This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fritz!Box 6591 VPN zu SG330 unmöglich

Hallo an alle,

ich habe jetzt knapp zwei Abende rumprobiert eine IPSec verbindung zwischen der genannten FritzBox und der Sophos herzustellen.

Ich denke ich kenne mittlerweile jeden Artikel in dem es nur ansatzweise um VPN zwischen FritzBox und Sophos geht und habe an die 200 Konfigurationen ausprobiert. (Also bitte nicht nur einfach andere Beiträge hier verlinken. Danke)

Zu Netzwerkaufbau:

2 Standorte

Saturn:

Keine Feste IP aber DynDNS von DDNS.net / VDSL250 Telekom mit Fritz!Box 7530 als Modem. Sophos SG330 als Exposed Host dahinter. (Keine anderen Freigaben keine anderen Portweiterleitungen oder sonstige NAT Rules.) Funktioniert soweit auch zu 100% und wird nicht der Störfaktor sein.

Internes Subnetz: 192.168.100.0/24

Pluto:

Keine Feste IP aber DynDNS von DDNS.net / Kabel1000 Gigabit Vodafon Leitung - Fritz!box 6591 dahinter. IPV4 vorhanden (standadmässig bei Kabelanschlüssen nicht)

Internes Subnetz: 192.168.49.0/24 - geändert von Standard 192.168.178.0 weil die Fritzbox vor Der Sophos auf Saturn diese IP Adresse hat und somit die WAN Adresse von der Sophos bereits 192.168.178.90 ist. (Dachte da gibt es bestimmt Probleme)

Problem:

Ich möchte nun von Pluto eine Verbindung zu Saturn herstellen. Meine Config Lautet:

Fritzbox Konfig mit Notepad erstellt umbenannt zu .cfg und importiert: (Ich schreib es lieber ausführlich falls sich hier schon Fehler meinerseits einschleichen sollten.)

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Sophos";
always_renew = yes;
keepalive_ip = 192.168.100.1; <--Ip der Sophos im Internen Netz
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "utm.dyndns.hiereingefuegt";
localid {
fqdn = "myfritzdyndns.hier.eingefuegt";
}
remoteid {
fqdn = "utm.dyndns.hiereingefuegt";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "verteilterschluessel"; <-- hier schluessel eingefügt
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.43.0; <--FritzboxNetz
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0; <---Sophos Netz Intern
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0"; <---Sophos Netz Intern
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Sophos Config:

This thread was automatically locked due to age.

Parents

0 Alebia over 2 years ago

Ist Irgendwas bei den generellen Einstellungen von IPSec zu beachten ? Zertifikat oder VPN-ID wichtig ?
Cancel
Vote Up 0 Vote Down

Cancel
0 Alebia over 2 years ago in reply to Alebia

Habe da aktuell mein utm Zertifikat drin. Und bei VPNID den Hostname.
Cancel
Vote Up 0 Vote Down

Cancel
0 wk over 2 years ago in reply to Alebia

Den Tunnelaufbau von der UTM aus habe ich schon mehrfach erfolglos versucht. Wenn es euch gelingt, wäre das eine interessante Variante.

cu
Walter
Cancel
Vote Up 0 Vote Down

Cancel
0 Alebia over 2 years ago in reply to PhilippRusch

Nach meinem Verständnis macht die Fritzbox das aber doch eigentlich oder ? Zu mindestens sollte sie das. Sie hat ja den Hostname und externen IP Bereich. Vielleicht stimmt dann doch etwas mit der cfg Datei nicht ?

Sophos ist ja auf nur Antworten eingestellt.
Cancel
Vote Up 0 Vote Down

Cancel
0 PhilippRusch over 2 years ago in reply to Alebia

Nein, nur der IPsec Tunnelaufbau erfolgt VON der Fritzbox ZUR Sophos UTM.

Bitte keine Netze vertauschen..

In der Sophos muss du das remote gateway ändern oder neu erstellen.

Mit freundlichem Gruß, best regards from Germany,

Philipp Rusch

New Vision GmbH, Germany
Sophos Silver-Partner

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Alebia over 2 years ago in reply to PhilippRusch

Okay das macht ja sinn. Aber warum die FritzBox keine Verbindung zu Sophos aufbaut ist seltsam. Außerdem ist kein Fehler in der FritzBox zu finden. Die Lampe bleibt einfach grau.
Cancel
Vote Up 0 Vote Down

Cancel
0 wk over 2 years ago in reply to Alebia

Zeig mal einen Screenshot von der Fritzbox: Internet-Freigaben-VPN

cu
Walter
Cancel
Vote Up 0 Vote Down

Cancel
0 Alebia over 2 years ago in reply to wk
Cancel
Vote Up 0 Vote Down

Cancel
0 Alebia over 2 years ago in reply to Alebia

Okay ich habe einen FritzBox Fehler und Viel im Sophos Log an fehgeschlagenen Connections Wenn ich in der FritzBox config bei Phase2 remote ID fqdn = "utm.meindomain.de"; eintrage anstatt das Lokale Netz der Sophos.
Cancel
Vote Up 0 Vote Down

Cancel
0 Alebia over 2 years ago in reply to wk

Hilft dir der weiter ? LG
Cancel
Vote Up 0 Vote Down

Cancel
0 wk over 2 years ago in reply to Alebia

Nicht wirklich. Ich habe lange vergeblich im Internet gesucht, die Befehlssyntax der Fritzbox zu bekommen. So blieb mir auch nur die schon kursierenden Konfigurationsdateien zu probieren bis es geklappt hat.

Aber es ist schon interessant, dass die Fritzbox plötzlich Fehlermeldungen ausgibt und die UTM auch Verbindungsversuche registriert.

Irgend etwas verhindert bei den alten Einstellungen den Verbindungsaufbau.

cu
Walter
Cancel
Vote Up 0 Vote Down

Cancel
0 Alebia over 2 years ago in reply to wk

Ich habe mir mit Hilfe des "FritzBox VPN Einrichten" Programms einmal die konfig erstellt und habe nur Passwort und Verschlüsselung angepasst. Ebenfalls keine Reaktion.

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "SophosVPN";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "utm.meineDomain.de";
localid {
fqdn = "meineAdresse.myfritz.net";
}
remoteid {
fqdn = "utm.meineDomain.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "meinKey";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.43.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 Alebia over 2 years ago in reply to wk

Ich habe mir mit Hilfe des "FritzBox VPN Einrichten" Programms einmal die konfig erstellt und habe nur Passwort und Verschlüsselung angepasst. Ebenfalls keine Reaktion.

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "SophosVPN";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "utm.meineDomain.de";
localid {
fqdn = "meineAdresse.myfritz.net";
}
remoteid {
fqdn = "utm.meineDomain.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "meinKey";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.43.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF
Cancel
Vote Up 0 Vote Down

Cancel

Children

No Data