Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
danzas
Themen-Autor
Beiträge: 1
Registriert: Fr 01.02.2019, 15:32

VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Fr 01.02.2019, 15:44

Hallo,

folgende Anforderung wird benötigt:

Eine BlackDwarf hängt hinter einer Fritzbox 7490 Cable (Die BD als Exposed Host eingerichtet). Es soll eine IPSEC-VPN-Standortvernetzung mit 3 anderen Netzen hergestellt werden, alle ebenfalls mit einer DSL-Fritzbox als WAN-Gateway. Die BD soll im eigenen Netz als VPN-Server fungieren, bei den anderen Netzen jeweils die Fritzboxen. Sämtliche Netze haben eine dynamische WAN-IP und nutzen einen DynDNS-Dienst.

Gibt es hierzu eine Anleitung wie die BD und die Fritzboxen zu konfigurieren sind?

Schönen Dank.
 
Franz
Beiträge: 249
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Fr 01.02.2019, 19:37

Ich würde mal beim Kabelnetzbetreiber anfragen, ob nicht statt Fritz!Box ein Kabelmodem geliefert werden kann.
Manche Kabelnetzbetreiber bieten sogar feste IP für den Zweck an.

Eine IPSec-Verbindung zwischen Fritz!Box mit dynamischer IP und einer SP UTM hinter einem NAT-Router mit fester IP läuft völlig stabil und störungsfrei, aber ich weiß nicht, wie sich die Sache verhält, wenn gleich mehrere Fritz!Boxen mitspielen sollen und alle Beteiligten dynamische IP haben - ich fürchte, das wird nichts.
Wäre es nicht möglich, Black Dwarfs an den Außenstandorten einzusetzen und SSL-VPN zu nutzen?

Gruß

Franz
 
merlin
Beiträge: 180
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Sa 02.02.2019, 09:55

Hallo,

hier gibt es eine ältere Anleitung dazu, die ich auch schon realisiert habe:
https://wiki.securepoint.de/index.php/I ... itzbox_V11
Allerdings kann ich nicht behaupten, dass das eine stabile Lösung ist. Die Fritzbox muss oft neu gestartet werden.
Früher waren auch die Verschlüsselungsverfahren der Fritzboxen sehr beschränkt, das scheint laut diesem Artikel zumindest etwas besser zu sein:
https://avm.de/service/vpn/tipps-tricks ... verbinden/
Aber auch immer daran denken: Die Fritzbox 7490 hat eine 600MHz-CPU und 256MB Speicher. Für den normalen Betrieb kein Problem, aber mehrere Megabit dann auch noch ver- bzw. entschlüsseln... das kann sportlich werden.
Securepoint-Gateways auf allen Seiten - meinetwegen auch als exposed Host bzw. mittels Portforwarding - und mit SSLVPN ist eine absolut stabile Lösung.
Achtung bei IPsec und NAT auf allen Seiten, das wird nix - siehe hier:
https://wiki.securepoint.de/UTM/VPN/%C3 ... rbindungen

Gruß
Rolf
 
Franz
Beiträge: 249
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Sa 02.02.2019, 10:48

Wie oben geschrieben läuft die IPSec-Verbindung (mit IKE V1) von einer Fritz!Box zu Securepoint UTM hinter einem NAT-Router nach meinen Erfahrungen völlig stabil und zuverlässig. Diese Konstellation habe ich mehrfach im Einsatz. Ganz entscheidend dabei ist jedoch, dass die Fritz!Box der Initiator der Verbindung sein und deswegen auf der UTM-Seite in Phase 1 das Startverhalten auf "Incoming" eingestellt werden muss. Außerdem habe ich in den Fällen eine feste IP auf UTM-Seite. Ob die Sache auch mit mehreren Fritz!Boxen in der Weise funktionieren würde, kann ich nicht sagen. Voraussetzung wäre vielleicht, dass für alle Verbindungen der gleiche PSK benutzt wird.
 
Wenn es gewünscht wird, kann ich gerne eine Beispielkonfiguration (mit aktuellen Authentifizierungs- und Verschlüsselungsalgorithmen in Phase 1 und 2) posten.
 
Gruß
 
Franz
 
Bjoern
Securepoint
Beiträge: 472
Registriert: Mi 03.07.2013, 10:06

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Mi 06.02.2019, 08:24

Hallo,

sollte es nicht stabil laufen und Probleme mache können Sie auch den Weg das die Fritzboxen untereinander den Tunnel aufbauen. Sie müssen dann nur in der vorgeschalteten Fritzbox eine Route setzten für das Securepoint Netzwerk. Die IPSec Tunnel von Fritzbox zu Fritzbox müssen sich dann natürlich auch auf das Netz hinter der Securepoint beziehen. Sie müssten dann nur die Regel in der Firewall anlegen das dieses "VPN" Netze ins interne Netz dürfen (ohne DESTNAT) und das interne Netz mit einem HNE in diese Netze dürfen. Das HNE muss ganz oben stehen.


Gruß Björn
 
ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Di 28.05.2019, 09:56

Hallo,
kämpfe seit Tagen mit einer Fritzbox als Gegenstelle zur Black Dwarf: Securepoint-Support konnte mir bislang nicht helfen. Hätte gern die Beispiel cfg-Datei zum Einspielen in der Fritzbox.

