1 Port auf 2 Port Ethernet

[GucciGünther]

.

 

[Masamune2]

Die Telekom bitten weitere Ports an ihrem Router gebrückt anzubieten oder selbst einen switch dazwischen hängen. Andere Möglichkeiten gibts da quasi nicht.

 

[Sephe]

Zu wenig Infos.
Ist es ein Glasfasermodem oder Medienkonverter?
Kommt da direkt Internet raus, oder ist noch eine Einwahl per PPPoE und/oder VLAN-Konfiguration möglich?

Deine Story klingt aber wieder nach X/Y-Problem.
Warum redest du nicht mit Fortinet, wie man den Master/Slave-Wechsel verhindern kann?

 

[dvor]

Der Anschluß erwartet ein Gerät mit einem WAN Port. Die FortiGate 100F haben je einen eigenen WAN Port. 2 unterschiedliche WAN Ports an einem Anschluß funktionieren so nicht.

Einen Switch einfach so dazwischenschalten wird nicht funktionieren. Zusätzlich müssen die beiden 100F miteinander kommunizieren um Konfiguration und Status auszutauschen. Das sekundäre Gerät muss beim Ausfall des primären einspringen, vermutlich mit identischer MAC anstatt seiner eigenen. Evtl. gehört in der Konfiguration noch mehr dazu.

Leider ist auf dem Modem nur 1 Port für unser Produkt freigeschaltet und es können auch keine weiteren hinzugefügt werden.

Das geht nicht einmal gegen Aufpreis?

 

[Mihawk90]

Warum redest du nicht mit Fortinet, wie man den Master/Slave-Wechsel verhindern kann?

Weil der sicherlich gewollt ist im Falle die eine Firewall fällt mal ungeplant aus?
Wenn beide Firewalls am Internet sind macht es keinen Unterschied welcher Master und welcher Slave ist (vorausgesetzt beide sind identisch etc pp), das Problem ist ja nur dass nach meinem Verständnis nur eine der beiden Firewalls aktuell am Internet hängt.

Dass die Telekom keinen zweiten Port freischalten kann finde ich etwas merkwürdig, aber wenn das tatsächlich nicht geht sehe ich ebenfalls nur einen Switch als Alternative.

 

[Masamune2]

Da muss er nicht mit Fortinet reden, was sollen die denn daran ändern?
Das Szenario ist ja so gar nicht unüblich, jeder der einen Firewallcluster hat muss schauen das er die WAN Ports beider Knoten an den Internetanschluss bekommt. Meiner Erfahrung nach lassen die Provider da auch mit sich reden und schalten an ihren Routern entsprechende Ports als Bridged Interfaces. Wenn nicht kommt halt ein Switch dazwischen (oder halt ein VLAN auf den vorhandenen Switches).
Alles kein Hexenwerk.

 

[Atkatla]

Einen Switch einfach so dazwischenschalten wird nicht funktionieren.

Das stimmt in diesem Fall nicht. Fortinet beschreibt es sogar als Standard-Vorgehensweise:
https://docs.fortinet.com/document/fortigate/6.2.11/cookbook/900885/ha-active-passive-cluster-setup
(Ist von einer älteren FortiOS-Version, aber der Grundaufbau ist gleich)

Zusätzlich müssen die beiden 100F miteinander kommunizieren um Konfiguration und Status auszutauschen. Das sekundäre Gerät muss beim Ausfall des primären einspringen, vermutlich mit identischer MAC anstatt seiner eigenen. Evtl. gehört in der Konfiguration noch mehr dazu.

Daher verbindet man die beiden Fortigate über die HA-Ports untereinander und bildet über den HA-Wizard einen HA-Cluster (aktiv/passiv oder aktiv-aktiv, ich würde immer eher ersteres empfehlen). Die MAC-wechselt dann.

 

[Joe Dalton]

Da muss er nicht mit Fortinet reden, was sollen die denn daran ändern?

Nichts. :-)

Das Szenario ist ja so gar nicht unüblich, jeder der einen Firewallcluster hat muss schauen das er die WAN Ports beider Knoten an den Internetanschluss bekommt. Meiner Erfahrung nach lassen die Provider da auch mit sich reden und schalten an ihren Routern entsprechende Ports als Bridged Interfaces. Wenn nicht kommt halt ein Switch dazwischen (oder halt ein VLAN auf den vorhandenen Switches).
Alles kein Hexenwerk.

Sofern das Modem LAN-seitig Ethernet/IP abliefert, ist es genau so.

Sofern kein VLAN o.ä. benötigt wird, einfach zwei unmanaged Switches kaufen und wenn der aktive ausfällt, die Switch-HW tauschen. Bitte das Modem nicht direkt auf einen LAN-Switch hängen.

 

[GucciGünther]

.