12
Zywall USG40W hinter Fritzbox 7490 IPsec
Hallo Zusammen
Bin neu hier im Forum, und verwende fast nie ein Forum. Aber bei diesem Problem, bleibe ich hängen, und dies obwohl ich im first/secondlvl Support, Helpdesk, Netzwerk, Windows (OS, Server, Office etc.) tätig bin.
Vieleicht finden sich ein oder mehrere Leute, die bereit sind, mit mir das Problem zu lösen :D
Für meine Abschlussarbeit muss ich einen VPN Zugang realisieren. Das ist eigentlich kein Problem.
Unsere Zywall... (Firmware Version: V4.15(AALB.0) / 2015-12-28 20:23:34)
...sitzt hinter einer Fritzbox 7490. Mein Chef möchte neu, sein Privates mit dem Geschäftlichen Netz trennen, sodass wir nurnoch im Gesch. Netz arbeiten.
Die Fritzbox spannt folgendes Netz auf: 192.168.1.0/24
Die Zywall spannt ein weiteres Netz auf: 172.16.1.0/24
Die beiden Router haben die IP-Adresse x.x.x.1
Auf der Fritzbox habe ich ein statisches Routing aktiviert, welches auch funktioniert. Fremdes Netz: 172.16.1.0/24; Subnetzmaske: 255.255.255.0, Gateway: 192.168.1.1
Portfreigaben (von Fritzbox auf Zywall):
ESP --> usg40w
IKEv1 / 500 --> usg40w
Nat Traversal / 4500 --> usg40w
und HTTPS (443), damit ich von aussen auf die Zywall zugreifen kann.
In der Fritzbox habe ich bereits erfolgreich unsere Domain hinzugefügt xxx.dyndns.org
Nun habe ich das Problem dass ich via IPsec von aussen nicht zugreifen kann. Ich verwende denn VPN Access Manager.
Hatt da jemand evtl. eine Idee?
Habe die Zywall nach diesem Beispiel konfiguriert: www.zyxel.ch/de/support/download/58550_1
Bin ma gespannt ob ich es doch mit eurer Hilfe hinbekomme Ansonsten müssen wir für diese Arbeit die Fritzbox in den Bridgemodus versetzen ^^
Danke schonmal für eure Hilfe.
Liebe Grüsse Simon
Bin neu hier im Forum, und verwende fast nie ein Forum. Aber bei diesem Problem, bleibe ich hängen, und dies obwohl ich im first/secondlvl Support, Helpdesk, Netzwerk, Windows (OS, Server, Office etc.) tätig bin.
Vieleicht finden sich ein oder mehrere Leute, die bereit sind, mit mir das Problem zu lösen :D
Für meine Abschlussarbeit muss ich einen VPN Zugang realisieren. Das ist eigentlich kein Problem.
Unsere Zywall... (Firmware Version: V4.15(AALB.0) / 2015-12-28 20:23:34)
...sitzt hinter einer Fritzbox 7490. Mein Chef möchte neu, sein Privates mit dem Geschäftlichen Netz trennen, sodass wir nurnoch im Gesch. Netz arbeiten.
Die Fritzbox spannt folgendes Netz auf: 192.168.1.0/24
Die Zywall spannt ein weiteres Netz auf: 172.16.1.0/24
Die beiden Router haben die IP-Adresse x.x.x.1
Auf der Fritzbox habe ich ein statisches Routing aktiviert, welches auch funktioniert. Fremdes Netz: 172.16.1.0/24; Subnetzmaske: 255.255.255.0, Gateway: 192.168.1.1
Portfreigaben (von Fritzbox auf Zywall):
ESP --> usg40w
IKEv1 / 500 --> usg40w
Nat Traversal / 4500 --> usg40w
und HTTPS (443), damit ich von aussen auf die Zywall zugreifen kann.
In der Fritzbox habe ich bereits erfolgreich unsere Domain hinzugefügt xxx.dyndns.org
Nun habe ich das Problem dass ich via IPsec von aussen nicht zugreifen kann. Ich verwende denn VPN Access Manager.
Hatt da jemand evtl. eine Idee?
Habe die Zywall nach diesem Beispiel konfiguriert: www.zyxel.ch/de/support/download/58550_1
Bin ma gespannt ob ich es doch mit eurer Hilfe hinbekomme
Ansonsten müssen wir für diese Arbeit die Fritzbox in den Bridgemodus versetzen ^^Danke schonmal für eure Hilfe.
Liebe Grüsse Simon
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 299114
Url: https://administrator.de/contentid/299114
Printed on: April 23, 2024 at 15:04 o'clock
12 Comments
Latest comment
Hallo,
hast du denn das VPN auf der Fritte explizit deaktiviert? Sprich alle vorhandenen VPN Profile gelöscht?
