Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 9 replies
  • Subscribers 26 subscribers
  • Views 9716 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM hinter Fritz 6490 (Unitymedia BW) VPN Probleme

peabody

Guten Abend zusammen,

ich habe sehr lange erfolgreich eine UTM hinter einer FritzBox von Unitymedia über einen Bridged Port betrieben. Mit SSL VPN, IPSec Site-to-Site VPN und Zugriff auf das User Portal von extern.

Heute habe ich eine neue FritzBox 6490 von Unity erhalten und hier fehlt die Option einen Port zu bridgen.

Ich habe hier schon einige Threads gelesen aber ich bekomme das VPN (IPSec und SSL VPN) + das Enduser Portal nicht zum laufen.

 

Meine feste IPv4 liegt an der Fritzbox an.

Internet - FritzBox (192.168.178.1) - UTM WAN (192.168.178.2) - UTM Internes Netz (172.19.0.0/24) / SSL VPN (172.19.2.0/24)

 

Config Fritzbox

 

 

Config UTM

Masquerading habe ich nachdem ich hier einen Thread gelesen habe schon auf der UTM deaktiviert.

 

So wie ich die Exposed Funktion der FritzBox verstanden habe sollte der ganze Traffic direkt an die UTM weitergeleitet werden.


Das Enduserport erreiche ich wenn ich https://192.168.178.2:4443 aufrufe.
Wenn ich es mit meiner öffentlichen festen IPv4 versuche klappt es nicht.
Ich vermute wenn der Aufruf des User Portals klappt läuft auch das VPN wieder.

Wenn noch Infos fehlen reiche ich die sehr gerne nach.

Ich bin für jeden Tipp dankbar.



This thread was automatically locked due to age.
Parents
  • 0

    Moin Peabody,

    von den Einstellungen sieht soweit erstmal alles gut aus.
    Das Masquerading kannst du aber wieder einschalten, sofern du Kommunikation nach extern ohne Proxy betreibst.

    Man könnte auf der UTM mal einen tcpdump starten, um zu schauen, ob die Pakete von der Fritzbox tatsächlich an der UTM ankommen.

    tcpdump -ni any port 4443

    Anschließend rufst du das Userportal mal auf und schaust nach, ob es Treffer gibt.
    Gibt es Treffer kann möglichweise noch etwas in der UTM inkorrekt sein, wenn nicht muss die Fritzbox nochmal genauer untersucht werden bzgl. exposed host.

    Was UTM technisch bzgl. UserPortal sein kann, ist eine Schnittstellenbindung, die aber standardmäßig auf any steht.
    Für den IPSec muss noch die VPN ID auf die öffentliche Adresse angepasst werden und NAT-T eingeschaltet werden, damit die Verbindung hinter einem NAT wieder funktionen.

    Gruß
    DKKDG

Reply
  • 0

    Moin Peabody,

    von den Einstellungen sieht soweit erstmal alles gut aus.
    Das Masquerading kannst du aber wieder einschalten, sofern du Kommunikation nach extern ohne Proxy betreibst.

    Man könnte auf der UTM mal einen tcpdump starten, um zu schauen, ob die Pakete von der Fritzbox tatsächlich an der UTM ankommen.

    tcpdump -ni any port 4443

    Anschließend rufst du das Userportal mal auf und schaust nach, ob es Treffer gibt.
    Gibt es Treffer kann möglichweise noch etwas in der UTM inkorrekt sein, wenn nicht muss die Fritzbox nochmal genauer untersucht werden bzgl. exposed host.

    Was UTM technisch bzgl. UserPortal sein kann, ist eine Schnittstellenbindung, die aber standardmäßig auf any steht.
    Für den IPSec muss noch die VPN ID auf die öffentliche Adresse angepasst werden und NAT-T eingeschaltet werden, damit die Verbindung hinter einem NAT wieder funktionen.

    Gruß
    DKKDG

Children
  • 0 in reply to DKKDG

    Vielen Dank für die Antwort.

    Wenn ich meine Externe IP aufrufe kommt tatsächlich etwas an der UTM an.

    Aber das das Portal wird nicht aufgelöst.

     

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
    22:18:08.485689 IP 172.19.0.102.50589 > ExterneIP.4443: Flags  , seq 870076779, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 626197335 ecr 0,sackOK,eol], length 0
    22:18:08.486214 IP 192.168.178.2.50589 > ExterneIP.4443: Flags  , seq 870076779, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 626197335 ecr 0,sackOK,eol], length 0
    22:18:08.486363 IP ExterneIP.4443 > 192.168.178.2.50589: Flags [R.], seq 0, ack 870076780, win 0, length 0
    22:18:08.486712 IP ExterneIP.4443 > 172.19.0.102.50589: Flags [R.], seq 0, ack 870076780, win 0, length 0

     

    Hier noch ein Screenshot meiner NAT Einstellungen.

  • 0 in reply to peabody

    Dann nimm doch mal einen anderen Port,
    sowie von Bob erwähnt.

    Bei dem DNAT würde ich die externe Adresse von dem Interface nehmen statt dem Netzwerkobjekt.

    Gruß
    DKKDG

  • 0 in reply to DKKDG

    Ich habe das Enduserportal auf 2443 geändert aber das Verhalten ist identisch. :-(

    Vielen Dank für den Tipp mit der DNAT Regel das habe ich geändert.

  • 0 in reply to peabody

    Mach mal bei dem tcpdump einen richtigen Aufruf von extern.

    Im tcpdump kommt ja die Anfrage aus dem Internen Netzwerk 172.19.0.0/24.

    Lass auch mal das Routing auf der Fritzbox weg.
    Um auf die Fritzbox zuzugreifen, mach lieber ein SNAT von dem 172.19.0.0/24 Netzwerk zu der Adresse von WAN0.
    Das klappt auch wunderbar.

    Gruß
    DKKDG

  • 0 in reply to peabody

    See #4 in Rulz to better understand DKKDG's advice.  What do you learn from doing #1 in Rulz?

    MfG - Bob (Bitte auf Deutsch weiterhin.)