Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 3 subscribers
  • Views 15083 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Fritz okay, aber wie auf weitere Subnetze?

ULeuckert
Hallo,

die Basis: 
SG430 Cluster fullguard
Fritz!Box 7330
Site to Site VPN

UTM lokal 192.168.3.x /24
Layer3 Switch 192.168.3.253
LAN Servernetz 10.101.0.0 / 16
statische Route auf UTM eingetragen, 10.101. Netze sind erreichbar
Fritz lokal 192.168.132.0/24

Ich habe erfolgreich nach https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/61792 eine Fritz 7330 an die UTM angebunden. Die UTM hängt in folgendem Subnetz:
192.168.3.0 / 24

Über einen Layer 3 Switch sind noch mehrere Class C Netze angebunden, die ich in 10.101.0.0 /16 zusammenfasse. Die UTM kann diese Netze erreichen, umgekehrt auch.

Von und nach dem neuen Fritz Tunnel ist aber keine Verbindung aus den 10.101er Netzen möglich. Was muss ich noch tun? Routing? NAT? 

Kann mir jemand hier helfen?

Danke
Uwe


This thread was automatically locked due to age.
  • 0
    Auf der FritzBox Routen für die Netze definieren.
    Außerdem in der VPN-Config-Datei der FritzBox die Netze in der AccessList eintragen.

    Siehe auch Über VPN-Verbindung zwischen zwei FRITZ!Boxen auf mehrere IP-Netzwerke hinter einer FRITZ!Box zugreifen | FRITZ!Box 3270 | AVM Deutschland

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Herzlichen Dank für die schnelle Antwort. ich hatte hier tatsächlich einen Fehler.

    Aber dafür hilft es leider nicht.

    Ich mache ein tracert aus dem Netz 192.168.3.0:

    C:\Windows\system32>tracert 192.168.132.254 (Fritz LAN Adresse)
    Routenverfolgung zu 192.168.132.254 über maximal 30 Abschnitte
      1    tracert 192.168.132.254
    Routenverfolgung zu 192.168.132.254 über maximal 30 Abschnitte
      1    40 ms     1 ms    
  • 0
    Was hast du auf der UTM in der IPSec-Verbindung als Local Networks drin?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to ULeuckert
    Ich bekomme auch einen Fehler in der UTM angezeigt. Komisch, ich habe ja nur einen Tunnel erstellt und prinzipiell geht der auch. Siehe anhängendes Bild.

    Hier auch noch meine fritz.cfg: 

    vpncfg {

         connections {

                 enabled = yes;

                 conn_type = conntype_lan;

                 name = "LGST";

                 always_renew = no;

                 reject_not_encrypted = no;

                 dont_filter_netbios = yes;

                 localip = 0.0.0.0;

                 local_virtualip = 0.0.0.0;

                 remoteip = öff IP UTM;

                 remote_virtualip = 0.0.0.0;

                 localid {

                         ipaddr =  169.254.1.100;

                 }

                 remoteid {

                         ipaddr = öff IP UTM;

                 }

                 mode = phase1_mode_idp;

                 phase1ss = "alt/all-no-aes/all";

                 keytype = connkeytype_pre_shared;

                 key = "mein Key";

                 cert_do_server_auth = no;

                 use_nat_t = no;

                 use_xauth = no;

                 use_cfgmode = no;

                 phase2localid {

                         ipnet {

                                 ipaddr = 192.168.132.0;

                                 mask = 255.255.255.0;

                         }

                 }

                 phase2remoteid {

                         ipnet {

                                 ipaddr = 192.168.3.0;

                                 mask = 255.255.255.0;

                         }

                 }            

                 phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";

                 accesslist = "permit ip any 192.168.3.0 255.255.255.0",

                 "permit ip any 10.101.0.0 255.255.0.0";

         }

         ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",

                             "udp 0.0.0.0:4500 0.0.0.0:4500";

    }
  • 0
    Das Bild sehe ich nicht...

    Das Problem ist derzeit auf der UTM-Seite.
    Sie schickt Pakete aus dem 10er-Netz nicht durch den Tunnel.

    Daher meine Frage, welche Netze bei der Verbindung unter "Local networks" drinstehen.
    Da muss das 10er-Netz mit rein...

    edit: Jetzt sehe ich das Bild.
    Ich erinnere mich schwach, dass ich da auch schon mal Probleme damit hatte, da die FritzBox auf der Gegenseite ja nicht das 10er-Netz als Remote Network drin hat, deshalbn wird die SA nicht aufgebaut...
    Evtl. muss man da doch mit Routen oder einem NAT arbeiten, ich bin mir aber gerade nicht sicher, ob eine manuelle Route durch den IPsec-Tunnel möglich ist...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Was hast du auf der UTM in der IPSec-Verbindung als Local Networks drin?


    Das automatische Interface-Netz 192.168.3.0 /24

    und das von mir erstellte Netz 10.101.0.0 / 16
  • 0
    Hab im IP-Phone-Forum was gefunden:
    [Gelöst! (aktualisiert 101002)] FB7390 IPSec-VPN mit Astaro SG v7.506 - Seite 2

    Vielleicht hilft's?

    Der Trick scheint zu sein, dass man für jedes Netz hinter der UTM einen eigenen Bereich anlegt:
    vpncfg {
            connections {
                
            } {
                
            }
    }

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Hm, ziemlich starker Tobak für einen Halbwissenden.

    Die beiden Abschnitte sind eben nicht gleich, im zweiten Abschnitt wird     conn_type = conntype_user;
                        name = "ich@example.com";
    gesetzt und noch ein paar weitere Änderungen.
    Muss ich da jetzt eine zweite Konfig auf der UTM bauen?
    Wie muss ich den User bauen und berechtigen?
    wie muss ich die IP's anpassen?

    Da muss ich jetzt noch einiges lesen, nochmal lesen, dann lesen und irgendwann versuchen zu verstehen.
  • 0
    Hmmmmmm,

    ich habe jetzt einfach mal per SNAT das Servernetz umgesetzt in die UTM LAN Adresse. Komme damit per Ping auf die FB. Leider habe ich jetzt da draussen keinen User oder PC mehr um die andere Richtung zu testen. Und die FB kann ja nicht pingen, oder?

    Also morgen weiter.

    Natürlich sind weitere Tipps auf das herzlichste willkommen.
  • 0 in reply to ULeuckert
    Die beiden Abschnitte sind eben nicht gleich, im zweiten Abschnitt wird     conn_type = conntype_user;
                        name = "ich@example.com";
    gesetzt und noch ein paar weitere Änderungen.

    Das ist ein dritter Abschnitt, der ist in deinem Fall glaub egal.

    Die UTM baut für jedes Netz eine eigene SA auf, während das AVM-Standardvorgehen nur eine SA aufbaut und weitere Netze ggf. da durch routet. Mit einem zweiten, bis auf die Netze gleichen Konfigurationsabschnitt wird versucht, das UTM-Verhalten nachzubauen.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)