VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

danzas
Beiträge: 1
Registriert: Fr 01.02.2019, 15:32

VPN-Standortvernetzung mit Fritzboxen als Gegenstelle

Beitrag von danzas »

Hallo,

folgende Anforderung wird benötigt:

Eine BlackDwarf hängt hinter einer Fritzbox 7490 Cable (Die BD als Exposed Host eingerichtet). Es soll eine IPSEC-VPN-Standortvernetzung mit 3 anderen Netzen hergestellt werden, alle ebenfalls mit einer DSL-Fritzbox als WAN-Gateway. Die BD soll im eigenen Netz als VPN-Server fungieren, bei den anderen Netzen jeweils die Fritzboxen. Sämtliche Netze haben eine dynamische WAN-IP und nutzen einen DynDNS-Dienst.

Gibt es hierzu eine Anleitung wie die BD und die Fritzboxen zu konfigurieren sind?

Schönen Dank.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ich würde mal beim Kabelnetzbetreiber anfragen, ob nicht statt Fritz!Box ein Kabelmodem geliefert werden kann.
Manche Kabelnetzbetreiber bieten sogar feste IP für den Zweck an.

Eine IPSec-Verbindung zwischen Fritz!Box mit dynamischer IP und einer SP UTM hinter einem NAT-Router mit fester IP läuft völlig stabil und störungsfrei, aber ich weiß nicht, wie sich die Sache verhält, wenn gleich mehrere Fritz!Boxen mitspielen sollen und alle Beteiligten dynamische IP haben - ich fürchte, das wird nichts.
Wäre es nicht möglich, Black Dwarfs an den Außenstandorten einzusetzen und SSL-VPN zu nutzen?

Gruß

Franz

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Hallo,

hier gibt es eine ältere Anleitung dazu, die ich auch schon realisiert habe:
https://wiki.securepoint.de/index.php/I ... itzbox_V11
Allerdings kann ich nicht behaupten, dass das eine stabile Lösung ist. Die Fritzbox muss oft neu gestartet werden.
Früher waren auch die Verschlüsselungsverfahren der Fritzboxen sehr beschränkt, das scheint laut diesem Artikel zumindest etwas besser zu sein:
https://avm.de/service/vpn/tipps-tricks ... verbinden/
Aber auch immer daran denken: Die Fritzbox 7490 hat eine 600MHz-CPU und 256MB Speicher. Für den normalen Betrieb kein Problem, aber mehrere Megabit dann auch noch ver- bzw. entschlüsseln... das kann sportlich werden.
Securepoint-Gateways auf allen Seiten - meinetwegen auch als exposed Host bzw. mittels Portforwarding - und mit SSLVPN ist eine absolut stabile Lösung.
Achtung bei IPsec und NAT auf allen Seiten, das wird nix - siehe hier:
https://wiki.securepoint.de/UTM/VPN/%C3 ... rbindungen

Gruß
Rolf

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Wie oben geschrieben läuft die IPSec-Verbindung (mit IKE V1) von einer Fritz!Box zu Securepoint UTM hinter einem NAT-Router nach meinen Erfahrungen völlig stabil und zuverlässig. Diese Konstellation habe ich mehrfach im Einsatz. Ganz entscheidend dabei ist jedoch, dass die Fritz!Box der Initiator der Verbindung sein und deswegen auf der UTM-Seite in Phase 1 das Startverhalten auf "Incoming" eingestellt werden muss. Außerdem habe ich in den Fällen eine feste IP auf UTM-Seite. Ob die Sache auch mit mehreren Fritz!Boxen in der Weise funktionieren würde, kann ich nicht sagen. Voraussetzung wäre vielleicht, dass für alle Verbindungen der gleiche PSK benutzt wird.
 
Wenn es gewünscht wird, kann ich gerne eine Beispielkonfiguration (mit aktuellen Authentifizierungs- und Verschlüsselungsalgorithmen in Phase 1 und 2) posten.
 
Gruß
 
Franz

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

sollte es nicht stabil laufen und Probleme mache können Sie auch den Weg das die Fritzboxen untereinander den Tunnel aufbauen. Sie müssen dann nur in der vorgeschalteten Fritzbox eine Route setzten für das Securepoint Netzwerk. Die IPSec Tunnel von Fritzbox zu Fritzbox müssen sich dann natürlich auch auf das Netz hinter der Securepoint beziehen. Sie müssten dann nur die Regel in der Firewall anlegen das dieses "VPN" Netze ins interne Netz dürfen (ohne DESTNAT) und das interne Netz mit einem HNE in diese Netze dürfen. Das HNE muss ganz oben stehen.


Gruß Björn

ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Beitrag von ricoschweter »

Hallo,
kämpfe seit Tagen mit einer Fritzbox als Gegenstelle zur Black Dwarf: Securepoint-Support konnte mir bislang nicht helfen. Hätte gern die Beispiel cfg-Datei zum Einspielen in der Fritzbox.

