This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Guide: Fritzbox 6.30 zu Sophos UTM 9 inkl. AES 256

nach wochenlanger Testerei hier eine vollfunktionsfähige, stabile VPN Beispielkonfiguration mit .cfg und Screenshots der Sophos Config.

Testumgebung: Fritzbox 7490 mit FritzOS 6.30 (DynIP v4) und Sophos UTM 9.350-12 (feste IPv4)

192.168.1.0: Netz der Sophos
192.168.178.0: Netz der Fritzbox
192.168.1.1: IP der Sophos im Netz erreichbar per VPN für Keepalive


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Sophos UTM";
always_renew = yes;
keepalive_ip = 192.168.1.1;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "sophosdns.name.here";
localid {
fqdn = "fritzbox.dns.name.here";
}
remoteid {
fqdn = "sophosdns.name.here";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "secretpassphrasekeysecret";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;

phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


This thread was automatically locked due to age.
Parents
  • Entschuldigt wenn ich diesen alten Thread wieder aufreiße.

    Aber ich habe aktuell das Problem, dass ich insgesamt 4 Fritzboxen mit meiner UTM (SG 310 mit 9.411-3) verbinden muss.

    Wenn ich die erste Fritzbox verbinde funktioniert alles einwandfrei.

    Sobald ich jedoch die 2. Box verbinden will (Problem schon mal, dass alle GWs mit dem selben PSK arbeiten müssen! -.-) schmiert mir nach kurzer Zeit die Verbindung zur 1. Box wieder ab.

    Ich habe bereits versucht für jede Box ein eigenes VPN Profil zu erstellen sowie alle Boxen über das selbe Profil zu verbinden.

    Egal wie ich es anstelle bricht mir nach max. 60 Sekunden die Verbindung zur Box weg.

    Nachdem ich ja nicht für jede IPSec-VPN eine eigene Public-IP auswählen kann sondern nur das Interface (habe 36 Public-IPs an eth1 gebunden via CompanyConnect) muss alles über die selbe IP verbunden werden.

    Hat hier jemand eventuell eine Idee?

    Solltet ihr spezielle LOGs etc. benötigen bitte um kurze Rückmeldung.

     

    Danke schon mal vorab.

    Man kann die Messlatte der Intelligenz noch so niedrig ansetzen!

    Jeden Tag läuft jemand aufrecht darunter durch!

    *** Operater from Hell

  • Hi,

    du kannst doch für jedes GW einen eigenen PSK benutzen. (unter Remote Gateway jeweils) - den PSK dann in der Beispielkonfig mit auswechseln.

    IPsec zur Fritzbox scheint generell Probleme zu machen. Ich hatte schon eine UTM wo dadurch die VPN zu einer anderen Stelle öfters abbrach. 

    Ich kann dir nur den Tip geben dir z.B. mal www.zerotier.com anzuschauen. Performanter als jede Fritzbox VPN Lösung. Man kann das ganze über eine Gateway Node lösen (dafür würde z.B. auch ein Raspberry Pi ausreichen, oder besser odroid, beides schneller als eine Fritzbox). In der Sophos kannst du dann Gateway Regeln anlegen um in die entsprechenden Aussenstellen Netze zu routen. Mehrere Fritzboxen wäre interessant sich mal anzuschauen. Bei Bedarf schick mir eine PN (sowohl zu den Fritzboxen als auch Zerotier)

    ---

    Sophos UTM 9.3 Certified Engineer

Reply
  • Hi,

    du kannst doch für jedes GW einen eigenen PSK benutzen. (unter Remote Gateway jeweils) - den PSK dann in der Beispielkonfig mit auswechseln.

    IPsec zur Fritzbox scheint generell Probleme zu machen. Ich hatte schon eine UTM wo dadurch die VPN zu einer anderen Stelle öfters abbrach. 

    Ich kann dir nur den Tip geben dir z.B. mal www.zerotier.com anzuschauen. Performanter als jede Fritzbox VPN Lösung. Man kann das ganze über eine Gateway Node lösen (dafür würde z.B. auch ein Raspberry Pi ausreichen, oder besser odroid, beides schneller als eine Fritzbox). In der Sophos kannst du dann Gateway Regeln anlegen um in die entsprechenden Aussenstellen Netze zu routen. Mehrere Fritzboxen wäre interessant sich mal anzuschauen. Bei Bedarf schick mir eine PN (sowohl zu den Fritzboxen als auch Zerotier)

    ---

    Sophos UTM 9.3 Certified Engineer

Children
  • Hi Ben,

    verschiedene PSK für jede Box nimmt die Sophos nicht an.

    Es erscheint dann die Meldung, dass unterschiedliche PSK Schlüssel vorhanden sind. *grübel*

    Weiß auch nicht recht wieso...

    Liegt evtl. daran, dass ich für alle Boxen die selbe Policy verwende...

    Konnte das Problem der Verbindungsabbrüche so lösen, indem ich als KeepAlive IP die LAN IP der Sophos angegeben und alle Boxen via myfritz.net angebunden hab.

    Seitdem bleiben alle 4 Verbindungen stabil.

    Die Verbindungen werden lediglich 1x / Woche genutzt zur Datenübertragung von Kassensystemen.  

    Daher ist die Performance nicht entscheidend.

    Ist für mich Neuland eine Sophos mit Fritzboxen zu verbinden.

    Nutze normalerweise nur IPsec zwischen Sophos UTMs mit zertifikatsbasierter Authentifizierung. Finde das einfacher und vor allem sicherer und stabiler!

    Hab dem Kunden schon vorgeschlagen als Alternative hinter die Boxen ne RED10 zu setzen. :)

    Man kann die Messlatte der Intelligenz noch so niedrig ansetzen!

    Jeden Tag läuft jemand aufrecht darunter durch!

    *** Operater from Hell

  • Hallo Daniel,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating technical thoughts at the moment. [:(])

    Interesting solution with myfritz.net.

    "verschiedene PSK für jede Box nimmt die Sophos nicht an. "

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    danke für den Tipp. Den Haken hab ich ganz vergessen.

    Da sieht man sprichwörtlich den Wald vor lauter Bäumen nicht mehr. :)

    Grüße Daniel

    Man kann die Messlatte der Intelligenz noch so niedrig ansetzen!

    Jeden Tag läuft jemand aufrecht darunter durch!

    *** Operater from Hell

  • guter Tip. Klappt es damit denn?

    ---

    Sophos UTM 9.3 Certified Engineer

  • Hi Ben,

    die Einstellung funktioniert wunderbar.

    Ich kam dann später auf den Gedanken, dass diese Einstellung ja nötig ist, da die Sophos bei den Fritzboxen auf "Respond Only" eingestellt ist.
    Meine bisherigen VPNs sind alle im "Initiate connection" Mode gesetzt weshalb dort auch unterschiedliche PSKs geduldet sind. :)

    Man kann die Messlatte der Intelligenz noch so niedrig ansetzen!

    Jeden Tag läuft jemand aufrecht darunter durch!

    *** Operater from Hell

  • Hallo Zusammen,

    ich muss die Tage ein paar Home Office einrichten. Die User haben alle eine FritzBox 7490. Nach diesem Artikel soll VPN einwandfrei funktionieren. Wir haben in der Firma eine IP Telefonanlage. Der Hersteller schreibt vor, eine VPN aufzubauen und darüber auch die IP-Telefone zu betreiben. Hat jemand damit Erfahrung ob das funktioniert mit der Fritzbox und VPN nach diesem Artikel?

    Dankeschön.