Ansonsten werden eingehende IPSec Pakete so behandelt als wären sie für die Fritzbox gedacht (das Teil ist leider nicht sehr schlau
).
Die Suchfunktion hier im Forum ist übrigens klasse
VPN mit Fritzbox7390 mit dahinter liegenden VPN Router Tp-link er6020 fuer ms-basierende mobile endgeräet
VPN IPSEC-L2TP hinter einer Fritzbox 7490 geht nicht
Gruß
hast du denn das VPN auf der Fritte explizit deaktiviert? Sprich alle vorhandenen VPN Profile gelöscht?
Ansonsten werden eingehende IPSec Pakete so behandelt als wären sie für die Fritzbox gedacht (das Teil ist leider nicht sehr schlau
).Die Suchfunktion hier im Forum ist übrigens klasse
VPN mit Fritzbox7390 mit dahinter liegenden VPN Router Tp-link er6020 fuer ms-basierende mobile endgeräet
VPN IPSEC-L2TP hinter einer Fritzbox 7490 geht nicht
Gruß
VPN war auf der Fritte nie aktiviert^^ ja alles gelöscht
schon mal danke, werde mir das morgen anschauen. Hier sind schon mal die config auf der zywall, Gateway und Verbindungen
schon mal danke, werde mir das morgen anschauen. Hier sind schon mal die config auf der zywall, Gateway und Verbindungen
Hallo,
Du musst auch noch das VPN bei der AVM FB abschalten sonst denkt sie das die VPN
Verbindung für ist und will sie immer annehmen und leitet sie trotz aller offenen Ports
nicht weiter.
Gruß
Dobby
Du musst auch noch das VPN bei der AVM FB abschalten sonst denkt sie das die VPN
Verbindung für ist und will sie immer annehmen und leitet sie trotz aller offenen Ports
nicht weiter.
Gruß
Dobby
Auf der Fritzbox ist eine VPN Verbindung gar nicht vorhanden. Sobald ich im Geschäft bin, Poste ich ein Bild, damit ihr euch überzeugen könnt :P
Auf der Fritzbox ist eine VPN Verbindung gar nicht vorhanden. Sobald ich im Geschäft bin,
Poste ich ein Bild, damit ihr euch überzeugen könnt :P
Das ist schon klar, nur da kann man auch VPN deaktivieren, so das die AVM FB nichtPoste ich ein Bild, damit ihr euch überzeugen könnt :P
jedes mal vor der Zyxel USG "ran" geht wenn eine IPSec oder VPN Verbindung "ankommt"
sonst wird das cniths mit dem Durchreichen der Protokolle, weil eben die AVM FB immer denkt
sie sei gemeint und "geht" dann noch bevor alles bei der der Zyxel USG ankommt ran.
Must Du halt mal schauen cih weiß es auch nicht genau wo das angehakt oder abgehakt
werden muss, ich weiß nur das es gemacht werden muss sonst wird es nichts mit dem
Durchreichen der VPN Verbindung. Vielleicht habe ich mich nur falsch ausgedrückt beim
ersten mal.
Gruß
Dobby
Also, hier habe ich ma ein Bild der Fritzbox, wie es aussieht unter VPN.
Da gibts nichts zum deaktivieren. Oder vieleicht habe ich da was übersehene? ^^ ;)
Da gibts nichts zum deaktivieren. Oder vieleicht habe ich da was übersehene? ^^ ;)
Guten Morgen,
also aus allen Beiträgen die ich zu diesem Thema gelesen habe soll es angeblich eben keine Option bei der Fritte geben, das VPN explizit zu deaktivieren. Das gilt als deaktiviert wenn kein Profil vorhanden ist. So die Theorie Ich hatte allerdings noch nie eine Fritte in Gebrauch, soviel sei gesagt.
Gruß
also aus allen Beiträgen die ich zu diesem Thema gelesen habe soll es angeblich eben keine Option bei der Fritte geben, das VPN explizit zu deaktivieren. Das gilt als deaktiviert wenn kein Profil vorhanden ist. So die Theorie
Ich hatte allerdings noch nie eine Fritte in Gebrauch, soviel sei gesagt.- Funktioniert denn die DynDNS Geschichte?
- Ist die Domain erreichbar?
- Bekommst du eine öffentliche IP zugewiesen?
- Hast du mal einen anderen VPN Client versucht (Shrew zB)?
Gruß
Genau, ich sehe auch keine Option das VPN zu deaktivieren.
Alles Ja, auch mit shrew. Ausser dass ich das Zertifikat noch nicht erstellt habe.
Momentan stellen wir das Netzwerk um. Ich melde mich, sobald wir fertig sind dabei. Dürfte etwas dauern
Alles Ja, auch mit shrew. Ausser dass ich das Zertifikat noch nicht erstellt habe.
