VPN zwischen Fritzbox7490 und SG105W die hinter einer Fritzbox7490 steht

Question

Hi @ALL, 
 
 hoffentlich kann mir jemand auf die Spr&uuml;nge helfen - ich bin echt am Verzweifeln... 
 Folgendes Szenario: 
 
 Firmen-Netz oder auch SG-Netz: 
 192.168.1.0/24 wobei die SG die 192.168.1.1/24 hat. 
 
 Wan-Net - also das Netz vor der SG (Interneteinwahl) 
 192.168.8.0/24 wobei die SG die 192.168.8.3/24 hat. 
 GW ist hier die Fritzbox mit der 192.168.8.1/24 - zum Internet eine feste IP mit FQDN 
 Auf der Fritzbox ist ein Exposed-Host auf die SG 
 
 B&uuml;ro-Netz ist das 
 192.168.113.0/24 hinter einer Fritzbox (192.168.113.5/24) mit DynDNS 
 
 Erstellte Policy auf der SG: 
 IKE - Alg. 3DES SHA1 
 IKE - Lebensd. 3600 
 IKE-HD-Gruppe 2 MODP1024 
 IPSEC - Alg. 3DES SH1 
 IPSEC - Lebensd. 3600 
 IPSEC PFS Gruppe 2 MODP1024 
 
 Gateway auf der SG: 
 Gateway Verbindungstyp: Verbindung initiierten 
 Gateway: DynDNS der B&uuml;ro-Fritzbox 
 Verteilter Schl&uuml;ssel 
 VPN-ID-Typ: Hostname 
 VPN-ID: FQDN der B&uuml;ro-Fritzbox 
 Entfernte Netzwerke: 192.168.113.0/24 
 
 Verbindung auf der SG: 
 Gateway: das eben erstellte 
 Lokale Schnittstelle: Wan-Interface 
 Richtlinie: die oben erstellte 
 Internes Netz: Internes Netz 
 Automatische Firewall 
 Striktes Routing

die VPN-CFG auf der B&uuml;ro-Fritzbox 
 vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "Sophos UTM"; always_renew = yes; keepalive_ip = 192.168.1.1; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0; remotehostname = "remote.SG105W.com"; localid { fqdn = "buerofritz.myfritz.net"; } remoteid { fqdn = "remote.SG105W.com"; } mode = phase1_mode_idp; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "qwertzuiopAsd"; cert_do_server_auth = no; use_nat_t = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.113.0; mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.1.0; mask = 255.255.255.0; } } phase2ss = "esp-3des-sha/ah-no/comp-no/pfs"; accesslist = "permit ip any 192.168.1.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500"; } 
 Ich bekomme einfach keine Verbindung. Hat jemand eine Idee? 
 Die verschiedensten Varianten habe ich durch probiert (was hier in der Community so steht), aber nichts funktioniert. 
 Site-to-Site-VPN-Tunnelstatus:

SA: 
 192.168.1.0/24=192.168.8.3 
 
 93.235.YYY.XXX=192.168.113.0/24

VPN ID: 192.168.8.3

Error: No connection

BAlfson · Answer

Hallo Michael, 
 When you have Debug enabled, the logs are impossible to read. In 13+ years, I've never seen a problem solved here that required enabling Debug, also, bitte, stelle IKE-Fehlersuche aus. 
 Until we've identified the problem, don't use 'Stricte richtlinie'. I would also set the IKE-SA- Lebensdauer in the UTM and the FB to 7800. 
 Having said all that, I think your real problem is that your UTM is behind a NAT. If possible, configure the FB to NOT initiate a connection. If that can't be done, then, on the 'Erweitert' tab, configure 'VPN-ID' to be your public IP that the UTM doesn't have. 'Probing' only needs to be enabled if you have more than one IPsec VPN PSK. 
 
 MfG - Bob (Bitte auf Deutsch weiterhin.)