.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee