IPSec-VPN zwischen UTM9 und Fritzbox routing

Hallo Fanke,

dir fehlt offenbar die Route in das Netzwerk hinter der UTM. Die Definition des "Remote Gateway" auf der SG-UTM erfordert ja die Angabe eine "Remote network", in deinem Fall also das Netzwerk hinter der Fritzbox, 192.168.178.0/24. Das bedeutet, die UTM kennt das Netz und legt eine Route an, sobald der Tunnel "UP" ist.

Bei der Fritzbox kommt es darauf an, welche Art der VPN Konfiguration vorgenommen wurde, ob die Route in ein entferntes Netzwerk gesetzt wird.

ist das eine "LAN-LAN-Kopplung" oder eine "Verbindung zu einem Firmen-VPN"?

In jedem Fall muss die Route zum Netzwerk 192.168.100.0/24 gesetzt sein, diese findet man unter "Heimnetz/Netzwerk/Netzwerkeinstellungen/weitere Einstellungen/Statische Routingtabelle/IPv4 Routen"

Hallo,

Danke für deinen Tipp, 

Es ist ein  "LAN-LAN-Kopplung" .Wenn ich die Statische Route eintrage,

192.168.100.0

255.255.255.0

Gateway ist doch das Bein der Fritzbox : 192.168.178.1

kommt:

Es ist ein Fehler aufgetreten.

Fehlerbeschreibung: Die Route ist nicht zulässig.

Hmm, versteh ich nicht so recht.

Hallo Fanke (ist das ein friesischer Vorname?),

das "Bein" in das entfernte Netzwerk ist immer das Gateway, dass deine Fritzbos noch direkt "sieht". In diesem Fall also das Ende des IPsec-Tunnels auf der Sophos-Seite, das ist dann die 192.168.100.254.

Hallo Jprusch,

nee nur verschrieben. Sollte Danke  sein...

ok, macht aber die Fritzbox  nicht mit. 

Hm , schade es es keine command für die Fritzbox um das besser einzustellen.

Kann man was mit der Config der VPN Verbindung was anders einstellen?

Danke

Hallo Leika,

Bitte poste mal einen Screenshot von der VPN-Konfigurationsseite auf der Fritzbox (PresharedKey bitte schwärzen)

Auf der Sophos ist das "entfernte Netz" die 192.168.178.0 /24

Auf der Fritzbox muss das dann 192.168.100.0/24 sein.

Hi,

hier die VPN import datei:

vpncfg {

connections {

enabled = yes;
conn_type = conntype_lan;
name = "VPN Sophos UTM";
always_renew = yes;
keepalive_ip = 192.168.100.254;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "externe IP Sophos";
localid {

fqdn = "MyFritz Adresse";

}
remoteid {

fqdn = "externe IP Sophos";

}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xyz";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {

ipnet {

ipaddr = 192.168.178.0;
mask = 255.255.255.0;

}

}
phase2remoteid {

ipnet {

ipaddr = 192.168.100.0;
mask = 255.255.255.0;

}

}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0";

}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";

}

Hallo Leika,

das sieht aber OK aus.

Ich vermute, dass die Clients hinter der Fritzbox diese Route nicht kennen.

Wenn das Windowsgeräte sind, probier mal ein route add 192.168.100.0 mask 255.255.255.0 192.168.100.254.

Mal 'ne ganz blöde Frage: hast du die "Automatic Firewall rules" auf der Sophos bei der IPsec "Connection" Definition angekreuzt?

ja habe ich.

Was zeigt das Live log der Firewall bei Zugriffen an?

ist ICMP über das Gateway erlaubt, sonst geht der Ping eh nicht durch?