Remote VPN baut auf, aber kein Zugriff auf Rechner

Schönen guten Tag batte,

wenn du eine FritzBox hast und erstellt ein WAN Port an der Sophos. Liegt eine IP der FritzBox aus dem Internen Bereich der FritzBox an. Somit hat die Sophos eine WAN-Adresse von z.B. 192.168.178.11. Das ist natürlich keine IP die aus dem öffentlichen Netz die erreicht werden kann. Wenn du eine Soft IPsec VPN erstellst, stellst du in der Konfiguration der Soft-VPN den Lausch Port ein, dieser wird dann auch 192.168.178.11 sein. Wenn du die Konfigurations Datei für die VPN über die Sophos runter lädst, steht in der .SCX Datei als Gateway die 192.168.178.11 drin. Somit klappt die Verbindung nicht, wie schon von dir beschrieben.

Ich würde mir einen DynDns Account erstellen, diesen packst du in die FritzBox rein. Somit ist DynDns immer deine Öffentliche IP bekannt. Öffne im Nachgang mit dem Notepad die .SCX Datei und tausche das Gateway 192.168.178.11 gegen mein.dyndsn.org aus. So kommt immer einer Verbindung zu Stande!

Dann musst du natürlich noch eine Firewall Regel bauen   

Quellezonen -> VPN  Quellnetzwerke und Geräte -> Soft_VPN_IPsec_Netz (Netz muss unter Host und Dienste erstellt worden sein)

Zielzonen -> LAN_Intern  -> Zielnetzwerke dein ganzes Netz oder nur ein Terminalserver wie auch immer 

Nachtrag: Falls du kein Exposed Host von der FritzBox zur Sophos eingerichtet hast. Solltest du für IPSec noch UPD 500 und UDP 4500 frei machen.

Grüße

Patrick

Hallo Patrick,

vielen Dank für deine ausführliche Antwort.

Mein Glasfaseranschluss, also die Fritz Box hat auf der WAN Seite eine feste IP-Adresse. Somit kann ich mir dies Sache mit DynDNS doch sparen. Nach dem Ändern (in der Import Datei) der Sophos WAN (Fritzbox IP) in die feste IP des Anschlusses, kann ich auch eine erfolgreiche Verbindung aufbauen. Ich komme jedoch im Zielnetzwerk dann nicht weiter.

In der Fritzbox sind die Ports 500 & 4500 frei.

Als Firewallregel ist folgende bereits aus der Site-to-site VPN hinterlegt.

Kann es sein, dass mich diese FW-Regel ausbremst? Nach dem Aufbau erhalte ich aus dem 192.168.1.0 Netz eine IP-Adresse. Dieser Bereich ist ja bei den Quellnetzwerken mit drinnen.

Danke und Gruß,

batte

Schönen guten Tag Batte,
ok wenn du eine feste IP hast ist das natürlich auch ligitim diese so einzutragen. Falls du eine eigene Domäne hast würde ich evtl. mit der festen IP einen DNS Eintrag erzeugen. Das ist ein wenig flexibler, wenn du nur dein Gerät betreust kein problem. Sind es 10 oder 20 Geräte und der Kunde kriegt einen neuen Internetanschluss ändert sich damit auch die feste IP. In dem Fall müsstest du nur einen Eintrag in der Domäne anpassen. Das nur als Organisationseinwand, von der technischen Seite wie gesagt absolut ok.

In der Quelle würde es reichen nur die Zone VPN aus zu wählen, als Ziel dan das LAN angeben. Quellnetzwerke und Zielnetzwerke ist absolut ok. Ich poste die mal meine konfig wie es aktuell am laufen ist.

In dem Fall benutze ich für mich Privat die gleiche Firewallregel für IPSec und SSL VPNs, das Ziel ist stehts der Terminalserver.

Viele Grüße

Patrick

Schönen guten Tag Batte,
ok wenn du eine feste IP hast ist das natürlich auch ligitim diese so einzutragen. Falls du eine eigene Domäne hast würde ich evtl. mit der festen IP einen DNS Eintrag erzeugen. Das ist ein wenig flexibler, wenn du nur dein Gerät betreust kein problem. Sind es 10 oder 20 Geräte und der Kunde kriegt einen neuen Internetanschluss ändert sich damit auch die feste IP. In dem Fall müsstest du nur einen Eintrag in der Domäne anpassen. Das nur als Organisationseinwand, von der technischen Seite wie gesagt absolut ok.

In der Quelle würde es reichen nur die Zone VPN aus zu wählen, als Ziel dan das LAN angeben. Quellnetzwerke und Zielnetzwerke ist absolut ok. Ich poste die mal meine konfig wie es aktuell am laufen ist.

In dem Fall benutze ich für mich Privat die gleiche Firewallregel für IPSec und SSL VPNs, das Ziel ist stehts der Terminalserver.

Viele Grüße

Patrick