Sophos XGS 87w und VDSL Telekom - Modemempfehlung

Ich würde eine FritzBox verwenden und Portforwarding einsetzen.

Die Kisten sind für DSL gebaut ...

Ich habe die vielfach im Einsatz und geblockte Ports gibt es nur bei Fehlkonfiguration.

Hallo Dirk,

vielen Dank das Setting habe ich ausprobiert! Die Fritze drangehängt und folgendes konfiguriert:

Fritzbox PPoE Einwahl und stabiles Internet

Die Fritzbox an die Sophos dran und diese bekommt über WAN auch von der FB ein super schnelles Internet ;-)

Portfreigaben der Fritzbox auf die Sophos -> UDP 500, UDP 4500, ESP, TCP 10000, TCP 443 (zum Ausprobieren des Benutzerportals)

Auf das Userportal der Sophos komme ich auch ohne Probleme über die WAN der Fritzbox - nur lässt sich kein IPSEC Tunnel aufbauen. Es kommt immer das der UDP Port IKE blockiert ist.

Habe auch die Interne Route bei der FB gesetzt als Test und natüüüürlich auch den Exposed Host gesetzt inkl. der Freigaben.

Iwie kommt kein Tunnel zustande und auch kein Versuch an der Sophos wird in den Logs angezeigt. Alsob die Fritzbox alles vorher abfängt.

An der FB ist natürlich kein VPN aktiv bzw, angelegt. Die ist "Fabrikneu" angeschlossen ;-)
Sophos AccessPoints usw laufen auch alle - nur der liebe IPSEC Tunnel will nicht klappen.

Habe ich da bei der Kaskadierung was übersehen?

Viele Grüße

Franz

Tja, die Fritzbox ist eben kein Modem Auch mit der Funktion Exposed Host bleibt deren NAT erhalten und sie leitet ohenhin nur die Ports, welche sie nicht selbst benötigt, an den exponierten Host weiter und das kann dann halt mal auch in die Hose gehen. Kauf Dir für einen Hunderter eine DrayTec Vigor 167, die kann völlig transparent als Bridge arbeiten und damit sind dann irgendwelche Komplikationen ausgeschlossen.

Ohje na super das dachte ich mir schon, gibt aber auch keine Möglichkeit die Ports iwie über die Fritze komplett runterzunehmen?
Wenn nicht muss ich doch auf das Modem gehen. Ich dacht mir sowas schon, aber ich hör immer wieder von allen Seiten ich soll unbedingt ne Fritzbox nehmen! Der Aufwand sollte ja eher gering sein das Ding anzuschließen.

Gibt es da auch ne Anleitung wie ich das Ding wirklich WIRKLICH nur als Modem richtig einbinde?
Ich liebe ja meine WAN Glasfaseranschlüsse die dann einfach funzen!

KB1989 said:

Ohje na super das dachte ich mir schon, gibt aber auch keine Möglichkeit die Ports iwie über die Fritze komplett runterzunehmen?

Das vestehe ich jetzt nicht, was willst du damit sagen?

KB1989 said:

Wenn nicht muss ich doch auf das Modem gehen. Ich dacht mir sowas schon, aber ich hör immer wieder von allen Seiten ich soll unbedingt ne Fritzbox nehmen! Der Aufwand sollte ja eher gering sein das Ding anzuschließen.

Das gilt nur, wenn Du vom Provider eine fertig vorkonfigurierte Box bekommen hast, an sonst musst Du hier wie da Deine Zugangsdaten zu Fuß eintragen.

KB1989 said:

Gibt es da auch ne Anleitung wie ich das Ding wirklich WIRKLICH nur als Modem richtig einbinde?

Die Frage nach der Anleitung hast du doch jetzt nicht wirklich gestellt, oder? Tricks sind hier nicht erforderlich, die Modem-/Bridgefunktion ist eine vorgesehne Betriebsweise und an sonst kommen die Vigors bereits ab Werk als Bridge konfiguriert.

Meine FB lässt IKE incl. IPSec (mit NAT-T Port 4500) vollständig durch.

Da man aber auch IPSec zur FB machen kann, könnte das per default aktiv sein. (evtl. unter FB-Dienste /Anbieterdienste).

Es könnte aber natürlich auch eine Fehlkonfiguration an der XG sein.

Im Diagnostic/Packetcapture mal den Filter auf Port 4500 und gucken, ob was kommt.