Vielen Dank und Gruß Andreas
 
wufservice
Beiträge: 4
Registriert: Di 28.05.2019, 16:14

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Di 28.05.2019, 16:19

Mit dieser Konfig laufen bei uns die FrirtzBoxen absolut zuverlässig:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "NAME_DER_VERBINDUNG";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = EXTERNE_IP_SECUREPOINT;
                remote_virtualip = 0.0.0.0;
 keepalive_ip = IP_DC;
                localid {
                        fqdn = "EXTERNER_DNSNAME_FRITZBOX";
                }
                remoteid {
 ipaddr = EXTERNE_IP_SECUREPOINT;
 }
                mode = phase1_mode_idp;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "GEHEIMER_KEY";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = NETZWERK_FRITZBOX;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = NETZWERK_SECUREPOINT;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any NETZWERK_SECUREPOINT 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
 
ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Fr 31.05.2019, 10:10

Vielen Dank!
Eine Frage zum Script: In meiner Umgebung steht vor der Securepoint UTM eine Fritzbox als Router. Dann muss ich doch das NAT freischalten: use-nat-t = yes ?

In der Seucrepoint-Konfiguration  habe ich folgende Parameter hinterlegt:
Phase 1:
Startrverhalten: Incoming
Dead Peer Detection: yes
Compression: yes
IKE:
Verschlüsselung: aes256
Authentifizierung: sha1
Diffie-Hellmann-Group: modp1024
Strict: yes
IKE-Lifetime: 1 Stunde
Rekeying: default

Phase 2:
Verschlüsselung: aes256
Authentifizierung: sha1
Diffie-Hellmann-Group: modp1024
Sclüssel-Lebensdauer: 1h
Neustart bei Abbruch: yes

Vielen Dank für die Unterstützung!
 
Franz
Beiträge: 249
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Fr 31.05.2019, 10:37

ricoschweter hat geschrieben:
Vielen Dank!
Eine Frage zum Script: In meiner Umgebung steht vor der Securepoint UTM eine Fritzbox als Router. Dann muss ich doch das NAT freischalten: use-nat-t = yes ?

In der Seucrepoint-Konfiguration  habe ich folgende Parameter hinterlegt:
Phase 1:
Startrverhalten: Incoming
Dead Peer Detection: yes
Compression: yesno
IKE:
Verschlüsselung: aes256
Authentifizierung: sha1 sha2_512
Diffie-Hellmann-Group: modp1024 2048
Strict: yes
IKE-Lifetime: 1 Stunde
Rekeying: default

Phase 2:
Verschlüsselung: aes256
Authentifizierung: sha1sha2_512
Diffie-Hellmann-Group: modp10242048
Sclüssel-Lebensdauer: 1h
Neustart bei Abbruch: yes

Vielen Dank für die Unterstützung!

Damit sollte es gehen.
Gruß
Franz
 
ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Mo 03.06.2019, 14:25

Läut leider immer noch nicht, obwohl das Script angepasst wurde und die Parameter nach Franz in die UTM übernommen...
Hier nochmal mein angepasstes Script:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Securepoint";  //Name der Verbindung in der Konfigurationsoberfläche
                always_renew = yes;            //Tunnel wird ständig erneuert
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = xxxx;      //statische IP-Adresse der Securepoint
                remote_virtualip = 0.0.0.0;
                remotehostname = "Securepoint";
                localid {
                        fqdn= "xxxx";  //Dyn-DNS-Name der Fritz!Box;
                }
                remoteid {
                        ipaddr = xxxx; //statische IP-Adresse der Securepoint
                }
                mode = phase1_mode_idp;               //Main-Mode!
                phase1ss = "dh14/aes/sha"; //Phase1
                keytype = connkeytype_pre_shared;
                key = "xxxx";  //gemeinsames Kennwort (Preshared Key)
                cert_do_server_auth = no;
                use_nat_t = yes;  //NAT durch FB in Bremen
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = xxxx;       //internes Netzwerk der Fritz!Box
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.2.0.0; //internes Netzwerk serverseitig
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs"; //mit Kompression
                accesslist = "permit ip any 10.2.0.0 255.255.255.0"; //internes Netzwerk der Securepoint
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
 
Franz
Beiträge: 249
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Mo 03.06.2019, 14:52

1. Bei Gegenstelle mit statischer Adresse bitte die Zeile mit "remotehostname..." löschen.
2. Kann es sein, dass MyFritz eingerichtet ist?
3. Hast du auf der SP UTM schon mehr als eine IPSec-Verbindung mit PSK eingerichtet?
 
ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Mo 03.06.2019, 17:07

1. habe ich gelöscht
2. MyFritz war tatsächlich aktiv: habe ich deaktiviert
3. Auf der UTM laufen bereits 3 VPNs mit ipsec und als Gegenstelle diverse Fremdanbieter (Cisco, X-Net)
 
Franz
Beiträge: 249
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Mo 03.06.2019, 17:42

MyFritz kann aktiv bleiben, aber ich hatte mal den Fall, dass die Fritz!Box eine Eigenleben entwickelte.
https://support.securepoint.de/viewtopic.php?f=27&t=7557

Die anderen Tunnel benutzen PSK oder Zertifikate?
Mal getestet, die anderen Tunnel auf ignore zu setzen?
 
ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Mo 03.06.2019, 18:25

Die anderen Tunnel benutzen alle PSK. Hatte sie gerade mal auf Ignore gesetzt, doch da wollten sie nicht mehr.
 
ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Mo 03.06.2019, 18:49

Hab jetzt nochmal viel versucht, doch den VPN von der Fritzbox in das Firmennetz mit Securepoint UTM will einfach nicht laufen
Hat noch jemand Tipps?
 
ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Re: VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Fr 07.06.2019, 08:13

Problem wohl gelöst: Die deaktivierte MyFritz-Funktion lies bestimmte Änderungen in der VPN-Konfiguration nicht zu und überschrieb immer wieder meine angepassten Werte mit den alten MyFritz-Vorgaben...
Der Kunde wird nun seine Fritzbox auf Werkseinstellung zurücksetzen und dann nochmal meine VPN-Scriptdatei einspielen.
Vielen Dank für die Unterstützung!

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste