Probleem met Proximus BBox3->VPN->IPsec en Fortigate30e

[MeinerEiner]

Beste,
wij hebben nu een nieuwe BBox3 van Proximus.
Wij hebben nu ook een vaste IP, maar ik kan geen VPN meer opbouwen tussen twee fortigate 30e.
Ik gebruik IPsec tunnel en met de Bbox2 heeft dat reeds (met DynDNS) gewerkt, maar was niet zo betrouwbaar en had onderbrekingen.
Om dit te voorkomen hebben wij een vaste IP gevraagd.
Van dit moment heeft het niet meer gewerkt->de paketten komen niet meer door naar de 2te Fortigate.
Naar veel bellen en uitleeg aan de verschillende IT Helpdesks van Proximus zeggen zij, dat zij "iets gedaan hebben" en reeds iets aangepast voor IPsec, maar het werkt toch niet...
Nu zeggen zij, zij geven geen ondersteuning voor VPN geven en ik zou een (betalend! ) IT Helpdesk vragen...
allez!

Kent iemand een oplossing?
Merci voor hulp!

MeinerEiner
(excuseer mijn raar Nederlands - ik ben uit Duitsland en oefen de taal nog )

[MeinerEiner]

Heeft niemand een VPN over een BBox3?

[philippe_d]

maar ik kan geen VPN meer opbouwen tussen twee fortigate 30e.

Kan je misschien wat meer details geven over de juiste opstellingen (aan beide kanten)?

Voor zover ik het begrijp is een Fortigate 30E een router (WAN + 4 x LAN).
Deze staat nu achter de B-box3?

Hier heb je dan 2 opties:

1. de Fortigate heeft een eigen lokaal netwerk achter het LAN van de B-box3 (= dubbele NAT, geen publiek IPv4).
2. de Fortigate bouwt een eigen PPPoE verbinding op.

In het eerste geval moet je de nodige poorten openzetten in de B-box3 (tenzij de Fortigate hier alleen de VPN Client is). Voor IPsec is dit normaal poort 500/UDP (en/of poort 4500).
In het 2de geval moet je geen poorten openzetten, want dan krijgt de Fortigate firewall een eigen publiek IPv4 adres.
Dat is volgens mij trouwens de beste opstelling!

Ik gebruik IPsec tunnel en met de Bbox2 heeft dat reeds (met DynDNS) gewerkt, maar was niet zo betrouwbaar en had onderbrekingen.
Om dit te voorkomen hebben wij een vaste IP gevraagd.

Ik denk niet dat een vast IP adres hier een voordeel is.

• Het IP adres bij Proximus blijft relatief vast (zolang de modem "up" is).
• Met dyndns moet dat evengoed lukken, van zodra het extern IP adres zou wijzigen, zal de tunnel in de kortste keren terug opgebouwd worden.

Met dyndns moet je er wel op letten dat je het correcte externe IP adres meegeeft:

• - bij optie 1 (dubbele NAT) moet dit het externe IP zijn van de B-box3 (en niet het WAN IPv4 van de Fortigate).
  - bij optie 2 (PPPoE) moet dit het publiek IPv4 adres zijn van de Fortigate.

Met een vast IPv4 moet je ook oppassen, welk toestel het vast IP krijgt:

• - bij optie 1 (dubbele NAT) krijgt de B-box3 het vaste publieke IPv4 adres.
  - bij optie 2 (PPPoE) krijgt de PPPoE sessie van de B-box het toegekend vaste IP adres, en gaat de 2de PPPoE sessie een dynamisch IPv4 toekennen aan de Fortigate. Als je het vaste IPv4 adres wilt op de Fortigate, dan moet je de PPPoE van de B-box3 disablen.

excuseer mijn raar Nederlands - ik ben uit Duitsland en oefen de taal nog

Kein Problem, und Wilkommen auf Userbase

[MeinerEiner]

Beste,
bedankt!
Ik zou dit alles eens bekijken en checken!
Merci en ik geef u een rukmelding.
Prettige Weekend,
MeinerEiner

[Tomsworld]

Hoe heb je dat fixed ip ?

Een vdsl pro of een maxi met fix ip pack, in dat laatste geval kan je via pppoe de verbinding opbouwen op je fortigate en moet het zeker werken. In het 1e geval laat Proximus controleren dat je fortinet in de dmz zit zodat alles geforward wordt naar de Fortigate.