Konfiguration Internet-Box und Hardware Firewall (Fortigate 40C)

Psyfrog

Hallo zusammen

Ich möchte das Thema Internet-Box und Hardware Firewall (bei mir eine Fortigate 40C) hier nochmals aufnehmen. Leider habe ich mich dazu verleiten lassen mir beim Umstieg von Cablecom zu Swisscom gleich eine Internet-Box inkl. dem neuen VOIP Telefon anzuschaffen.

Nun habe ich jedoch das Problem dass ich meine Fortigate 40C nicht mehr wie vorher einsetzen kann. So viel ich gelesen und verstanden habe gibt es bei der Internet-Box momentan ja leider keine Möglichkeit die WAN-IP weiterzuleiten bzw. diese in Bridge-Modus o.ä. zu betreiben.

Die einzige mögliche Lösung wäre also bei der Internet-Box die DMZ Funktion (was auch immer die genau macht!?) zu aktivieren und diese auf den WAN-Port der Fortigate mit fixer IP zu leiten und ein zweites IP-Netz (192.168.2.0/24) für die an der Fortigate angeschlossenen Geräte zu konfigurieren. TV und VOIP gleibt dabei natürlich im ersten IP-Netz (192.168.1.0/24) der Internet-Box.

Dies habe ich soweit schon mal geschafft und ich kann vom zweiten IP-Netz auch auf die GUI von der Internet-Box etc. zugreifen. Der Internetzugriff selber jedoch funktioniert leider noch nicht. Da ich mich jedoch mit dynamischen/statischen Routen nicht wirklich auskenne und das Gefühl habe dass das Problem hier zu suchen ist wäre ich sehr dankbar wenn mir jemand sagen könnte welche Einstellung noch fehlt bzw. wie und wo die Routen konfiguriert werden müssen. Natürlich bin ich auch offen für andere Lösungen/Vorschläge um mein Netzwerk wieder mit meinem Fortigate schützen zu können.

Danke! Gruss

PowerMac

Hast du auf der Fortigate NAT vom LAN zum WAN aktiviert? Da auf der Internetbox keine Möglichkeit zur Definition statischer Routen besteht, führt leider kein Weg an Double-NAT vorbei.

Psyfrog

Hallo

Ja, NAT habe ich in der Policy für die Verbindung LAN-WAN aktiviert. Habe noch eine kleine Cablecom Leitung an WAN2 hängen und da habe ich kein Problem ins Net zu kommen. Aber wenn ich die deaktiviere und auf WAN1 gehen möchte erreiche ich zwar die Internet-Box und alles andere im ersten IP-Netz aber keine Verbindung nach draussen. Kanns eventuell am Standardgateway liegen...? Ist momentan bei 192.168.2.1 (anderes Subnet geht ja nicht).

Gruss

PowerMac

Grundsätzlich hat jedes Gerät in der Regel nur ein Standardgateway. Die Geräte in deinem LAN werden da vermutlich 192.168.2.1 eingestellt haben, dh. das LAN-Interface der Fortigate.

Die Fortigate wiederum muss als Standardgateway den nächsten Router auf dem Weg ins Internet verwenden. Da du offenbar zwei WAN-Links benutzt, wird die Sache nun etwas komplexer. Gemäss dieser Anleitung läuft das bei Fortigate so:

Beide WAN-Links werden mit den passenden Interfaceeinstellungen des jeweiligen ISPs konfiguriert. An dieser Stelle wird KEIN Defaultgateway konfiguriert.
Es werden ZWEI Default-Routen 0.0.0.0/0 erstellt, einmal eine mit höherer Priorität (kleiner Wert für Distance) auf den bevorzugten nächsten Router (dh. in deinem Fall die Internetbox auf 192.168.1.1), und einmal eine mit niedrigerer Priorität (grosser Wert für Distance) auf den Backuprouter, dh. bei dir Cablecom.
Zwei Jobs werden eingerichtet, die die Funktionstüchtigkeit der beiden Routen ständig überwachen. Fällt die Hauptroute länger als die eingestellte Dauer (z.B. 5s) aus, wird sie deaktiviert und die Backuproute tritt in Kraft.

Für den Anfang würde ich einfach nur einmal eine einzige Defaultroute auf 192.168.1.1 setzen und von dort aus weitertesten.