IPsec zwischen FritzBox und Sophos UTM, kein Zugriff von B nach A

bacon

Experte
Thread Starter
Mitglied seit
14.08.2012
Beiträge
213
Guten Morgen zusammen,

folgende Ausgangslage:
Ich würde gerne eine funktionierende VPN Verbindung zwischen Standort A (UTM) und Standort B (FritzBox) aufbauen.
Standort A hängt hinter einer ConnectBox von Unitymedia, alle notwenidgen Ports werden auf die UTM durchgereicht. Volles IPv4
Standort B hängt mittlerweile per VDSL der Telekom am Internet.

Ich habe mich mit div. Anleitungen versucht letztendlich hat mich diese hier dann zum Ziel geführt.
Bzw. hätten das auch alle anderen getan und ich hatte irgendwelche Fehler gemacht.

Über die Qualität lässt sich bestimmt streiten, mir wäre einfach nur wichtig diese Verbindung generell mal voll funktionsfähig hin zubekommen.

Meine Einstellungen sehen wie folgt aus:
IPsec Policy
IPsec Policy.JPG

Remote Gateway
Remote Gateway.JPG

IPsec Connection
IPsec Connection.JPG

FritzBox Config
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Sophos UTM";
always_renew = yes;
keepalive_ip = 192.168.2.254;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "standort-a.domain.com";
localid {
fqdn = "standort-b.domain.com";
}
remoteid {
fqdn = "standort-a.domain.com";
}
mode = phase1_mode_idp;
phase1ss = "alt/all-no-aes/all";
keytype = connkeytype_pre_shared;
key = "irgendein-key";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.4.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any 192.168.2.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

manuelle Firewall-Regeln
Firewall-Rules.JPG

Mittlerweile bin ich froh, dass die Verbindung generell funktioniert und auch, ohne es zu kontrollieren, permanent steht.

Von A nach B komme ich z.b. auf die FritzBox. Mehr gibt es dort auch nicht, was dauerhaft erreichbar sein könnte.
Von B nach A geht aber mal gar nichts. Soll heißen, ich kann auf keine Resource im Heimnetz zugreifen.
Ein Ping auf eine beliebe IP scheitert so wie ein trace von meinem Smartphone aus. Hier benutze ich die App "Ping & DNS".

Zur weiteren Fehlersuche hatte ich mich von B aus per Teamviewer auf meinen PC am Standort A eingelogt um die Livelog der UTM zu beobachten. Siehe da auf einmal ging alles, ich sah Anfragen aus dem 4er IP Bereich. Im Nachgang stellte sich heraus, dass das am Teamviewer liegen muss. Nutze ich mein Smartphone als WLAN Hotspot für die Teamviewer Session ging wieder gar nichts.

Da ich generell keine Log-Infos in der UTM sehe und mein Verdacht ist, dass die FritzBox garnicht durch den VPN "routet", kann das auch nie funktionieren.
Aber wie finde ich den Fehler bzw kann Debugging betreiben? Ist ein Fehler in der Fritz-Config? Von den div. Quellen die eine ähnliche Verbindung aufbauen, heißt es immer "... endlich eine funktionierende Anleitung...".

Das Problem bestand auch schon bevor im März die Umschaltung auf VDSL passierte.

Vielen Dank für die Hilfe.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich würde ggf. nochmal eine Route fest in der FB eintragen.
N-Intern über Gateway: VPN IP der UTM im Tunnel

ggf. sonst mal SSH/Telent auf der FB an machen und sich die Routen anzeigen lassen und direkt von der console einen Ping absetzen, um das Problem einzugrenzen.
 
Schon mal danke für die Info, wenn ich zum Wochenende hin wieder vorort bin werde ich den ssh aktivieren. Scheint ja wohl nicht zwigend noch über den Telefoncode zu funktionieren, was ich gerade im Netzt auf die Schnelle gelesen habe.

Was mich mehr irritiert bzw. auch interessiert.
Wie finde ich die IP der UTM im Tunnel heraus?
Im Live Log sehe ich folgendes
2018:07:11-18:33:37 utm pluto[16028]: adding interface tun0/tun0 10.242.2.1:500
2018:07:11-18:33:37 utm pluto[16028]: adding interface tun0/tun0 10.242.2.1:4500

Damit hätte ich jetzt auf die IP geschlossen, jedoch sollte der Bereich 10.242.2.0 für VPN SSL verwendet werden. Laut Netzwerkdefinition ist für das VPN IPsec die 10.242.4.0 vorgesehen.
Geändert hatte ich diesbezüglich nämlich auch nichts. Die Route möchte er auch nicht verwenden, unzulässige Route
 
Schau mal auf der UTM unter
Support ==> Advanced ==> Routes Table

ggf. gibt das einen Hinweis.
Aus der FB Konfig deute ich, dass die UTM 192.168.2.254 hat (N-Internal = 192.168.2.0/24)
Und N-Eltern = 192.168.4.0/24

Teste mal mit NAT:

SNAT: Traffic from N-Eltern going to N-Internal ==> Quelladresse ändern in : IP der Sophos (192.168.2.254?)
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh