Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 44 replies
  • Subscribers 4 subscribers
  • Views 2870 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fritz!Box 6591 VPN zu SG330 unmöglich

Alebia

Hallo an alle,

ich habe jetzt knapp zwei Abende rumprobiert eine IPSec verbindung zwischen der genannten FritzBox und der Sophos herzustellen.

Ich denke ich kenne mittlerweile jeden Artikel in dem es nur ansatzweise um VPN zwischen FritzBox und Sophos geht und habe an die 200 Konfigurationen ausprobiert. (Also bitte nicht nur einfach andere Beiträge hier verlinken. Danke)

Zu Netzwerkaufbau:

2 Standorte

Saturn:

Keine Feste IP aber DynDNS von DDNS.net / VDSL250 Telekom mit Fritz!Box 7530 als Modem. Sophos SG330 als Exposed Host dahinter. (Keine anderen Freigaben keine anderen Portweiterleitungen oder sonstige NAT Rules.) Funktioniert soweit auch zu 100% und wird nicht der Störfaktor sein.

Internes Subnetz: 192.168.100.0/24

Pluto:

Keine Feste IP aber DynDNS von DDNS.net /  Kabel1000 Gigabit Vodafon Leitung - Fritz!box 6591 dahinter. IPV4 vorhanden (standadmässig bei Kabelanschlüssen nicht)

Internes Subnetz: 192.168.49.0/24 - geändert von Standard 192.168.178.0 weil die Fritzbox vor Der Sophos auf Saturn diese IP Adresse hat und somit die WAN Adresse von der Sophos bereits 192.168.178.90 ist. (Dachte da gibt es bestimmt Probleme)

Problem:

Ich möchte nun von Pluto eine Verbindung zu Saturn herstellen. Meine Config Lautet:

Fritzbox Konfig mit Notepad erstellt umbenannt zu .cfg und importiert: (Ich schreib es lieber ausführlich falls sich hier schon Fehler meinerseits einschleichen sollten.)

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Sophos";
always_renew = yes;
keepalive_ip = 192.168.100.1; <--Ip der Sophos im Internen Netz
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "utm.dyndns.hiereingefuegt";
localid {
fqdn = "myfritzdyndns.hier.eingefuegt";
}
remoteid {
fqdn = "utm.dyndns.hiereingefuegt";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "verteilterschluessel"; <-- hier schluessel eingefügt
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.43.0; <--FritzboxNetz
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0; <---Sophos Netz Intern
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0"; <---Sophos Netz Intern
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Sophos Config:



This thread was automatically locked due to age.
Parents
  • 0

    Ist Irgendwas bei den generellen Einstellungen von IPSec zu beachten ? Zertifikat oder VPN-ID wichtig ?

  • 0 in reply to Alebia

    Habe da aktuell mein utm Zertifikat drin. Und bei VPNID den Hostname.

  • 0 in reply to Alebia

    Wo hast du das Zertifikat drin? VPN ID ist bei mir 'Any'.

    Vielleicht postest du mal Screenshots deiner Einstellungen, damit wir sehen können, wo Differenzen bestehen. Ev.per PM

    cu
    Walter

  • 0 in reply to wk

    Ich habe dir PN geschrieben. Vielen Dank schonmal. Falls anderen noch etwas auffällt hier die Screenshots:

  • 0 in reply to Alebia

    Also, ich habe sofort zwei Unterschiede bemerkt.

    Erstens hast du immer noch die Strikte Richtlinie eingeschaltet.

    Doch wichtiger ist bei Erweitert der VPN ID Typ: Hostname. Der gehört auf IP Adresse, denn wie du bei externes Gateway siehst, steht dort VPN-ID ist IP-Adresse.

    Wenn das nicht hilft, was sagt das log.

    cu
    Walter

  • 0 in reply to wk

    Folgendes angepasst. Keine Verbindung weiterhin.

  • 0 in reply to wk

    Zusätzlich fällt mir folgendes auf. Meine Externe IP von der VPN-ID ist ja durch das Exposed Host der Fritzbox die DHCP Adresse der Sophos in der Fritzbox. 192.168.178.90 geht das überhaupt so ?

  • 0 in reply to Alebia

    Ist bei mir genauso, nur dass ich der UTM eine feste IP gegeben habe.

