Securepoint Support Forum

Hallo,

folgende Anforderung wird benötigt:

Eine BlackDwarf hängt hinter einer Fritzbox 7490 Cable (Die BD als Exposed Host eingerichtet). Es soll eine IPSEC-VPN-Standortvernetzung mit 3 anderen Netzen hergestellt werden, alle ebenfalls mit einer DSL-Fritzbox als WAN-Gateway. Die BD soll im eigenen Netz als VPN-Server fungieren, bei den anderen Netzen jeweils die Fritzboxen. Sämtliche Netze haben eine dynamische WAN-IP und nutzen einen DynDNS-Dienst.

Gibt es hierzu eine Anleitung wie die BD und die Fritzboxen zu konfigurieren sind?

Schönen Dank.

Ich würde mal beim Kabelnetzbetreiber anfragen, ob nicht statt Fritz!Box ein Kabelmodem geliefert werden kann.
Manche Kabelnetzbetreiber bieten sogar feste IP für den Zweck an.

Eine IPSec-Verbindung zwischen Fritz!Box mit dynamischer IP und einer SP UTM hinter einem NAT-Router mit fester IP läuft völlig stabil und störungsfrei, aber ich weiß nicht, wie sich die Sache verhält, wenn gleich mehrere Fritz!Boxen mitspielen sollen und alle Beteiligten dynamische IP haben - ich fürchte, das wird nichts.
Wäre es nicht möglich, Black Dwarfs an den Außenstandorten einzusetzen und SSL-VPN zu nutzen?

Gruß

Franz

Hallo,

hier gibt es eine ältere Anleitung dazu, die ich auch schon realisiert habe:
https://wiki.securepoint.de/index.php/I ... itzbox_V11
Allerdings kann ich nicht behaupten, dass das eine stabile Lösung ist. Die Fritzbox muss oft neu gestartet werden.
Früher waren auch die Verschlüsselungsverfahren der Fritzboxen sehr beschränkt, das scheint laut diesem Artikel zumindest etwas besser zu sein:
https://avm.de/service/vpn/tipps-tricks ... verbinden/
Aber auch immer daran denken: Die Fritzbox 7490 hat eine 600MHz-CPU und 256MB Speicher. Für den normalen Betrieb kein Problem, aber mehrere Megabit dann auch noch ver- bzw. entschlüsseln... das kann sportlich werden.
Securepoint-Gateways auf allen Seiten - meinetwegen auch als exposed Host bzw. mittels Portforwarding - und mit SSLVPN ist eine absolut stabile Lösung.
Achtung bei IPsec und NAT auf allen Seiten, das wird nix - siehe hier:
https://wiki.securepoint.de/UTM/VPN/%C3 ... rbindungen

Gruß
Rolf

Wie oben geschrieben läuft die IPSec-Verbindung (mit IKE V1) von einer Fritz!Box zu Securepoint UTM hinter einem NAT-Router nach meinen Erfahrungen völlig stabil und zuverlässig. Diese Konstellation habe ich mehrfach im Einsatz. Ganz entscheidend dabei ist jedoch, dass die Fritz!Box der Initiator der Verbindung sein und deswegen auf der UTM-Seite in Phase 1 das Startverhalten auf "Incoming" eingestellt werden muss. Außerdem habe ich in den Fällen eine feste IP auf UTM-Seite. Ob die Sache auch mit mehreren Fritz!Boxen in der Weise funktionieren würde, kann ich nicht sagen. Voraussetzung wäre vielleicht, dass für alle Verbindungen der gleiche PSK benutzt wird.
 
Wenn es gewünscht wird, kann ich gerne eine Beispielkonfiguration (mit aktuellen Authentifizierungs- und Verschlüsselungsalgorithmen in Phase 1 und 2) posten.
 
Gruß
 
Franz

Hallo,

sollte es nicht stabil laufen und Probleme mache können Sie auch den Weg das die Fritzboxen untereinander den Tunnel aufbauen. Sie müssen dann nur in der vorgeschalteten Fritzbox eine Route setzten für das Securepoint Netzwerk. Die IPSec Tunnel von Fritzbox zu Fritzbox müssen sich dann natürlich auch auf das Netz hinter der Securepoint beziehen. Sie müssten dann nur die Regel in der Firewall anlegen das dieses "VPN" Netze ins interne Netz dürfen (ohne DESTNAT) und das interne Netz mit einem HNE in diese Netze dürfen. Das HNE muss ganz oben stehen.


Gruß Björn

Hallo,
kämpfe seit Tagen mit einer Fritzbox als Gegenstelle zur Black Dwarf: Securepoint-Support konnte mir bislang nicht helfen. Hätte gern die Beispiel cfg-Datei zum Einspielen in der Fritzbox.

Vielen Dank und Gruß Andreas

Mit dieser Konfig laufen bei uns die FrirtzBoxen absolut zuverlässig:

Vielen Dank!
Eine Frage zum Script: In meiner Umgebung steht vor der Securepoint UTM eine Fritzbox als Router. Dann muss ich doch das NAT freischalten: use-nat-t = yes ?

