Side to Side VPN zwischen Fritzbox und Sophos hinter einer Fritzbox

Hallo zusammen,

ich habe ein Problem beim Aufbau der Side to Side VPN Verbindung (IPsec) zwischen einer Fritzbox und meiner Sophos, welche hinter einer Fritzbox hängt. Der Aufbau sieht folgendermaßen aus:

Beide Fritzboxen nutzen DDNS Dienste, da sie dynamische IP Adresse haben. In der Fritzbox 7412 ist die Firewall als Extendet Host hinterlegt.

In der Sophos habe ich ein IPsec Profil für die Fritzbox hinterlegt:

Die Side to Side Verbindung ist wie folgt definiert: (Die * in den DDNS Adresse sind natürlich nur in dem Scrennshot fürs Forum aktiv)

Die IP Hostgruppen sind wie folgt definiert:

In der Fritzbox 7530 AX habe ich folgende VPN Konfiguration hinterlegt:

vpncfg {
connections {
  enabled = yes;
  conn_type = conntype_lan;
  name = "Loog_to_Sophos"; 
  always_renew = yes; 
  reject_not_encrypted = no;
  dont_filter_netbios = yes;
  localip = 0.0.0.0;
  local_virtualip = 0.0.0.0;
  remotehostname = "d***.ddns.net"; 
  remote_virtualip = 0.0.0.0;
  localid {
    fqdn = "l***.ddns.net"; 
    }
  remoteid {
    fqdn = "d***.ddns.net"; 
    }
  mode = phase1_mode_idp;
  phase1ss = "dh14/aes/sha";
  keytype = connkeytype_pre_shared;
  key = "************";
  cert_do_server_auth = no;
  use_nat_t = yes;
  use_xauth = no;
  use_cfgmode = no;
  phase2localid {
    ipnet {
      ipaddr = 192.168.2.0; 
      mask = 255.255.255.0;
      }
    }
  phase2remoteid {
    ipnet {
      ipaddr = 192.168.5.0; 
      mask = 255.255.255.0;
      }
    }
  phase2ss = "esp-all-all/ah-none/comp-all/pfs";
  accesslist = "permit ip 192.168.2.0 255.255.255.0 192.168.5.0 255.255.255.0"; //Subnetze Sophos XG
  }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Ich habe jetzt schon diverse Einstellungen geändert und Versuche unternommen, aber leider finde ich meinen Fehler nicht. Ich bin mir nicht sicher, ob es jetzt an einem doofen Fehler der VPN Einstellungen liegt, oder ob ich mir durch das NATten der Fritzbox vor meiner Sophos die Probleme einfange.

Im Protokoll der Sophos bekomme ich nur folgenden Fehler:

Das Logfile "ipsec.log" enthält leider gar keine Einträge.

Das Log der Fritzbox 7530 AX zeigt lediglich einen Timeout an.

Habt ihr Ideen zur Verbindung?

Danke!

Added TAGs
[edited by: Erick Jan at 4:39 AM (GMT -7) on 3 Apr 2024]

Top Replies

Bharat J 2 months ago in reply to Dennis Marschall +1 verified

Haben Sie die Ports 4500 und 500 upd von der Fritzbox 192.168.4.1 freigegeben? Führen Sie tcpdump aus Konsole>tcpdump 'Port 500 oder 4500 Bitte teilen Sie uns mit, welche anderen Parameteroptionen…

Parents

0 Bharat J 2 months ago

Verwendung von DDNS in Remote gateway on ipsec vpn
gültige lokale und entfernte ID bei ipsec vpn verwenden

Überprüfen Sie die Protokolle während der Aktivierung des IPSec VPN-Tunnels mit den unten aufgeführten Schritten zur Fehlerbehebung:
community.sophos.com/.../sophos-firewall-troubleshooting-site-to-site-ipsec-vpn-issues

Mit freundlichen Grüßen

"Sophos Partner: Networkkings Pvt Ltd".

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Sign in to reply

Verify Answer

Cancel

0 Dennis Marschall 2 months ago in reply to Bharat J

Das Remote Gateway ist also gleich der Remote ID? = l***.ddns.net? Oder kann ich hier einfach "DDNS" eintragen?

Die lokale und remote ID ist nur für den Post mit Sternchen versehen ;-)

Der strongswan service gibt mir folgenden Output beim Verbindungsversuch:

2024-04-02 14:40:20Z 30[CFG] vici initiate 'Loog_to_Sophos-1'
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> queueing ISAKMP_VENDOR task, already 0 tasks queued
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> queueing ISAKMP_CERT_PRE task, already 1 tasks queued
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> queueing MAIN_MODE task, already 2 tasks queued
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> queueing ISAKMP_CERT_POST task, already 3 tasks queued
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> queueing ISAKMP_NATD task, already 4 tasks queued
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> ### queue_child invoking quick_mode_create
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> ### quick_mode_create: 0x7f0d40002a70 config 0x7f0d4c0019d0
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> queueing QUICK_MODE task, already 5 tasks queued
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> activating new tasks
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25>   activating ISAKMP_VENDOR task
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25>   activating ISAKMP_CERT_PRE task
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25>   activating MAIN_MODE task
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25>   activating ISAKMP_CERT_POST task
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25>   activating ISAKMP_NATD task
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> sending XAuth vendor ID
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> sending DPD vendor ID
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> sending Cisco Unity vendor ID
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> sending FRAGMENTATION vendor ID
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> sending NAT-T (RFC 3947) vendor ID
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> initiating Main Mode IKE_SA Loog_to_Sophos-1[25] to 91.50.193.244
2024-04-02 14:40:20Z 20[IKE] <Loog_to_Sophos-1|25> IKE_SA Loog_to_Sophos-1[25] state change: CREATED => CONNECTING
2024-04-02 14:40:20Z 20[CFG] <Loog_to_Sophos-1|25> configured proposals: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048, IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/MODP_3072/MODP_4096/MODP_8192/MODP_2048, IKE:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/MODP_3072/MODP_4096/MODP_8192/MODP_2048
2024-04-02 14:40:20Z 20[ENC] <Loog_to_Sophos-1|25> generating ID_PROT request 0 [ SA V V V V V V ]
2024-04-02 14:40:20Z 20[NET] <Loog_to_Sophos-1|25> sending packet: from 192.168.4.2[500] to 91.50.193.244[500] (260 bytes)
2024-04-02 14:40:20Z 03[NET] sending packet: from 192.168.4.2[500] to 91.50.193.244[500]
2024-04-02 14:40:24Z 18[IKE] <Loog_to_Sophos-1|25> sending retransmit 1 of request message ID 0, seq 1
2024-04-02 14:40:24Z 18[NET] <Loog_to_Sophos-1|25> sending packet: from 192.168.4.2[500] to 91.50.193.244[500] (260 bytes)
2024-04-02 14:40:24Z 03[NET] sending packet: from 192.168.4.2[500] to 91.50.193.244[500]
2024-04-02 14:40:31Z 15[IKE] <Loog_to_Sophos-1|25> sending retransmit 2 of request message ID 0, seq 1
2024-04-02 14:40:31Z 15[NET] <Loog_to_Sophos-1|25> sending packet: from 192.168.4.2[500] to 91.50.193.244[500] (260 bytes)
2024-04-02 14:40:31Z 03[NET] sending packet: from 192.168.4.2[500] to 91.50.193.244[500]

Der Output von ipsec statusall:

SFVH_SO01_SFOS 20.0.0 GA-Build222# ipsec statusall
Status of IKE charon daemon (strongSwan 5.5.3, Linux 4.14.302, x86_64):
  uptime: 14 days, since Mar 19 10:54:21 2024
  malloc: sbrk 4919296, mmap 0, used 781328, free 4137968
  worker threads: 27 of 32 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 2
  loaded plugins: charon aes des rc2 sha2 sha3 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf curve25519 xcbc cmac hmac attr kernel-netlink socket-default stroke vici xauth-generic xauth-access-server ippool-access-server cop-updown garner-logging error-notify unity
Listening IP addresses:
  169.254.234.5
  192.168.5.1
  192.168.4.2
  10.255.0.1
  10.81.128.1
  2001:db8:0:0:8000::
  10.81.0.1
  2001:db8::
Connections:
DenJen_VPN-1:  192.168.4.2...%any  IKEv1, dpddelay=60s
DenJen_VPN-1:   local:  [192.168.4.2] uses pre-shared key authentication
DenJen_VPN-1:   remote: uses pre-shared key authentication
DenJen_VPN-1:   remote: uses XAuth authentication: access_server
DenJen_VPN-1:   child:  0.0.0.0/0 === 0.0.0.0/0 TUNNEL, dpdaction=clear
Loog_to_Sophos-1:  192.168.4.2...l***.ddns.net  IKEv1
Loog_to_Sophos-1:   local:  [d***.ddns.net] uses pre-shared key authentication
Loog_to_Sophos-1:   remote: [l***.ddns.net] uses pre-shared key authentication
Loog_to_Sophos-1:   child:  192.168.5.0/24 === 192.168.2.0/24 TUNNEL
Security Associations (0 up, 1 connecting):
Loog_to_Sophos-1[25]: CONNECTING, 192.168.4.2[%any]...91.50.193.244[%any]
Loog_to_Sophos-1[25]: IKEv1 SPIs: 1afea12770b6ccf2_i* 0000000000000000_r
Loog_to_Sophos-1[25]: Tasks queued: QUICK_MODE
Loog_to_Sophos-1[25]: Tasks active: ISAKMP_VENDOR ISAKMP_CERT_PRE MAIN_MODE ISAKMP_CERT_POST ISAKMP_NATD
SFVH_SO01_SFOS 20.0.0 GA-Build222# ^C

Also stehe ich wohl an Problem 4, dass die Tunnelkonfig nicht passt.

+1 Bharat J 2 months ago in reply to Dennis Marschall

Haben Sie die Ports 4500 und 500 upd von der Fritzbox 192.168.4.1 freigegeben?
Führen Sie tcpdump aus

Konsole>tcpdump 'Port 500 oder 4500

Bitte teilen Sie uns mit, welche anderen Parameteroptionen Sie auf der Fritzbox für Phase I und Phase II sehen?

"Sophos Partner: Networkkings Pvt Ltd".

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up +1 Vote Down

Sign in to reply

Reject Answer

Cancel
0 Dennis Marschall 2 months ago in reply to Bharat J

Problem gelöst, vielen Dank!

Die Ports waren zwar generell offen, aber eine alte, nicht mehr genutze VPN Verbindung in der Fritzbox hat den Port 500 noch blockiert.

Zudem war noch ein Fehler im IPsec Profil:, welchen ich durch den strongswan service gut finden konnte:
Cancel
Vote Up 0 Vote Down

Sign in to reply

Verify Answer

Cancel
0 Bharat J 2 months ago in reply to Dennis Marschall

Cheers!!

"Sophos Partner: Networkkings Pvt Ltd".

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Sign in to reply

Verify Answer

Cancel
0 Gawo 2 months ago in reply to Bharat J

Hallo zusammen,

ich habe bzw. hatte dieselbe Frage. Ich habe exakt denselben Aufbau, wie Dennis:

Standort A: FritzBox mit Sophos XG als Exposed Host, 4500 und 500 freigegeben. DynDNS in der FritzBox konfiguriert.
Standort B: FritzBox OHNE Sophos XG. DnyDNS in der FritzBox konfiguriert.

Leider kann ich weder von Standort A nach Standort B zugreifen (z.B. Ping) oder umgekehrt.

Hier meine Einstellungen der Sophos (Standort A):

Fritzbox Standort B:

Jemand eine Idee, wo mein Fehler sein könnte?

Danke euch!

Viele Grüße
Marius
Cancel
Vote Up 0 Vote Down

Sign in to reply

Verify Answer

Cancel
0 Bharat J 2 months ago in reply to Gawo

Bitte prüfen und verifizieren Sie den Datenverkehr unter MONITOR & ANALYZE || Diagnostics || Packet Capture, dies wird uns helfen, den Datenverkehr mit der Firewall-Regel zu finden.

Für die Fehlersuche erstellen Sie eine Firewall-Regel von VPN-LAN und LAN zu VPN und lassen Sie die erstellte Firewall-Regel auf TOP, bis die Fehlersuche abgeschlossen ist.
Posten Sie die erstellte Regel.

Vergewissern Sie sich, dass Ping in der VPN- und LAN-Zone unter System-->Verwaltung -->Gerätezugriff aktiviert ist.

"Sophos Partner: Networkkings Pvt Ltd".

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Sign in to reply

Verify Answer

Cancel
0 Gawo 1 day ago in reply to Bharat J

Hi Bharat,

danke für die Antwort und sorry für die späte Rückmeldung.

Ich habe mir das nun noch einmal genau angeschaut. Die Regel ist weiterhin aktiv und die Sophos und die entfernte Fritzbox zeigen grün an.

Die Paketerfassung habe ich aktiviert, sieht so aus (sorry kenne mich nicht aus):

Habe die Regel wie beschrieben hinzugefügt und ganz nach oben geschoben (Test). Da scheint auch Traffic zu sein.

Leider kann ich trotzdem auf kein Gerät von Standort A auf B und umgekehrt zugreifen... Haben Sie noch eine Idee?

Vielen Dank!

Marius
Cancel
Vote Up 0 Vote Down

Sign in to reply

Verify Answer

Cancel

Reply

0 Gawo 1 day ago in reply to Bharat J

Hi Bharat,

danke für die Antwort und sorry für die späte Rückmeldung.

Ich habe mir das nun noch einmal genau angeschaut. Die Regel ist weiterhin aktiv und die Sophos und die entfernte Fritzbox zeigen grün an.

Die Paketerfassung habe ich aktiviert, sieht so aus (sorry kenne mich nicht aus):

Habe die Regel wie beschrieben hinzugefügt und ganz nach oben geschoben (Test). Da scheint auch Traffic zu sein.

Leider kann ich trotzdem auf kein Gerät von Standort A auf B und umgekehrt zugreifen... Haben Sie noch eine Idee?

Vielen Dank!

Marius
Cancel
Vote Up 0 Vote Down

Sign in to reply

Verify Answer

Cancel

Children

No Data