VPN von Bintec RT1202 hinter Fritzbox

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
chris689
Beiträge: 19
Registriert: Mi 17.01.2018, 18:13

VPN von Bintec RT1202 hinter Fritzbox

Beitrag von chris689 »

Hallo,

ich weiß, ich bin hier wohl nicht ganz im richtigen Forum. Aber ich habe trotz vielen Suchens nichts dazu gefunden. Und ich weiß, dass die Securpoint UTMs ja auch hinter Routern eingesetzt werden können. Dazu habe ich aber auch keine Anleitung gefunden.

Wir haben unseren Bintec RT1202 bisher nur als LAN CAPI eingesetzt. Nun möchten wir über ihn einen VPN Tunnel zu einem zweiten Standort mit einem Securepoint Router (UTM) aufbauen. Der RT1202 sitzt mit einer festen IP hinter einer Fritzbox, die als Gateway und DHCP Server dient. Der RT1202 ist in der Fritzbox als Exposed Host freigegeben. Trotzdem bekomme ich keinen VPN Tunnel über IPSec aufgebaut.

Ich habe die IPSec im Securepoint Router auf Initiate Connection: Outgoing gestellt. Aber es tut sich überhaupt nichts soweit ich das sehe. Gibt es für dieses Szenarium eine Anleitung?

Gruß,
Chris

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

eine Anleitung haben wir nicht. Fritzbox hat aber seit geraumer Zeit immer mal wieder das Problem das Sie die Ports nicht weiterleiten obwohl dies noch drin steht. Evtl. ist hier ja das Problem. Sonst in der Securepoint einmal die Gateway IP überprüfen ob diese auch mit der WAN IP auf der Fritzbox übereinstimmt. Kommt denn ein Versuch auf dem Bintec an? Wie sieht es aus wenn der Bintec initiiert?

Gruß Björn

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,

eine direkte Anleitung dafür gibt es nicht. Man müsste schauen was das Log ausgibt und ob die ausgehenden Pakete von der Securepoint vom Bintec beantwortet werden.
Sollte das nicht der Fall sein müsste man prüfen ob die FritzBox diese Pakete auch wie gewünscht weiterleitet.
Befindet sich die Securepoint hinter einem Router? Ansonsten würde ich mal den Bintec die Verbindung initiieren zu lassen. Mit dem Logs auf der Securepoint könnte man dann die Verbindung debuggen.

Beste Grüße
Christian

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Wenn der Bintec die aktuelle Firmware (V.10.1.27.106) hat, die Proposals für Phase 1 und 2 übereinstimmen und die UTM-Seite auf "Incoming" steht, wird der Tunnel funktionieren (habe es gerade nochmal kurz getestet).
 
Besonderheit:
Wenn die Bintec-Seite auf "Always up" steht, wird Phase 1 immer sofort aufgebaut. Aber wenn in dem Zustand versucht wird, von der UTM-Seite auf die Bintec-Seite zuzugreifen, wird Phase 2 von der UTM nicht aufgebaut. Erst wenn von der Bintec-Seite Daten in Richtung UTM geschickt werden, baut der Bintec Phase 2 auf. Anschließend kann auch von der UTM-Seite auf die Bintec-Seite zugegriffen werden und im UTM-Admin-UI steht der Tunnel als "UP".

Achtung! Vor einem eventuellen Firmwareupdate am Bintec die Konfiguration sichern. Ich musste mal ein Downgrade machen, weil eine V.10.x ein Problem mit Tobit Faxware hatte und ich glaube, die aktuelle Firmware läuft immer noch nicht völlig sauber mit der alten Faxware.

PS
Notfalls kann man auf dem Bintec unter "Local Services / Surveillance / Ping Generator" alle 10 ode 20 Sekunden einen Ping zu Gegenseite absetzen lassen (das habe ich schon häufiger machen müssen), dann bleibt der Tunnel "UP".

chris689
Beiträge: 19
Registriert: Mi 17.01.2018, 18:13

Beitrag von chris689 »

Hallo,

vielen Dank für eure Antworten und Erklärungen.

@Franz: Ich bin deinen Hinweisen gefolgt. Anscheinend schaffe ich aber nicht einmal den IPSec Peer im Bintec Router richtig zu konfigurieren. Der Status steht auf "blockiert" und im internen Protokoll finde ich:
"P1: peer 1 (Terra-03) sa 0 (-): No route found or configured ipsecPeerLocalAddress and/or ipsecPeerPublicIfIndex not suitable."

Ich habe als Peer-Adresse und -IP die öffentliche IP der UTM angegeben. Als lokale IP-Adresse die LAN Adresse des Bintec Routers und im Routeneintrag als entfernet IP-Adresse das LAN hinter der UTM mit der entsprechenden Netzmaske.

Sicherheitsrichtlinie steht auf vertrauenswürdig, IPv4-Adressvergabe auf statisch.

Was habe ich nur falsch gemacht?

Gruß,
Chris

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo Chris,
 
habe ich das richtig verstanden, du hast auf der Bintec-Seite eine Art "Router-Kaskade" gebaut?
 
Die Fritz!Box stellt also die Internetverbindung her und liefert auf der LAN-Seite ein "Transfernetz" (z.B. 192.168.178.0/24), in dem der Bintec mit seiner WAN-Seite (z.B. ETH5 / en1-4) angeschlossen ist?
Auf der LAN-Seite des Bintec (z.B. ETH1-4 / en1-0) hast du das Netz (z.B. 192.168.0.0/24) für die Clients eingerichtet?
 
Die Fehlermeldung aus dem Log lässt jedoch anderes vermuten...

Gruß

Franz

chris689
Beiträge: 19
Registriert: Mi 17.01.2018, 18:13

Beitrag von chris689 »

Hallo Franz,

nicht ganz, die Fritzbox liefert das Netz 192.168.51.0/24. Der Bintec ist im LAN an en1-0  mit der Adresse 192.168.51.251 angeschlossen, hat aber kein eigens LAN Netz.
In der Fritzbox ist der Bintec als Exposed  Host eingetragen. Außerdem werden alle Anfragen an das zweite LAN 192.1668.52.0/24 von der Fritzbox an den Bintec Router weiter geleitet. Der sie dann ins VPN schicken sollte.

Hatte auch schon überlegt, eine Router-Kaskade wie von dir beschrieben aufzubauen. Wäre das besser?

Gruß,
Chris

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ich habe schon beide Versionen in ähnlicher Form realisiert (realisieren müssen). Die Kaskade ist vielleicht etwas sauberer und klarer.
Zur Not kannst du dem Bintec auch 2 IP-Adressen (ehem. LAN-IP-Adresse der FB und die .251 für LAN-CAPI) auf der LAN-Schnittstelle mitgeben. DHCP und DNS kann der Bintec sowieso viel flexibler als die Fritz!Box.
 
Die Fehlermeldung lässt in deinem Fall ein Routingproblem auf dem Bintec vermuten (keine Standardroute, falsche Metrik etc.).
Kannst du vom Bintec aus die externe IP der UTM (oder z.B. heise.de) per Ping erreichen?
Der Exposed-Host-Eintrag auf der FB ist überflüssig, denn der Bintec sollte die Verbindung initiieren.

chris689
Beiträge: 19
Registriert: Mi 17.01.2018, 18:13

Beitrag von chris689 »

Schönen Dank für den Tipp mit dem Ping. Ich kann nur LAN Adressen pingen, nicht aber WAN Adressen. Also muss mich mal um das Routing kümmern.

Gibt es eigentlich für den Bintec neben dem Handbuch auch eine Schnellstartanleitung oder Tutorials? Wenn ich das ganze als Kaskade konfigurieren will, müsste ich ja den Bintec komplett mit Schnittstellen, DHCP, DNS usw. konfigurieren. Bisher hat er ja nur als LAN CAPI gedient.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Der Fehler im Routing sollte sich finden lassen. Eigentlich muss nur eine "Standardroute über Gateway" mit der IP der FB als Gateway eingetragen werden. Eventuell unter "Lokale Dienste / DNS" einen DNS-Server eintragen.

Anleitungen zur Einrichtung findet man auch hier unter Anwendungs- Workshops
Bei der Neueinrichtung sind die Assistenten für Grundkonfiguration inzwischen recht nützlich.

Antworten