Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 5570 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site VPN Außenstelle hinter FritzBox

Pasqual
Hallo NG,

ich habe eine Außenstelle mit mehreren Firmen. Der ISP Zugang wird von einer FritzBox aufgebaut. Hinter der FritzBox habe ich eine Astaro und mit der möchte ich ein Site-to-Site VPN zum Hauptunternehmen aufbauen.

Grundsätzliche Frage: Funktioniert das? Oder muss die Astaro in der Zweigstelle direkt vom Internet erreichbar sein?

Pasqual


This thread was automatically locked due to age.
  • 0
    nein es funktioniert.

    je nach Fritzbox sind unterschiedliche einstellungen zu machen.

    Ich hatte mir letztens für die Einrichtung einer solchen konstruktion folgendes notiert:

    Ports auf Fritzbox(192.168.178.1) forwarden nach Astaro 192.168.x.1
    TCP: 4444 (Webadmin)
    TCP: 443 (HTTPS)
    UDP:4500
    UDP:500
    TCP:22 (SSH)

    dann stellst du auf der Astaro ein, dass du keine Einwahl machst, sondern einen Gateway (die Fritzbox) davor stehen hast.
    Ich hoffe ich hab nichts relevantes vergessen.
  • 0 in reply to Tigershark
    Hallo Tigershark,

    freue mich über Deine Antwort. Ich habe die Astaro Maschine in der Zweigstelle als Exposed Host in der AVM Fritz Box freigegeben. Also alle Ports auf die Interne IP-Adresse der Astaro frei. Die Astaro benutzt die FritzBox als Gateway. Wenn ich ein LAN an die Astaro hänge (Notebook über gedrehtes Kabel) komme ich ins Internet und überall hin.

    Ich kann nur keinen Tunnel in unsere Hauptstelle aufbauen. Und komme einfach nicht dahinter, warum.

    Eine Idee?

    Pasqual
  • 0 in reply to Pasqual
    Hi Pasqual,

    in der Hausptstelle hast du aber auch die Ports freigegeben bis zur Astaro? Nützt ja nix, wenn du überall nur raus kannst. IMHO musst du in eurer Zweigstelle die Astaor nicht als EH in der FB einstellen, Portfreigabe (für SSL-VPN oder IPSec) sollte genügen.

    Zumal dann die FB bissl den Trödel ausm Internet abbekommt und nicht gleich die Astaro. Kann man aber drüber streiten...

    Just my 0,02 EUR
    -- 
    So long, Steffen
  • 0 in reply to trialrider
    Hallo Trialrider,

    ich habe die Verbindungen erstellt und "Auto  Packet Filter" eingestellt. Daher denke ich, dass das System alle nötigen Ports offen hat. In den LiveLogs sehe ich, dass versucht wird, einen Tunnel aufzubauen. Bekomme in der Hauptstelle nur immer die Fehlermeldung:

    state object not found 
    Quick Mode message is for a non-existent (expired?) ISAKMP SA

    Das Packet hat die IP-Adresse der FritzBox. 

    Pasqual
Unfiltered HTML