In der Seucrepoint-Konfiguration  habe ich folgende Parameter hinterlegt:
Phase 1:
Startrverhalten: Incoming
Dead Peer Detection: yes
Compression: yes
IKE:
Verschlüsselung: aes256
Authentifizierung: sha1
Diffie-Hellmann-Group: modp1024
Strict: yes
IKE-Lifetime: 1 Stunde
Rekeying: default

Phase 2:
Verschlüsselung: aes256
Authentifizierung: sha1
Diffie-Hellmann-Group: modp1024
Sclüssel-Lebensdauer: 1h
Neustart bei Abbruch: yes

Vielen Dank für die Unterstützung!

ricoschweter hat geschrieben:

Vielen Dank!
Eine Frage zum Script: In meiner Umgebung steht vor der Securepoint UTM eine Fritzbox als Router. Dann muss ich doch das NAT freischalten: use-nat-t = yes ?

In der Seucrepoint-Konfiguration  habe ich folgende Parameter hinterlegt:
Phase 1:
Startrverhalten: Incoming
Dead Peer Detection: yes
Compression: yesno
IKE:
Verschlüsselung: aes256
Authentifizierung: sha1 sha2_512
Diffie-Hellmann-Group: modp1024 2048
Strict: yes
IKE-Lifetime: 1 Stunde
Rekeying: default

Phase 2:
Verschlüsselung: aes256
Authentifizierung: sha1sha2_512
Diffie-Hellmann-Group: modp10242048
Sclüssel-Lebensdauer: 1h
Neustart bei Abbruch: yes

Vielen Dank für die Unterstützung!

Damit sollte es gehen.
Gruß
Franz

Läut leider immer noch nicht, obwohl das Script angepasst wurde und die Parameter nach Franz in die UTM übernommen...
Hier nochmal mein angepasstes Script:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Securepoint";  //Name der Verbindung in der Konfigurationsoberfläche
                always_renew = yes;            //Tunnel wird ständig erneuert
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = xxxx;      //statische IP-Adresse der Securepoint
                remote_virtualip = 0.0.0.0;
                remotehostname = "Securepoint";
                localid {
                        fqdn= "xxxx";  //Dyn-DNS-Name der Fritz!Box;
                }
                remoteid {
                        ipaddr = xxxx; //statische IP-Adresse der Securepoint
                }
                mode = phase1_mode_idp;               //Main-Mode!
                phase1ss = "dh14/aes/sha"; //Phase1
                keytype = connkeytype_pre_shared;
                key = "xxxx";  //gemeinsames Kennwort (Preshared Key)
                cert_do_server_auth = no;
                use_nat_t = yes;  //NAT durch FB in Bremen
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = xxxx;       //internes Netzwerk der Fritz!Box
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.2.0.0; //internes Netzwerk serverseitig
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs"; //mit Kompression
                accesslist = "permit ip any 10.2.0.0 255.255.255.0"; //internes Netzwerk der Securepoint
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

1. Bei Gegenstelle mit statischer Adresse bitte die Zeile mit "remotehostname..." löschen.
2. Kann es sein, dass MyFritz eingerichtet ist?
3. Hast du auf der SP UTM schon mehr als eine IPSec-Verbindung mit PSK eingerichtet?

1. habe ich gelöscht
2. MyFritz war tatsächlich aktiv: habe ich deaktiviert
3. Auf der UTM laufen bereits 3 VPNs mit ipsec und als Gegenstelle diverse Fremdanbieter (Cisco, X-Net)

MyFritz kann aktiv bleiben, aber ich hatte mal den Fall, dass die Fritz!Box eine Eigenleben entwickelte.
https://support.securepoint.de/viewtopic.php?f=27&t=7557

Die anderen Tunnel benutzen PSK oder Zertifikate?
Mal getestet, die anderen Tunnel auf ignore zu setzen?

Die anderen Tunnel benutzen alle PSK. Hatte sie gerade mal auf Ignore gesetzt, doch da wollten sie nicht mehr.

Hab jetzt nochmal viel versucht, doch den VPN von der Fritzbox in das Firmennetz mit Securepoint UTM will einfach nicht laufen
Hat noch jemand Tipps?

Problem wohl gelöst: Die deaktivierte MyFritz-Funktion lies bestimmte Änderungen in der VPN-Konfiguration nicht zu und überschrieb immer wieder meine angepassten Werte mit den alten MyFritz-Vorgaben...
Der Kunde wird nun seine Fritzbox auf Werkseinstellung zurücksetzen und dann nochmal meine VPN-Scriptdatei einspielen.
Vielen Dank für die Unterstützung!

Erstmal vielen lieben Dank euch allen für diesen Forenthread. Der hat mir dabei geholfen, eine IPSec Site-to-Site-Verbindung zwischen einer FritzBox und einer SP-UTM aufzubauen. Auf beiden Seiten wird angezeigt, dass die Verbindung steht.

ABER: Es findet keine Paketübertragung statt. Pings in beide Richtungen schlagen fehl. Ich vermute, dass die Firewall- und/oder Routingkonfiguration angepasst werden muss, damit die Paketübertragung läuft. 

Ich habe den gesamten heutigen Samstagvormittag mit Fehlersuche und dem Testen anderer Einstellungen verbracht und bin nun mit meinem Latein am Ende und bitte euch herzlich um Unterstützung. Vielen Dank!

Unter den implizierten Regeln ist "Kein NAT fuer IPSEC-Verbindungen" aktiviert?
Bzw, wenn manuell Regeln angelegt wurden: Auf das Hidenat-Exclude wurde geachtet?

Danke, wir haben's inzwischen mit dem Support gelöst. 
IP-Comp musste bei den impliziten Regeln noch aktiviert werden.