Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 13 replies
  • Subscribers 4 subscribers
  • Views 2026 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Site2Site - UTM9 <> Fritz!Box 7490

Demel

Ich probiere derzeit eine Verbindung (Site2Site) zwischen  UTM9 (aktuelle Firmware)  undFritz!Box 7490 (7.28) herzustellen.

Habe mich dazu der Anleitung im Forum oder auch externen Seiten bedient.

Jedoch endet der Versuch mit der Meldung  der FritzBox "IKE-Error 0x2027" - "timeout".

Im Log der UTM9 taucht nichts dazu auf.

Meine Config der Fritz!Box welche importiert wird:

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Site2Site UTM9";
        always_renew = yes;
        keepalive_ip = 192.168.1.1;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;
        remote_virtualip = 0.0.0.0;
        remotehostname = "beispielutm.ddnss.de";
        localid {
            fqdn = "beispielfb.ddnss.de";
        }
        remoteid {
            fqdn  =  "beispielutm.ddnss.de";
        }
        mode = phase1_mode_aggressive;
        phase1ss = "all/all/all";
        keytype = connkeytype_pre_shared;
        key = "GEHEIMERSCHLUESSEL";
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;

        phase2localid {
            ipnet {
                ipaddr = 192.168.0.0;
                mask = 255.255.255.0;
            }
        }
        phase2remoteid {
        ipnet {
        ipaddr = 192.168.1.0;
        mask = 255.255.255.0;
        }
        }
        phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
        accesslist = "permit ip any 192.168.1.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
        "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Jemand eine Idee oder Lösung dazu?


Danke.



This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Demel

    Die automatischen Regeln sind doch für den Verkehr der dann durch das VPN gehen soll und nicht für die initiale Verbindung/Tunnelaufbau. -> Sofern du IPSec auf der UTM mit einem Profil eingerichtet hast, hört die Sophos auch die IPSec-Ports ab und dafür brauchst du keine weiteren Firewall-Regeln.

    Steht denn das VPN jetzt? Bei den automatischen Firewallregeln werden seitens Sophos automatisch "any-Firewall-Regeln" ziwschen dem lokalem Netzwerk/Hosts (hinter Sophos) und dem entfernten Netzwerk/Hosts (hinter FB) angelegt.

    Diese Regeln siehst du auch unter Network-Protection -> Firwall: wenn du die Ansicht "Von Benutzer erstellte Firewallregeln" auf "automatische Firewallregeln" stellts -> die automatischen Regeln kannst du auch editiieren und dort das Logging einschalten, dann siehst du anschließend auch die Pakete im Firewall-Log die dann über das VPN gehen.

    Gruß Steve

  • 0 in reply to Steve Weißflog

    OK. Musste noch die Ports 500 und 4500 eingehend öffnen. Dies war in der Automatik nicht dabei. Zudem habe ich die Richtline nochmal angepasst.

    Jetzt komme ich bis hier hin:

     initial Main Mode message received on xxx.135.xxx.2:500 but no connection has been authorized with policy=PSK

    Vielleicht noch ein Hinweis/Idee? Danke!

  • 0 in reply to Demel

    Die Meldung ist von der SG?

    Wie sieht die Konfiguration auf der Sophos aus?

    Es scheint keine passende Policy zu geben, die mit PSK konfiguriert ist.

  • 0 in reply to dirkkotte

    Ja, Meldung ist von SG Seite.

    Hier die Konfig:

  • 0 in reply to Demel

    Irgendwas passt dem System an Phase 1 nicht ...

  • +1 in reply to dirkkotte

    @Dirk: Danke mit den Tipp Phase 1!

    Hab endlich eine Verbindung. Diese Zeile musste ich ändern:

    phase1ss = "alt/aes/sha";

  • +1 in reply to Demel

    Hier meine Konfiguartion, welche mit der UTM9 (9.707-5) und Fritz!Box 7490 (7.28) derzeit funktioniert.

    UTM9:

    Fritz vpn.cfg:

    vpncfg {
    connections {
    enabled = yes;
    editable = yes;
    conn_type = conntype_lan;
    name = "B32";
    always_renew = yes;
    keepalive_ip = 192.168.1.1;
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 0.0.0.0;
    remote_virtualip = 0.0.0.0;
    remotehostname = dns_der_utm.ddnss.de; //DYNDNS NAME UTM
    localid {
    fqdn = "dns_der_fritz.ddnss.de"; //DYNDNS NAME FRITZ
    }
    remoteid {
    fqdn = "dns_der_utm.ddnss.de";
    }
    mode = phase1_mode_idp;
    phase1ss = "alt/aes/sha";
    keytype = connkeytype_pre_shared;
    key = "DEINKEY!";
    cert_do_server_auth = no;
    use_nat_t = no;
    use_xauth = no;
    use_cfgmode = no;

    phase2localid {
    ipnet {
    ipaddr = 192.168.0.0; // lokaler Adressraum Fritz
    mask = 255.255.255.0;
    }
    }
    phase2remoteid {
    ipnet {
    ipaddr = 192.168.1.0; // lokaler Adressraum UTM9
    mask = 255.255.255.0;
    }
    }
    phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
    accesslist = "permit ip any 192.168.1.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
    }


    // EOF