Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 8 replies
  • Subscribers 4 subscribers
  • Views 1289 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM site-to-site FritzBox mit anderen Ports

Fabian Hasselbach

Hallo zusammen,

ich habe eine UTM 9 hier bei mir zuhause und ein Haus in Spanien. Dortige Verbindungen laufen über einen zentralen Internetanschluss eines ansässigen Anbieters.

Dieser hat mir auf Anfrage einen dynDNS Host dafür bereitgestellt und zwei Ports zugesichert, die nicht den VPN ports (500, 4500) entsprechen. Ist es möglich seitens der FritzBox, den Port 400 bzw. 4500 auf die mir zugesicherten Ports nach außen weiterzuleiten und seitens der UTM eine DNAT Rule dafür einzurichten, oder brauche ich zwangläufig 400 und 4500 dafür?

Ich habe überall Unifi Geräte laufen, die zentral auf einem Controller bei mir zuhause verwaltet werden sollen. Ich möchte ungern in Spanien dafür einen eigenen VPN Server einrichten müssen.

LG.



This thread was automatically locked due to age.
  • FormerMember
    0 FormerMember

    Hi ,

    Thank you for reaching out to Sophos Community.

    Could you please let me know where FritzBox is located, is it upon UTM or located at a different location?

    By default, IPsec uses standard UDP port 500, and it detected any NAT device in between then will use NAT-T protocol that works on UDP port 4500.

  • 0

    Hallo Fabian,

    kurze Erklärung:

    Link: https://administrator.de/tutorial/ipsec-protokoll-einsatz-aufbau-benoetigte-ports-und-begriffserlaeuterungen-73117.html

    Das wird also nicht so einfac funktionieren., dass man einen Port via Freigabe auf der Fritzbox öffnet.

    Wie wäre es mit einem SSL-Tunnel?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to FormerMember

    Hi, thank you for the quick answer,

    the FritzBox is located at a different location in Spain behind a NAT from a local distributor. The UTM is located at another Location in Germany.

    The ports I received from this distributor are 14700 and 14701 (TCP/UDP).

    So as far as I can understand, the standard port is 500 and as you said 4500 over NAT-T protocol.
    The question that I have is, weather I can route the traffic from the FritzBox publicly on another port (e.g. 14700 UDP extern) and do a DNAT rule on the UTM side, to route in this case 14700 UDP to 500 UDP.

    I hope this is understandable.

    regards-

  • 0 in reply to PhilippRusch

    Hi und danke für die schnelle Antwort.

    Das heißt also, dass mein Vorhaben so nicht funktionieren kann. Ich hätte gerne die beiden Netzwerke verbunden.

    Ich kann dort in Spanien leider nicht so leicht Ports öffnen, da es dort eine lokale Firma gibt, die per Schüssel die Internetverbindung dort weiter verteilen (kein Breitband Ausbau in dem Gebiet).

    Ein SSL-Tunnel würde funktionieren, jedoch können die in Spanien angebrachten Unifi Geräte dann nicht mit dem lokal in Deutschland installiertem Unifi Controller kommunizieren (braucht Port 8080, welcher dort nicht freigegeben werden kann).

    Jedoch werde ich ja wahrscheinlich nicht drum herum kommen, einen SSL VPN Server in Spanien auf den mir zugesicherten Ports zu installieren, wenn ich das richtig gedeutet habe.

  • FormerMember
    +1 FormerMember in reply to Fabian Hasselbach

    It would not be possible to make UTM listen on any custom port for IPsec connection.

    If there's a device/system located behind UTM that you'd like to use for IPsec, then you can configure a DNAT for port translation.

  • +1 in reply to Fabian Hasselbach

    Hallo Fabian,

    dann wäre das aller einfachste eine RED dort hinzustellen, um einen echten Site-to-Site Tunnelbetrieb zu erhalten, der auch alle Ports transportiert, auch den 8080.

    Die Fritzbox kann ja leider kein OpenVPN.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to PhilippRusch

    Hallo,

    dieser Site-to-Site Tunnel zwischen RED und UTM könnte dann über einen zu 500 bzw. 4500 UDP abweichenden Port laufen?

    LG.

  • +1 in reply to Fabian Hasselbach

    Hallo,

    die REDs benötigen zwingend folgende Porits:

    • RED 10 TCP 3400 + UDP 3400
    • RED 15 & RED 50 TCP 3400 + UDP 3410
    • SD-RED 20 & SD-RED 60 TCP 3400 + UDP 3410

    Da muss sich der Provider mal nach dir richten :-)

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Unfiltered HTML