Sophos SG135 hinter Lancom Rotuer - VPN Problem

Hallo Andreas,

du willst IPsec Tunnel aufbauen?

Dann benötigts du zusätzlich Port 50 mit dem ES-Protokoll und Port 51 mit dem AH-Protokoll.

Sonst kann der Schlüsselaustausch nicht stattfinden.

Der Port 500 mt UDP ist für den eigentlichen Tunnel und Port 4500 wird für den NAT-Traversal benutzt.

Viel Erfolg,

Gruß,  Philipp

Hallo Philipp

Habe die Ports geändert. Leider ohne Erfolg. Siehe Anhang.

Viele Grüße

Andreas

Hallo Andreas,

schau dir mal deinen Screenshot genauer an:

Port 50 bis 51 hast du mit TCP+UDP weitergeleitet.

Das ist falsch.

Genauso wie es TCP und UDP als IP-Protokolle gibt, gibt es noch andere Protokolle, zum Beispiel ESP und AH.

Bitte entsprechend meinem ursprünglichen Post einstellen, dann sollte es gehen.

Gruß,

Philipp

Ich habe mich in der ersten Antwort verschrieben:

Es heisst einfach nur ESP-Protokoll, das Protokolls selbst hat die Nr. 50, nicht der "Port".

Bei "AH" ist es genauso, nur das Protokoll hat die Nr. 51.

Man muss also kein Port-Forwarding einstellen, dafür muss aber eine Firewallregel das ESP- und AH-Protokoll eingehend wie ausgehend zulassen.

Ich hoffe, jetzt wird es besser verständlich.

Siehe auch: https://www2.lancom.de/kb.nsf/b8f10fe5665f950dc125726c00589d94/13c3ab1302c4da61c1257d0a0038f847?OpenDocument

Gruß,

Philipp

Ich habe mich in der ersten Antwort verschrieben:

Es heisst einfach nur ESP-Protokoll, das Protokolls selbst hat die Nr. 50, nicht der "Port".

Bei "AH" ist es genauso, nur das Protokoll hat die Nr. 51.

Man muss also kein Port-Forwarding einstellen, dafür muss aber eine Firewallregel das ESP- und AH-Protokoll eingehend wie ausgehend zulassen.

Ich hoffe, jetzt wird es besser verständlich.

Siehe auch: https://www2.lancom.de/kb.nsf/b8f10fe5665f950dc125726c00589d94/13c3ab1302c4da61c1257d0a0038f847?OpenDocument

Gruß,

Philipp

Hallo Philipp

Hat leider auch keinen Erfolg gebracht. Ich dachte gelesen zu haben, wenn man die Ports 500 und 4500 weiterleitet, dass ESP automatisch angelegt wird. Ich habs jetzt manuell angelegt, hat aber trotzdem nichts gebracht. Bin hier schon am verzweifeln.

Sind die Einträge im Anhang so richtig ?

Gruss

Andreas

Hallo Andreas,

"Erzeugt VPN-Regel" sollte meiner Meinung nach auf "EIN" stehen.

Gruß,

Philipp

Hallo Andreas,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

It's no easy task to create an IPsec VPN connection when an ISP connection is behind a NAT.  There are two solutions possible, but since you have IPsec VPNs on the other connections, there's only one: your Remote Gateway in the UTM should be "Initiate connection" and the one on the other side should have whatever corresponds to the UTM's "Respond only" setting.

Gluck gehabt?

MfG - Bob (Bitte auf Deutsch weiterhin.)