Vielen Dank und Gruß Andreas

wufservice
Beiträge: 31
Registriert: Di 28.05.2019, 16:14

Beitrag von wufservice »

Mit dieser Konfig laufen bei uns die FrirtzBoxen absolut zuverlässig:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "NAME_DER_VERBINDUNG";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = EXTERNE_IP_SECUREPOINT;
                remote_virtualip = 0.0.0.0;
 keepalive_ip = IP_DC;
                localid {
                        fqdn = "EXTERNER_DNSNAME_FRITZBOX";
                }
                remoteid {
 ipaddr = EXTERNE_IP_SECUREPOINT;
 }
                mode = phase1_mode_idp;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "GEHEIMER_KEY";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = NETZWERK_FRITZBOX;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = NETZWERK_SECUREPOINT;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any NETZWERK_SECUREPOINT 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Beitrag von ricoschweter »

Vielen Dank!
Eine Frage zum Script: In meiner Umgebung steht vor der Securepoint UTM eine Fritzbox als Router. Dann muss ich doch das NAT freischalten: use-nat-t = yes ?

In der Seucrepoint-Konfiguration  habe ich folgende Parameter hinterlegt:
Phase 1:
Startrverhalten: Incoming
Dead Peer Detection: yes
Compression: yes
IKE:
Verschlüsselung: aes256
Authentifizierung: sha1
Diffie-Hellmann-Group: modp1024
Strict: yes
IKE-Lifetime: 1 Stunde
Rekeying: default

Phase 2:
Verschlüsselung: aes256
Authentifizierung: sha1
Diffie-Hellmann-Group: modp1024
Sclüssel-Lebensdauer: 1h
Neustart bei Abbruch: yes

Vielen Dank für die Unterstützung!

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

ricoschweter hat geschrieben:Vielen Dank!
Eine Frage zum Script: In meiner Umgebung steht vor der Securepoint UTM eine Fritzbox als Router. Dann muss ich doch das NAT freischalten: use-nat-t = yes ?

In der Seucrepoint-Konfiguration  habe ich folgende Parameter hinterlegt:
Phase 1:
Startrverhalten: Incoming
Dead Peer Detection: yes
Compression: yesno
IKE:
Verschlüsselung: aes256
Authentifizierung: sha1 sha2_512
Diffie-Hellmann-Group: modp1024 2048
Strict: yes
IKE-Lifetime: 1 Stunde
Rekeying: default

Phase 2:
Verschlüsselung: aes256
Authentifizierung: sha1sha2_512
Diffie-Hellmann-Group: modp10242048
Sclüssel-Lebensdauer: 1h
Neustart bei Abbruch: yes

Vielen Dank für die Unterstützung!
Damit sollte es gehen.
Gruß
Franz

ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Beitrag von ricoschweter »

Läut leider immer noch nicht, obwohl das Script angepasst wurde und die Parameter nach Franz in die UTM übernommen...
Hier nochmal mein angepasstes Script:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Securepoint";  //Name der Verbindung in der Konfigurationsoberfläche
                always_renew = yes;            //Tunnel wird ständig erneuert
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = xxxx;      //statische IP-Adresse der Securepoint
                remote_virtualip = 0.0.0.0;
                remotehostname = "Securepoint";
                localid {
                        fqdn= "xxxx";  //Dyn-DNS-Name der Fritz!Box;
                }
                remoteid {
                        ipaddr = xxxx; //statische IP-Adresse der Securepoint
                }
                mode = phase1_mode_idp;               //Main-Mode!
                phase1ss = "dh14/aes/sha"; //Phase1
                keytype = connkeytype_pre_shared;
                key = "xxxx";  //gemeinsames Kennwort (Preshared Key)
                cert_do_server_auth = no;
                use_nat_t = yes;  //NAT durch FB in Bremen
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = xxxx;       //internes Netzwerk der Fritz!Box
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.2.0.0; //internes Netzwerk serverseitig
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs"; //mit Kompression
                accesslist = "permit ip any 10.2.0.0 255.255.255.0"; //internes Netzwerk der Securepoint
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

1. Bei Gegenstelle mit statischer Adresse bitte die Zeile mit "remotehostname..." löschen.
2. Kann es sein, dass MyFritz eingerichtet ist?
3. Hast du auf der SP UTM schon mehr als eine IPSec-Verbindung mit PSK eingerichtet?

ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Beitrag von ricoschweter »

1. habe ich gelöscht
2. MyFritz war tatsächlich aktiv: habe ich deaktiviert
3. Auf der UTM laufen bereits 3 VPNs mit ipsec und als Gegenstelle diverse Fremdanbieter (Cisco, X-Net)

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

MyFritz kann aktiv bleiben, aber ich hatte mal den Fall, dass die Fritz!Box eine Eigenleben entwickelte.
https://support.securepoint.de/viewtopic.php?f=27&t=7557

Die anderen Tunnel benutzen PSK oder Zertifikate?
Mal getestet, die anderen Tunnel auf ignore zu setzen?

ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Beitrag von ricoschweter »

Die anderen Tunnel benutzen alle PSK. Hatte sie gerade mal auf Ignore gesetzt, doch da wollten sie nicht mehr.

ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Beitrag von ricoschweter »

Hab jetzt nochmal viel versucht, doch den VPN von der Fritzbox in das Firmennetz mit Securepoint UTM will einfach nicht laufen
Hat noch jemand Tipps?

ricoschweter
Beiträge: 7
Registriert: Di 28.05.2019, 09:28

Beitrag von ricoschweter »

Problem wohl gelöst: Die deaktivierte MyFritz-Funktion lies bestimmte Änderungen in der VPN-Konfiguration nicht zu und überschrieb immer wieder meine angepassten Werte mit den alten MyFritz-Vorgaben...
Der Kunde wird nun seine Fritzbox auf Werkseinstellung zurücksetzen und dann nochmal meine VPN-Scriptdatei einspielen.
Vielen Dank für die Unterstützung!

haenschen.klein
Beiträge: 2
Registriert: Sa 21.03.2020, 15:47

Beitrag von haenschen.klein »

Erstmal vielen lieben Dank euch allen für diesen Forenthread. Der hat mir dabei geholfen, eine IPSec Site-to-Site-Verbindung zwischen einer FritzBox und einer SP-UTM aufzubauen. Auf beiden Seiten wird angezeigt, dass die Verbindung steht.

ABER: Es findet keine Paketübertragung statt. Pings in beide Richtungen schlagen fehl. Ich vermute, dass die Firewall- und/oder Routingkonfiguration angepasst werden muss, damit die Paketübertragung läuft. 

Ich habe den gesamten heutigen Samstagvormittag mit Fehlersuche und dem Testen anderer Einstellungen verbracht und bin nun mit meinem Latein am Ende und bitte euch herzlich um Unterstützung. Vielen Dank!

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Unter den implizierten Regeln ist "Kein NAT fuer IPSEC-Verbindungen" aktiviert?
Bzw, wenn manuell Regeln angelegt wurden: Auf das Hidenat-Exclude wurde geachtet?
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

haenschen.klein
Beiträge: 2
Registriert: Sa 21.03.2020, 15:47

Beitrag von haenschen.klein »

Danke, wir haben's inzwischen mit dem Support gelöst. 
IP-Comp musste bei den impliziten Regeln noch aktiviert werden.

MiB
Beiträge: 12
Registriert: Do 15.12.2016, 17:07

Beitrag von MiB »

Moin,

ich muss das Thema nochmal aufgreifen. Ich hatte eine Fritz!Box 7490 und VPN zur SC-UTM lief. Konnta zwar immer nur von der FritzBox initiiert werden, aber das war jetzt nicht schlimm.
Nun habe ich die Fritz!Box gegen eine 7590 getauscht und genau die selben VPN Einstellungen importiert. Leider bekomme ich unter keinen Umständen die Verbindung aufgebaut.
Ist an der 7590 im Bereich VPN etwas anders wie am Vorgängermodell die 7490? Ich hab echt keine Ahnung was ich noch versuchen sollte.

Viele Grüße
Micha

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Vielleicht haben sich die Proposals geaendert?

Aktuellste AVM-Firmware ist aufgespielt? Im Log der Firewall ist ein Verbindungsversuch auszumachen?
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

MiB
Beiträge: 12
Registriert: Do 15.12.2016, 17:07

Beitrag von MiB »

Hallo Mario,

sorry hab jetzt erst deine Antwort gesehen.
Ja, FritzBox ist aktuell und ein Log wo ich auf der UTM die Versuche sehe finde ich wo? Sorry für die doofe Frage, ist meine erste Firewall und ich bin immernoch am studieren was ich wie wo machen muss.
Was auch komisch ist, die Fritzbox schreibt selber in dem Log nicht mal die VPN Verbindungsversuche.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Kernel und Applikationsmeldungen > Charon

Bei der Fritzbox gibts auch irgendwo ein Log mit Fehlernummern
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

MiB
Beiträge: 12
Registriert: Do 15.12.2016, 17:07

Beitrag von MiB »

Bei der FritzBox weiß ich es, bei der UTM hab ich es jetzt gefunden


[table][tr][th]Datum[/th]
[th]Dienst[/th]
[th]Nachricht[/th]
[/tr]
[/table]
[table][tr][th][/th]
[th][/th]
[th][/th]
[/tr]
[tr][td]31.08.2020 15:51:11[/td]
[td]IPSec (charon)[/td]
[td]13[IKE]<VPN-IPSEC-S2S-Michael_15|3> initiating Main Mode IKE_SA VPN-IPSEC-S2S-Michael_15[3] to xxx.xxx.xxx.xxx[/td]
[/tr]
[tr][td]31.08.2020 15:51:11[/td]
[td]IPSec (charon)[/td]
[td]13[CFG]<VPN-IPSEC-S2S-Michael_15|3>
configured proposals:
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,
IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/AES_CTR_128/AES_CTR_192/AES_CTR_256/CAMELLIA_CTR_128/CAMELLIA_CTR_192/CAMELLIA_CTR_256/3DES_CBC/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048,

IKE:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048[/td]
[/tr]
[/table]

Aktualisierung: Aus

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Und was passiert, wenn die fritzbox anklopft? Was steht bei "received proposals?
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten