Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 4 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 1178 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zugriff auf Fritzbox WebGUI über IPSec S2S

Bernhard Held

Hallo liebe Forumleser, 

 

ich habe seit vorgestern mehrere Fritzboxen im Einsatz an verschiedenen Standorten. Die Konstellation ist immer die selbe - die Fritzbox hat die öffentliche dyn IP4 und hinter der Fritzbox steht eine UTM, welche mir erfolgreich einen IPSec S2S ins HQ einrichtet. 

Die Tunnel laufen stabil, jetzt ist es aber so, dass ich gerne sozusagen auf die WAN Schnittstelle der UTM -> also die Fritzbox zugreifen möchte um direkt dort Einstellungen zu ändern bzw. anzuschauen. Die UTM bekommt daher von der Fritzbox eine IP aus deren DHCP Bereich z.B. 192.168.178.20/24.

Was muss ich nun auf dem IPSec Tunnel eintragen, damit ich auf diese IP zugreifen kann? Ich hatte schon mit einer WebApp über das Userportal versucht - das würde zwar funktionieren, jedoch sagt mir die Fritzbox dann, dass der Browser der UTM veraltet sei. 

Hat hier jemand von euch Spezialisten vielleicht eine Idee, wie man das gestalten kann? Eine Anmeldung über diese Fritzbox Cloud möchte ich verhindern.

Vielen herzlichen Dank im Voraus, 

lg Bernhard



This thread was automatically locked due to age.
Parents
  • 0

    Solange es sich um eine Fritzbox handelt (oder jeweils unterschiedliche Transfer-Netze) muss dieses Netz mit in die tunnel-definition, damit es erreichbar ist.

    Für ein Netz, bei welchem jeder Standort das gleiche Fritz-netz (192.168.178.20/24) nutzt, ist das natürlich nicht möglich.

    In diesem Fall habe ich eine DNAT-Rule gebaut.
    Das LAN hat ja immer unterschiedliche Netzbereiche, diese sind bereits in der Tunneldefinition ... und die xx.xx.xx.05 war immer frei.

    Ein Zugriff auf xx.xx.xx.05 wird einfach auf die Fritzbox umgeleitet.

    Läuft.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    hallo Dirk, 

     

    danke zuerst einmal für deine Antwort - klar hast du Recht - ich hatte heute versuchsweise das Netz 192.168.178.0/24 in den Tunnel eingebaut, IPSec wollte mir aber da keine Verbindung aufbauen.

     

    Jedenfalls wollte ich nun deine Idee bei mir nachbauen, nur bin ich mir nicht ganz sicher, was du genau gemacht hast? Könntest du mir das vielleicht noch genauer erklären?

    Vielen Dank, lg Bernhard

Reply
  • 0 in reply to dirkkotte

    hallo Dirk, 

     

    danke zuerst einmal für deine Antwort - klar hast du Recht - ich hatte heute versuchsweise das Netz 192.168.178.0/24 in den Tunnel eingebaut, IPSec wollte mir aber da keine Verbindung aufbauen.

     

    Jedenfalls wollte ich nun deine Idee bei mir nachbauen, nur bin ich mir nicht ganz sicher, was du genau gemacht hast? Könntest du mir das vielleicht noch genauer erklären?

    Vielen Dank, lg Bernhard

Children
  • 0 in reply to Bernhard Held

    klar, n.P.

    Also, am VPN musste bei mir nichts geändert werden, da mindestens eines der an der Sophos gerouteten Netze (bei mir das Client-LAN) bereits in der Tunneldefinition vorhanden war.

    Dann habe ich mir eine Adresse im Client-Netz gesucht, welche an allen Standorten frei war. (die .5)

    Dann habe ich mittels Verdrehen der Zieladresse (DNAT) dafür gesorgt, dass ein Zugriff auch das Standortspezifische clientnet.5:443 auf die FritzBox umgeleitet wird.

    Da die SG bei mir allen ausgehenden Verkehr maskiert, sieht es für die Fritzbox aus, als wenn die Anfrage direkt von der SG im eigenen Subnetz kommt. (hier muss die Maskier-Regel auch den Traffic vom VPN erfassen). Andernfalls könnte man hier auch mit FullNAT die Absenderadresse manipulieren.

    Fertich.

    Ich hoffe, ich habe das halbwegs verständlich erklärt, sonst einfach noch mal fragen :-)


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    ...und in der NAT-Definition dann noch "Rule applies to IPsec packets" aktivieren.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Unfiltered HTML