SG 105 und FritzBox

Guten Tag Community,

ich "quäle" mich hier jetzt schon ein paar Tage herum, so richtig voran komme ich nicht. leider. ich hoffe ihr könnt mir auf die Sprünge helfen? Folgendes Scenario. Zwei Büros mit derzeitigem Internetzugang übe jeweils eine FritzBox, bisher läuft hier auch das VPN drüber. Auf der einen Seite (nennen wir es Büro1) gibt es einen feste IP, die andere Seite (Büro2) ist über DYNDNS erreichbar.

Die beiden SG 105 habe ich nach Anleitung eingerichtet. Internetzugang aus den netzen funktioniert auch, nur den VPN Tunnel krieg ich nicht hin. Ich habe zwar schon ein paar Anleitungen gefunden, leider vergeblich getestet.

Hier die Konfiguration.

Büro1: FB 192.168.178.1 (ExposedHost) zu UTM WAN 192.168.178.48 internal LAN der SG 105 192.168.80.2

Büro2. FB 192.168.20.1 (ExposedHost) zu UTM WAN 192.168.20.179 internal Lan der SG105  192.168.30.2

jetzt habe ich das Site-to-Site VPN eingerichtet (versucht)

Entferntes GW eingerichtet:

Dann die IPSec

Büro 2 gleiches Spiel. Das Ergebniss sieht leider immer so aus.

Habt Ihr evtl. Tips oder gibt es irgendwo noch einen link zu einer Anleitung. Vorab schonmal herzlichen Dank und bleibt Gesund!

Parents
  • Hallo Achmed,

    bitte mal die Definition von Büro2 posten, die scheint mir falsch zu sein.

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

  • Hallo die Herren,

    erst einmal vielen Dank für die schnelle Antwort. Ich habe die Einstellungen noch einmal entsprechend Eurer hinweise überprüft, konnte aber nicht finden. Am besten ich schicke jetzt einmal die "komplette" Konfiguration von beiden Seiten.

    Büro 1

    Büro1: FB 192.168.20.1 (ExposedHost) zu UTM WAN 192.168.20.179 internal Lan der SG105  192.168.30.2

    Büro 2

    Büro2. FB 192.168.178.1 (ExposedHost) zu UTM WAN 192.168.178.48 internal LAN der SG 105 192.168.80.2




    Herzlichen Dank für Eure Hilfe!!!!

  • Hallo Achmed,

    zeig uns doch mal die Definitionen von EF, EF1, ZMNL.

    Unterscheidet sich "EF1" auf den beiden Seiten?

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

  • Hallo Philipp,

    jippyeye (oder wie man das schreibt!!!!) bevor Ihr den ganzen Kram anschaut, ich habe im Log einen Eintrag gefunden wo er moniert

    we require peer to have ID '217.87.226.199', but peer declares '192.168.178.48'

    jetzt habe ich die VPN ID angepasst und siehe da, er baut den Tunnel auf.

    Jetzt habe ich "nur" noch ein Problem. ich kann von Büro Büro 2 (192.168.30.0)ins Netz von Büro 1 (192.168.80.0) pingen,also auch auf Rechner die hinter der Sophos liegen.

    Aus dem Netz Büro 2 jedoch nur auf die Sophos, kein Rechner welcher dahinter liegt.

    Hast Du oder Ihr noch einen Hinweis?

    Den Kram unten lass ich stehen, habe ich es nicht ganz umsonst geschrieben.

    Danke für Deine Hilfe!! Ja die EF1 unterscheidet sich auf beiden Seiten. ich habe jetzt alles noch einmal durchgesehen und verzweifele ein wenig. Ich werde jetzt beide Seiten noch einmal komplett löschen und neu einrichten. Wäre schön wenn Du oder auch alle anderen fleißigen Helfer nochmal drüber schauen könnten? Ich habe zu Testzwecken auf beiden Seiten DynDNs genutzt. Also die hier angezeigten öffentlichen IP sind nicht "gefährdet".

    Ich beginne mit Büro 1

    Büro1: FB 192.168.178.1 (ExposedHost) zu UTM WAN 192.168.178.48 internal LAN der SG 105 192.168.80.2

    FritzBox ExposedHost


    neues entferntes GW


    entfernte Netzwerke

    Hier war ich mir nicht sicher, kommt der Dyndns Name oder IP Adressbereich der Gegenstelle rein? Ich habe es mit beiden versucht, hatte den gleichen Effekt, nämlich keinen.

    Neue Verbindung

    lokale Netzwerke



    Büro2. FB 192.168.20.1 (ExposedHost) zu UTM WAN 192.168.20.179 internal Lan der SG105  192.168.30.2

    exposedHost FritzBox

    Entferntes GW


    Entfernte Netzwerke



    Neue IPSec

    lokale netzwerke



    Ergebnis Büro2

    Ergebnis Büro 1

  • Hallo Achmed,

    prima, wir kommen weiter! Das entfernte Netzwerk ist falsch definiert:

    So wäre es richtig:

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

  • Hallo Achmed,

    kleiner Tipp: wenn du jetzt bei der Seite mit "Initiate Connection" den DynDNS-Namen anstelle der IP einträgst, dann übersteht das Ganze auch einen IP-Adresswechsel.

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

  • Nur ein kleiner Hinweis ...

    Mit "entfernte Netzwerke" sind die IP-Bereiche/Subnetze gemeint, welche auf der "anderen" Seite durch den Tunnel erreicht werden sollen.

    Und das jeweils aus dem Blickwinkel der Firewall, welche man gerade konfiguriert.


    Dirk

    Sophos Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

Reply
  • Nur ein kleiner Hinweis ...

    Mit "entfernte Netzwerke" sind die IP-Bereiche/Subnetze gemeint, welche auf der "anderen" Seite durch den Tunnel erreicht werden sollen.

    Und das jeweils aus dem Blickwinkel der Firewall, welche man gerade konfiguriert.


    Dirk

    Sophos Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

Children