Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 9 replies
  • Subscribers 26 subscribers
  • Views 9715 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM hinter Fritz 6490 (Unitymedia BW) VPN Probleme

peabody

Guten Abend zusammen,

ich habe sehr lange erfolgreich eine UTM hinter einer FritzBox von Unitymedia über einen Bridged Port betrieben. Mit SSL VPN, IPSec Site-to-Site VPN und Zugriff auf das User Portal von extern.

Heute habe ich eine neue FritzBox 6490 von Unity erhalten und hier fehlt die Option einen Port zu bridgen.

Ich habe hier schon einige Threads gelesen aber ich bekomme das VPN (IPSec und SSL VPN) + das Enduser Portal nicht zum laufen.

 

Meine feste IPv4 liegt an der Fritzbox an.

Internet - FritzBox (192.168.178.1) - UTM WAN (192.168.178.2) - UTM Internes Netz (172.19.0.0/24) / SSL VPN (172.19.2.0/24)

 

Config Fritzbox

 

 

Config UTM

Masquerading habe ich nachdem ich hier einen Thread gelesen habe schon auf der UTM deaktiviert.

 

So wie ich die Exposed Funktion der FritzBox verstanden habe sollte der ganze Traffic direkt an die UTM weitergeleitet werden.


Das Enduserport erreiche ich wenn ich https://192.168.178.2:4443 aufrufe.
Wenn ich es mit meiner öffentlichen festen IPv4 versuche klappt es nicht.
Ich vermute wenn der Aufruf des User Portals klappt läuft auch das VPN wieder.

Wenn noch Infos fehlen reiche ich die sehr gerne nach.

Ich bin für jeden Tipp dankbar.



This thread was automatically locked due to age.
  • 0

    Moin Peabody,

    von den Einstellungen sieht soweit erstmal alles gut aus.
    Das Masquerading kannst du aber wieder einschalten, sofern du Kommunikation nach extern ohne Proxy betreibst.

    Man könnte auf der UTM mal einen tcpdump starten, um zu schauen, ob die Pakete von der Fritzbox tatsächlich an der UTM ankommen.

    tcpdump -ni any port 4443

    Anschließend rufst du das Userportal mal auf und schaust nach, ob es Treffer gibt.
    Gibt es Treffer kann möglichweise noch etwas in der UTM inkorrekt sein, wenn nicht muss die Fritzbox nochmal genauer untersucht werden bzgl. exposed host.

    Was UTM technisch bzgl. UserPortal sein kann, ist eine Schnittstellenbindung, die aber standardmäßig auf any steht.
    Für den IPSec muss noch die VPN ID auf die öffentliche Adresse angepasst werden und NAT-T eingeschaltet werden, damit die Verbindung hinter einem NAT wieder funktionen.

    Gruß
    DKKDG

  • 0

    Hallo Peabody,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    First, I would change the User Portal port to 2443 as 4443 is reserved in UTM.  4443 may work sometimes, but an Up2Date could change that.

    Isn't there a place on that FRITZ!Box Freigaben page where you can specify which ports you want to forward?  I would expect it to be just below the image you showed us.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to DKKDG

    Vielen Dank für die Antwort.

    Wenn ich meine Externe IP aufrufe kommt tatsächlich etwas an der UTM an.

    Aber das das Portal wird nicht aufgelöst.

     

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
    22:18:08.485689 IP 172.19.0.102.50589 > ExterneIP.4443: Flags  , seq 870076779, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 626197335 ecr 0,sackOK,eol], length 0
    22:18:08.486214 IP 192.168.178.2.50589 > ExterneIP.4443: Flags  , seq 870076779, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 626197335 ecr 0,sackOK,eol], length 0
    22:18:08.486363 IP ExterneIP.4443 > 192.168.178.2.50589: Flags [R.], seq 0, ack 870076780, win 0, length 0
    22:18:08.486712 IP ExterneIP.4443 > 172.19.0.102.50589: Flags [R.], seq 0, ack 870076780, win 0, length 0

     

    Hier noch ein Screenshot meiner NAT Einstellungen.

  • 0 in reply to peabody

    Dann nimm doch mal einen anderen Port,
    sowie von Bob erwähnt.

    Bei dem DNAT würde ich die externe Adresse von dem Interface nehmen statt dem Netzwerkobjekt.

    Gruß
    DKKDG

  • 0 in reply to DKKDG

    Ich habe das Enduserportal auf 2443 geändert aber das Verhalten ist identisch. :-(

    Vielen Dank für den Tipp mit der DNAT Regel das habe ich geändert.

  • 0 in reply to peabody

    Mach mal bei dem tcpdump einen richtigen Aufruf von extern.

    Im tcpdump kommt ja die Anfrage aus dem Internen Netzwerk 172.19.0.0/24.

    Lass auch mal das Routing auf der Fritzbox weg.
    Um auf die Fritzbox zuzugreifen, mach lieber ein SNAT von dem 172.19.0.0/24 Netzwerk zu der Adresse von WAN0.
    Das klappt auch wunderbar.

    Gruß
    DKKDG

  • 0 in reply to peabody

    See #4 in Rulz to better understand DKKDG's advice.  What do you learn from doing #1 in Rulz?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • +1

    Juhu ich habe das Problem gelöst.
    Das Problem lag natürlich an der FritzBox von Unity.

    Nachdem ich heute mal wieder mit einem Techiker von Unity gesprochen habe und dieser mir versichert hat die Fest IP Konfiguration an meiner Firewall eingetragen werden muss und die Fritz bis auf Port 1 alle Ports direkt durchleitet habe ich die Fritz auf Werkseinstellungen zurückgesetzt.

    Es kam mir schon die ganze Zeit merkwürdig vor das ich auf allen Port einen DHCP Lease von der Fritz bekommen habe (192.168.178.X)

    Nach dem Reset bekam ich auf Port 2 -4 keinen DHCP Lease mehr also habe ich meine IPv4 an meinem Laptop eingerichtet und siehe da Internet geht.

    Dann habe ich mein WAN0 erneut konfiguriert alles läuft wie zuvor.

    Trotzdem vielen vielen Dank für die schnelle Hilfe und die Hilfreichen Tips.

     

    Lösung: Werksreset der Fritz + Konfiguration von WAN0 mit den Daten meiner IPv4

  • 0 in reply to peabody

    Kleiner Nachtrag:
    Was nicht funktioniert hat war das SSL VPN. Das konnte ich aber jetzt auch lösen nachdem ich auf der Firitzbox noch zusätzlich die Einstellung Exposed Host für die Sophos gesetzt habe. Jetzt kommt wirklich alles an der Fritz an.