Evtl. auch das falsche Interface erwischt... 

dirkkotte said:

Meine FB lässt IKE incl. IPSec (mit NAT-T Port 4500) vollständig durch.

Als ich vor Kurzen meinen 1&1 Business FTTH-Anschluß bekam, warf man mir eine 5530 als Business-Server (sic!) hinterher und klemmte diese vor die Sohpos.

Auch hier war sofort das noch immer auf der Sophos eingerichtete IPsec Site2Site wieder in Funktion, allerdings nur deshalb, weil es von innen her aufgebaut wird (desgleichen galt für VoIP mit der 3CX, denn diese bedient sich ja eines Stunservers). Der Aufbau von außen war nicht möglich, ebensowenig wie Einwahl-VPN per IPsec oder SSL und der Zugang zum Webserver in der DMZ.

Die Sophos zum exponierten Host zu deklarieren, half übrigens überhaupt nichts, da die Fritzbox ja weiter natted. Vielleicht und u.U. hätte man daran noch etwas "drehen" können, aber ich wollte die Fritzbox ja ohnehin nicht, so dass ich mir die Fummelei erspart habe - jetzt steht diese im Regal

Daher sollte es für den TE durchaus sinnvoller sein, ein Modem statt der Fritzbox zu verwenden.

Wir setzen bei vielen KRITIS-Kunden Provider-Router und sehr oft damit auchFB vor der Sophos ein.

Genau das "Natten" ist ja gewollt. Das BSI möchte eine Mehrsufigkeit und die Rolle als einfacher "Paketfilter" mit sehr selektivem Weiterleiten benötigter Ports erfüllt die FB sehr gut.

Eine "richtige" 2. Firewall wäre natürlich immer wünschenswert/besser ... aber wenn man die nicht bekommt ...

Und in diesen Umgebungen funktioniert (wie bei mir) eingehendes S2S IPSec. Port 4500 ist ja genau für NAT-Übergänge gebaut.

Sicher wird es mit einem Modem "einfacher", aber bestimmt nicht sicherer und nur sehr wage "besser"

dirkkotte said:

KRITIS

Sehr interessantes Thema - hab mich erst einmal eingelesen. Was mich jetzt aber ein bißchen wundert ist, dass Kunden, welche der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz unterliegen, daher die hierfür geltenden Schwellenwerte erreichen, sich mit providereigenen Fritzboxen abgeben. Die Liga, in welcher solche Kunden spielen, ist i.d.R. eine andere: klick!

An sonst finde ich das mit der Routerkaskade etwas doppelt-gemobbelt, doppelt dicht ist auch nicht mehr als dicht. Wo finde ich denn da beim BSI entsprechende Informationen? Würde mich gern einmal informieren, vielleicht hole ich die Fritzbox ja wieder aus dem Regal

Hallo zusammen!

Danke für eure ganzen Antworten ich bin auf jeden Fall schonmal ein wenig schlauer ;-)

Habe es gerade eben nochmals versucht.

FritzBox ist eine eigens gekaufte (keine vom Anbieter). Dort habe ich meine Einwahldaten eingegeben. An der FB sind sonst keine Funktionen in Verwendung. PortForwarding habe ich auf die besagten Ports eingerichtet. Testweise der Port 443 probiert und ich komm da auch in der Weboberfläche der Sophos extern drauf.

IPSec extern aufbauen lässt er aber nicht zu er sagt immer UDP Port IKE sei blockiert. Kann es sein das ich was vergessen habe?

Sehe nicht einmal auf dem Port 4500 was reinkommen weder Deny noch sonstwas. Sieht eben wirklich so aus wie wenn die FB sagt ahhh cooool ein Paket .... oh nöööööö geb ich nicht durch.

*Ratlosigkeit macht sich breit*

Also Vorgehensweise war:

Fritzbox in Betrieb nehmen und mit Internet verbinden

Sophos dranhängen am WAN Port an die FB

Fritzbox Portfreigaben eingetragen (auch mit exposed probiert)

VPN Sophos eingerichtet (dort auch das Connect File mit Sophos Connect admin angepasst - Externe IP angepasst auf WAN der FB)

Hier noch die Freigaben der FB auf den WAN Port der Sophos:

Den 9443 habe ich als Test reingenommen ob ich hier auf das UserPortal ect. komme. Und über den 9443 komme ich auf die Sophos als Test ob die Freigaben gehen. IPSEC geht aber nichts da bekomme ich die UDP IKE sache.

Schon mal NAT traversal eingeschalten?

Schon mal NAT traversal eingeschalten?