    Was sagt das log?

    cu
    Walter

  • 0 in reply to wk

    Folgende Einstellungen:

    2022:02:10-11:30:07 utm pluto[2006]: | 'sha256WithRSAEncryption'
    2022:02:10-11:30:07 utm pluto[2006]: | L1 - signatureValue:
    2022:02:10-11:30:07 utm pluto[2006]: loaded ca certificate from '/etc/ipsec.d/cacerts/BLURRED CA 1 (A0:53:37:5B:FE:84:E8:B7:48:78:2C:7C:EE:15:82:7A:6A:F5:A4:05).pem'
    2022:02:10-11:30:07 utm pluto[2006]: | authcert is already present and identical
    2022:02:10-11:30:07 utm pluto[2006]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2022:02:10-11:30:07 utm pluto[2006]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2022:02:10-11:30:07 utm pluto[2006]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2022:02:10-11:30:07 utm pluto[2006]: Changing to directory '/etc/ipsec.d/crls'
    2022:02:10-11:30:07 utm pluto[2006]: "S_Plex Zugriff": deleting connection
    2022:02:10-11:30:07 utm pluto[2006]: added connection description "S_Plex Zugriff"
Reply
  • 0 in reply to wk

    Folgende Einstellungen:

    2022:02:10-11:30:07 utm pluto[2006]: | 'sha256WithRSAEncryption'
    2022:02:10-11:30:07 utm pluto[2006]: | L1 - signatureValue:
    2022:02:10-11:30:07 utm pluto[2006]: loaded ca certificate from '/etc/ipsec.d/cacerts/BLURRED CA 1 (A0:53:37:5B:FE:84:E8:B7:48:78:2C:7C:EE:15:82:7A:6A:F5:A4:05).pem'
    2022:02:10-11:30:07 utm pluto[2006]: | authcert is already present and identical
    2022:02:10-11:30:07 utm pluto[2006]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2022:02:10-11:30:07 utm pluto[2006]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2022:02:10-11:30:07 utm pluto[2006]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2022:02:10-11:30:07 utm pluto[2006]: Changing to directory '/etc/ipsec.d/crls'
    2022:02:10-11:30:07 utm pluto[2006]: "S_Plex Zugriff": deleting connection
    2022:02:10-11:30:07 utm pluto[2006]: added connection description "S_Plex Zugriff"
Children
  • 0 in reply to Alebia

    Ich meinte den ganzen Verbindungsaufbau im IPsec VPN log

    cu
    Walter

  • 0 in reply to wk

    Das ist aktuell alles was im Log steht. Meinst du die 300 Zeilen beim Deaktivieren/Aktivieren der Verbindung ? Weil einen Verbindungsaufbau sehe ich gar nicht im Log. Nur das Starten der Verbindung/Schnittstelle.

  • 0 in reply to Alebia

    Hallo,

    ich glaube das Problem liegt in der Richtung, in der der verbindungsaufbau erfolgt. Wenn du "any" bei der VPN-ID der Fritzbox stehen hast und dann sagst, die Fritzbox soll nur antworten, woher soll die UTM wissen, welche IP-Adresse sie anzusteuern hat?

    Also muss die Fritzbox die Verbindung zur (festen) IP oder dem öffentlichen Hostnamen der UTM aufbauen und die UTM muss nur antworten.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Genau das wollte ich auch gerade schreiben, denn das log sieht ganz gut aus bis zu dem Moment, wo es auf eine Anfrage von aussen wartet. Solange die externe Fritzbox nicht fragt, bekommt sie keine Antwort von der UTM und es kann kein Verbindungsaufbau stattfinden

    cu
    Walter

  • 0 in reply to wk

    Bist du sicher, dass in der vpncfg der remotehostname richtig eingegeben ist mit den Anführungszeichen?

    cu
    Walter

  • 0 in reply to wk

    Das mit den Anführungszeichen ist ok.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Es war meine Frage an Alebia, ob er wirklich an die Anführungszeichen gedacht hat.

    cu
    Walter

  • 0 in reply to wk

    Hallo, vielen dank erstmal für die schnelle Hilfe. Anführungszeichen sind da.... Hostname stimmt auch zu 100%

    vpncfg {
    connections {
    enabled = yes;
    conn_type = conntype_lan;
    name = "Sophos";
    always_renew = yes;
    keepalive_ip = 192.168.100.1;
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 0.0.0.0;
    remote_virtualip = 0.0.0.0;
    remotehostname = "utm.meinedomain.de";
    localid {
    fqdn = "meinfritz.myfritz.net";
    }
    remoteid {
    fqdn = "utm.meinedomain.de";
    }
    mode = phase1_mode_idp;
    phase1ss = "all/all/all";
    keytype = connkeytype_pre_shared;
    key = "meinPasswort";
    cert_do_server_auth = no;
    use_nat_t = no;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
    ipnet {
    ipaddr = 192.168.43.0;
    mask = 255.255.255.0;
    }
    }
    phase2remoteid {
    ipnet {
    ipaddr = 192.168.100.0;
    mask = 255.255.255.0;
    }
    }
    phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
    accesslist = "permit ip any 192.168.100.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
    }


    // EOF

  • 0 in reply to Alebia

    Hat die Fritzbox den richtigen DNS-Server? Kann sie utm.meinedomain.de auflösen?

    cu
    Walter

  • 0 in reply to wk

    Ja kann sie. Ich sitze hinter dieser Fritzbox. Und utm ist aufrufbar.

Unfiltered HTML