FW hinter Fritzbox

dauny · Beitrag von **dauny** » Mo 05.01.2009, 16:44

Hallo,

möchte eine FW hinter der Fritzbox betreiben. Fritzbox aus den Grunde, da hier VOIP schon eingerichtet ist. Welche Ports muß ich an der Box frei geben um eine VPN Verbindung realisieren zu können. Die Regeln sind klar und auch eingestellt, es geht mir nur noch um die Ports.

Danke,

Dauny

carsten · Beitrag von **carsten** » Mo 05.01.2009, 17:12

http://www.securepoint.de/support/topic.php?id=679

dauny · Beitrag von **dauny** » Di 06.01.2009, 09:06

Hallo,

Ok, ich vergas das die Zeiten der Glaskugeln vorbei sind und auch Merlin schon lange nichts mehr von sich hören lies.
Also ich möchte eine IPSEC VPN Verbindung zwischen 2 FW realisieren, wobei eine FW direkt die Verbindung zum Internet aufbaut, also nur hinter einem Modem steht und die 2. FW hinter einer Fritzbox, welche als Router fungiert, installiert ist.

Danke,

Dauny

carsten · Beitrag von **carsten** » Di 06.01.2009, 09:25

Moin,

zur not gibt es schon eine Gruppe IPSec in der die Ports hinterlegt sind

.

500 UDP
4500 UDP
ESP (Protokoll 50)

dauny · Beitrag von **dauny** » Di 06.01.2009, 11:42

Hallo,

ich habe die Einstellungen in er Fritzbox vorgenommen und einen Verbindungsaufbau eingeleitet. Leider bekomme ich keinen Connect. Hier einen Auszug beider FW´s. Zuerst den der aufbauenden FW.

Jan 6 09:48:50 192.168.12.1 IPSEC Server adding interface eth1/eth1 192.168.12.1:500
Jan 6 09:48:50 192.168.12.1 IPSEC Server adding interface eth1/eth1 192.168.12.1:4500
Jan 6 09:48:50 192.168.12.1 IPSEC Server adding interface eth0/eth0 192.168.12.6:500
Jan 6 09:48:50 192.168.12.1 IPSEC Server adding interface eth0/eth0 192.168.12.6:4500
Jan 6 09:48:50 192.168.12.1 IPSEC Server adding interface lo/lo 127.0.0.1:500
Jan 6 09:48:50 192.168.12.1 IPSEC Server adding interface lo/lo 127.0.0.1:4500
Jan 6 09:48:50 192.168.12.1 IPSEC Server loading secrets from "/etc/ipsec.secrets"
Jan 6 09:48:50 192.168.12.1 IPSEC Server added connection description "firewall.XXXX.local__GT__XXX_13"
Jan 6 09:48:50 192.168.12.1 IPSEC Server "firewall.XXXX.local__GT__lXXX_13" #1: initiating Main Mode

Nun den der Gegenseite
Jan 6 09:48:52 xxx.xxx.xxx.xxx IPSEC Server packet from xxx.xxx.xxx.xxx:61731: ignoring Vendor ID payload [strongSwan 2.8.8]
Jan 6 09:48:52 xxx.xxx.xxx.xxx Firewall ACCEPT IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=260 TOS=0x00 PREC=0x00 TTL=55 ID=0 DF PROTO=UDP SPT=61731 DPT=500 LEN=240
Jan 6 09:48:52 xxx.xxx.xxx.xxx IPSEC Server packet from xxx.xxx.xxx.xxx:61731: received Vendor ID payload [XAUTH]
Jan 6 09:48:52 xxx.xxx.xxx.xxx IPSEC Server packet from xxx.xxx.xxx.xxx:61731: received Vendor ID payload [Dead Peer Detection]
Jan 6 09:48:52 xxx.xxx.xxx.xxx IPSEC Server packet from xxx.xxx.xxx.xxx:61731: received Vendor ID payload [RFC 3947]
Jan 6 09:48:52 xxx.xxx.xxx.xxx IPSEC Server packet from xxx.xxx.xxx.xxx:61731: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
Jan 6 09:48:52 xxx.xxx.xxx.xxx IPSEC Server packet from xxx.xxx.xxx.xxx:61731: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
Jan 6 09:48:52 xxx.xxx.xxx.xxx IPSEC Server packet from xxx.xxx.xxx.xxx:61731: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Jan 6 09:48:52 xxx.xxx.xxx.xxx IPSEC Server packet from xxx.xxx.xxx.xxx:61731: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Jan 6 09:48:52 xxx.xxx.xxx.xxx IPSEC Server packet from xxx.xxx.xxx.xxx:61731: initial Main Mode message received on xxx.xxx.xxx.xxx:500 but no connection has been authorized with policy=PSK

Wo liegt mein Fehler, auf beiden Seiten die Regeln eingestellt.

Danke,

Dauny

carsten · Beitrag von **carsten** » Di 06.01.2009, 11:50

Hallo,

von hier aus schwer zu sagen:

- Könnte der preshared Key (PSK) sein

no connection has been authorized with policy=PSK

- Sind die IDs korrekt eingetragen

dauny · Beitrag von **dauny** » Di 06.01.2009, 12:39

Hallo,

alles noch mal überprüft und auch verschiedene Einstellungen mit den ID´s getestet. Es will einfach keine Verbindung sich establieren, den PSK von einfach bis zu groß-klein-zahlen-sonderzeiche versucht. Ich habe in der Fritzbox Port 500 und 4500 UDP auf das externe Interface geleitet, genau so auch ESP und GRE, in den Netzopjekten ist Internet, externes Interface, internes Netz vorhanden und auch die Regeln mehrfach nachgeschaut, Hide Nat einegrichtet. Bin langsam am Verzweifen.

Dauny

Petasch · Beitrag von **Petasch** » Di 06.01.2009, 13:55

gibts an der fritzbox keine einstellung mit dmz? haben ja manche router,...da werden dann alle anfragen automatisch an den dms rechner weitergeleitet ,....da brauchst keine portweiterleitung mehr und hast das problem schonmal umgangen

dauny · Beitrag von **dauny** » Di 06.01.2009, 15:52

Hallo,

leider bittet die Box, es handelt sich um eine VOIP Gateway 5188, diese Einstellung nicht. Es muß doch Möglich geben, eine Securepoint hinter einer Fritzbox zu getreiben?

Dauny

carsten · Beitrag von **carsten** » Di 06.01.2009, 16:22

Ja gibt es ... sind dies 2 Securepoints?

Vielleicht dann mal im Support anrufen ...

lawo · Beitrag von **lawo** » Di 13.01.2009, 00:31

habe das selbe problem, 2 securepoints R3/5888 eine direkt mit dsl modem die andere mit fritzbox als router beide mit fester ip. alle ports werden auf die firewall geroutet. jedoch lässt sich kein vpn tunnel aufbauen.

gibt´s neue infos?

lawo · Beitrag von **lawo** » Di 13.01.2009, 09:55

bei uns war das problem das unter der localen gateway id der fw hinter der fritzbox die externe (in dem fall) feste ip des anschlusses eingetragen werden musste und nicht die eth0 schnittstelle.
thx an den support