VPN Site2Site - UTM9 <> Fritz!Box 7490

Ich probiere derzeit eine Verbindung (Site2Site) zwischen  UTM9 (aktuelle Firmware)  undFritz!Box 7490 (7.28) herzustellen.

Habe mich dazu der Anleitung im Forum oder auch externen Seiten bedient.

Jedoch endet der Versuch mit der Meldung  der FritzBox "IKE-Error 0x2027" - "timeout".

Im Log der UTM9 taucht nichts dazu auf.

Meine Config der Fritz!Box welche importiert wird:

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Site2Site UTM9";
        always_renew = yes;
        keepalive_ip = 192.168.1.1;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;
        remote_virtualip = 0.0.0.0;
        remotehostname = "beispielutm.ddnss.de";
        localid {
            fqdn = "beispielfb.ddnss.de";
        }
        remoteid {
            fqdn  =  "beispielutm.ddnss.de";
        }
        mode = phase1_mode_aggressive;
        phase1ss = "all/all/all";
        keytype = connkeytype_pre_shared;
        key = "GEHEIMERSCHLUESSEL";
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;

        phase2localid {
            ipnet {
                ipaddr = 192.168.0.0;
                mask = 255.255.255.0;
            }
        }
        phase2remoteid {
        ipnet {
        ipaddr = 192.168.1.0;
        mask = 255.255.255.0;
        }
        }
        phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
        accesslist = "permit ip any 192.168.1.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
        "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Jemand eine Idee oder Lösung dazu?


Danke.



IP entfernt
[edited by: Demel at 7:28 AM (GMT -7) on 11 Oct 2021]
  • Ist an der UTM das richtige "local Interface" gewählt?

    Gibt es noch einen Router / FritzBox vor der UTM? Welche IP hat die UTM am externen Interface ... eine öffentliche?

    Mal das Debugging für IPSec aktivieren.

    Gibt es gar keine Einträge im IPSec log?


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

  • UTM9 hängt direkt an DSL-Modem mit statischer IP. SSL VPN funktioniert von Android aus.

    Erweitertes Debug ergibt auch keine Ergebnisse auf UTM9.

    Vor ich AVM Support quäle, such erstmal Fehler in meiner Fritz! Config. :-)

  • Wenn an der UTM nix ankommt ... die DynDns-namen werden richtig aufgelöst?
    Besonders: remotehostname = "deine-utm.ddnss.de";


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

  • Danke für Deine Idee,  hat mich etwas nach vorne gebracht

    Auflösung (anonymisiert) erscheint in Fritzbox:

    2021-10-11 09:33:09 avmike:>>> aggressive mode [xxx.135.yyy.zzz] UTM9 M19: V1.0 604 IC 17af3e718458e5b0 RC 00000000 0000 SA flags=

    jedoch erscheint danach im Fritz-Log:

    avmike:UTM9: Phase 1 failed (initiator): timeout, checking ip address

    Hast Du noch eine Idee?

  • Meines Wissens unterstützt die UTM nur main mode also nicht aggressive mode seitens Fritzbox verwenden.

    Prinzipiell geht es auch definitiv - habe es bei einigen Kunden laufen und läuft auch stabil (aber schon vor Ewigkeiten  eingerichtet).

    Was ggf. auch noch Probleme machen kann, sind unpassende VPN IDs (Fehler diesbezüglich würdest du aber dann im Sophos IPSec LOG sehen)

    Gruß Steve

  • Muss ich trotz automatischer Firewall-Regel die Ports 500/4500 öffnen?

  • Die automatischen Regeln sind doch für den Verkehr der dann durch das VPN gehen soll und nicht für die initiale Verbindung/Tunnelaufbau. -> Sofern du IPSec auf der UTM mit einem Profil eingerichtet hast, hört die Sophos auch die IPSec-Ports ab und dafür brauchst du keine weiteren Firewall-Regeln.

    Steht denn das VPN jetzt? Bei den automatischen Firewallregeln werden seitens Sophos automatisch "any-Firewall-Regeln" ziwschen dem lokalem Netzwerk/Hosts (hinter Sophos) und dem entfernten Netzwerk/Hosts (hinter FB) angelegt.

    Diese Regeln siehst du auch unter Network-Protection -> Firwall: wenn du die Ansicht "Von Benutzer erstellte Firewallregeln" auf "automatische Firewallregeln" stellts -> die automatischen Regeln kannst du auch editiieren und dort das Logging einschalten, dann siehst du anschließend auch die Pakete im Firewall-Log die dann über das VPN gehen.

    Gruß Steve

  • OK. Musste noch die Ports 500 und 4500 eingehend öffnen. Dies war in der Automatik nicht dabei. Zudem habe ich die Richtline nochmal angepasst.

    Jetzt komme ich bis hier hin:

     initial Main Mode message received on xxx.135.xxx.2:500 but no connection has been authorized with policy=PSK

    Vielleicht noch ein Hinweis/Idee? Danke!

  • Die Meldung ist von der SG?

    Wie sieht die Konfiguration auf der Sophos aus?

    Es scheint keine passende Policy zu geben, die mit PSK konfiguriert ist.


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

  • Ja, Meldung ist von SG Seite.

    Hier die Konfig: