Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 5268 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site IPsec VPN Problem mit Fritzbox auf der Gegenseite

field2network
[SIZE="3"][SIZE="2"]Hallo zusammen,

auf die Gefahr hin, einige böse Kommentare zu bekommen, poste ich trotzdem dieses Thema, weil mich die bisherigen Fundstellen in sämtlichen Foren nicht weiter gebracht haben.

Ich versuche, mit unserer UTM525 Hardware Appliance einen Site-to-Site VPN Tunnel mit einem Dienstleister aufzubauen.

Als Verfahren habe ich IPsec gewählt. Im ersten Versuch habe ich die Firewallregeln und NAT manuell eingerichtet. Zusätzlich ist NAT-T eingerichtet. Ich verwende folgende Parameter für die Verbindung:

Komprimierung aus, verwendet strikte Richtlinie. 
IKE-Einstellungen: AES 256 / SHA2 512 / Gruppe 16: MODP 4096   Gültigkeit: 7800Sekunden 
IPsec-Einstellungen: AES 256 / SHA2 512 / Gruppe 16: MODP 4096   Gültigkeit 3600Sekunden 

Ich habe sowohl die öffentliche IP der Gegenstelle als auch das dort befindliche Netz eingetragen.

Auf unserer Seite haben wir 3 Kabel-Uplinks mit jeweils 5 statischen IPs, ich greife für diese Verbindung aber gezielt auf eine IP und 1 Interface zurück.

Der Router ist komplett offen und fungiert ausschließlich als "Modem". Der gesamte Verkehr wird erst in der Astaro terminiert.

Auf der Gegenseite existiert leider nur eine FritzBox mit statischer IP.

Für die Authentifizierung verwende ich notgedrungen einen PSK.

Wenn ich unsere UTM anweise, die Verbindung zu initiieren, bekomme ich folgende Meldung:

ERROR: asynchronous network error report on eth2 for message to 217.91.96.xx port 500, complainant 217.91.96.xx: No route to host [errno 113, origin ICMP type 3 code 13 (not authenticated)]

und manchmal auch

 *time to handle event
2013:04:24-08:01:07 ***-1 pluto[6488]: | event after this is EVENT_REINIT_SECRET in 2508 seconds
2013:04:24-08:01:07 ***-1 pluto[6488]: | handling event EVENT_RETRANSMIT for 217.91.96.xx "S_REF_IpsSit***Vpn_0" #70
2013:04:24-08:01:07 ***-1 pluto[6488]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #70
2013:04:24-08:01:07 ***-1 pluto[6488]: | next event EVENT_RETRANSMIT in 40 seconds for #70
2013:04:24-08:01:07 ***-1 pluto[6488]: | rejected packet

Schalte ich den VPN-Modus auf "Nur Antworten" um, kommt gar nichts rein.

Auch mit automatischen Firewallregeln (testweise) funktioniert es nicht.

Abschließend ist noch zu sagen, dass unsere statische IP für Site-to-Site VPN von der statischen IP für User-VPN abweicht. Nur das User-VPN lässt sich als FQDN öffentlich auflösen. Kann hier das Problem liegen?

Es wäre super, wenn jemand eine Idee hätte. Auch, weil ich von Fritzbox-VPN keine Ahnung habe.

Vielen Dank im Voraus[/SIZE]![/SIZE]


This thread was automatically locked due to age.
  • 0
    Den Eintrag bei AVM hattest du gefunden?

    Ansonsten ist meine Erfahrung: Eine stabile IPSec-Verbindung zu FritzBoxen ist Glückssache, mein Versuche waren auch alle negativ.

    Dem Dienstleister einen User-VPN-Zugang zu geben, ist keine Option?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    [SIZE="2"]Danke für den Link, diesen habe ich noch nicht gefunden!

    Letztlich werde ich Deinen Vorschlag wahrscheinlich in Betracht ziehen müssen.

    In welcher Reihenfolge werden denn Regeln für Client-VPN abgearbeitet, wenn für unsere internen Mitarbeiter automatische Firewall-Regeln gesetzt sind?

    An welcher Stelle muss ich die Block-Policy für die übrigen Netze, die nur unseren Mitarbeitern zugänglich sein sollen, definieren, um den Zugriff auf das separate Subnetz zu erlauben und gleichzeitig alle anderen Verbindungen zu unterbinden? Greift die Regel dann überhaupt?

    Muss ich eventuell die (zugegeben bequemen) automatischen Firewallregeln für Client-VPN komplett raus nehmen und manuell definieren?

    Im Tagegeschäft dürfen unsere Mitarbeiter nämlich in (fast) alle Netze via Client-VPN rein.

    Es wäre super, wenn Du da noch eine Info hättest!

    Vielen Dank![/SIZE]
  • 0 in reply to field2network
    In welcher Reihenfolge werden denn Regeln für Client-VPN abgearbeitet, wenn für unsere internen Mitarbeiter automatische Firewall-Regeln gesetzt sind?

    Die automatischen Regeln greifen vor allen manuell angelegten.

    Muss ich eventuell die (zugegeben bequemen) automatischen Firewallregeln für Client-VPN komplett raus nehmen und manuell definieren?

    So ist es (zumindest in der 9.0, in der 9.1 wird es verschiedene SSL-VPN-Profile geben).
    Ist aber auch kein Hexenwerk.
    Für jeden VPN-User wird bei erstmaliger Verbindung ein Network Object angelegt, dass dann bei aktiver Verbindung immer die Client-IP hat.
    So reichen dir drei Regeln in dieser Reihenfolge:

    Allow: Dienstleister-SSL-User (Network) -> Any -> Subnetz
    Deny: Dienstleister-SSL-User (Network) -> Any -> Any (oder Internal)
    Allow: SSL-VPN-Pool -> Any -> Any (oder Internal)

    edit: Falls du andere Client-VPN-Protokolle verwendest, musst du die Regeln entsprechend anpassen...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    [SIZE="2"]Okay, wir haben einen Mischbetrieb für Client-VPN. Das Regelwerk ist dann soweit klar. Danke für die Info.

    Letzte Frage: Wenn ich dem Dienstleister eine RED verpasse und der diese hinter seine Fritzbox als Exposed Host setzt müssten doch alle Probleme vom Tisch sein, oder?[/SIZE]
  • 0 in reply to field2network
    Möglich wär's.
    Allerdings ersetzt dann die RED die gesamte Funktion der FritzBox, die vermulich u.a. auch Default Gateway macht(?), d.h. er ist abhängig von euch, da die RED rein über die UTM verwaltet wird.
    Wenn das Dienstleister-seitig ok ist, wäre das schon eine Lösung.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cookie Information Banner