Momentan stellen wir das Netzwerk um. Ich melde mich, sobald wir fertig sind dabei. Dürfte etwas dauern
Also das neu eingerichtete Netz steht. Noch zur Info, ich benutze den Shrew Soft VPN Accessmanager.
Auf der Fritzbox habe ich nun ein Statisches Routing sowie die Portfreigaben gemacht habe und dies funktioniert auch. wenn ich beispielsweise über das https protokoll auf die dahinterliegende Zywall zugreifen möchte, funktioniert dies.
Doch eine VPN Verbindung aufzubauen funktioniert immernoch nicht. Folgende Ports werden an die Zywall durchgereicht:
ESP und GRE --> zywall
NAT 4500 --> zywall
IKEv1 500 --> zywall
HTTPS 443 --> zywall
Der Teufel liegt garantiert im Detail ^^ also an der Portweiterleitung kann dies nicht liegen
Auf der Fritzbox habe ich nun ein Statisches Routing sowie die Portfreigaben gemacht habe und dies funktioniert auch. wenn ich beispielsweise über das https protokoll auf die dahinterliegende Zywall zugreifen möchte, funktioniert dies.
Doch eine VPN Verbindung aufzubauen funktioniert immernoch nicht. Folgende Ports werden an die Zywall durchgereicht:
ESP und GRE --> zywall
NAT 4500 --> zywall
IKEv1 500 --> zywall
HTTPS 443 --> zywall
Der Teufel liegt garantiert im Detail ^^ also an der Portweiterleitung kann dies nicht liegen
Mach mal exakt folgendes:
Das stammt aus dieser Anleitung. Damit muss das eigentlich klappen
GRE brauchst du übrigens nicht für IPSec!
Möchtest du denn ein reines IPSec machen oder L2TP over IPSec? Denn dann musst noch weitere Dinge beachten.
Gruß
Kommt ganz darauf an! Je nachdem, wie der VPN Server konfiguriert ist, brauchen wir
UDP Port 500 und IP-Protokoll ESP (Obacht: ESP hat keine Ports, es ist ein L3 Protokoll! Guggst du!)
oder
UDP Port 500 und UDP Port 4500 (Wenn ESP via NAT-T in UDP gekapselt wird)
oder
TCP Port 10.000 (Wenn IKE und ESP in TCP gekapselt werden)
Auf der sicheren Seite ist man, wenn also die Ports UDP500, UDP4500 und TCP10.000 und IP Protokoll ESP zwischen den VPN Partnern offen sind.
Das stammt aus dieser Anleitung. Damit muss das eigentlich klappen
GRE brauchst du übrigens nicht für IPSec!
Möchtest du denn ein reines IPSec machen oder L2TP over IPSec? Denn dann musst noch weitere Dinge beachten.
Gruß
Jep. GRE brauche ich ned.
Ich möchte reines IPSec machen. Dyndns ist auf der Fritzbox eingerichtet.
Das Netz sieht neu so aus:
Fritzbox:
Fungiert als Router ISP <--> Heimnetz
Netzwerk ID: 192.168.2.0/24
IP-Adress: 192.168.2.1
Subnetzmaske: 255.255.255.0
GW: 192.168.2.1
Hinter der Fritzbox steht die Zywall mit folgender Konfig:
Netzwerk ID: 192.168.1.0/24
IP-Adresse: 192.168.1.1
Subnetzmaske: 255.255.255.0
Gateway: 192.168.2.1
Die Fritzbox darf nicht entfernt werden, da Sie als Telefonzentrale dient.
In der Fritzbox wurde ein statisches Routing in das Zywall definiert, was so aussieht:
Netzwerk ID: 192.168.1.0
Subnetzmaske: 255.255.255.0
GW: 192.168.2.1
Eigentlich sollten doch alle Pakete auf die Zywall durchgeleitet werden, oder ist noch eine Portweiterleitung nötig, für IPSec?
Diese Anleitung funktioniert nur, wenn die zywall eine externe öffentliche IP-Adresse erhält
Gruss Simon
Ich möchte reines IPSec machen. Dyndns ist auf der Fritzbox eingerichtet.
Das Netz sieht neu so aus:
Fritzbox:
Fungiert als Router ISP <--> Heimnetz
Netzwerk ID: 192.168.2.0/24
IP-Adress: 192.168.2.1
Subnetzmaske: 255.255.255.0
GW: 192.168.2.1
Hinter der Fritzbox steht die Zywall mit folgender Konfig:
Netzwerk ID: 192.168.1.0/24
IP-Adresse: 192.168.1.1
Subnetzmaske: 255.255.255.0
Gateway: 192.168.2.1
Die Fritzbox darf nicht entfernt werden, da Sie als Telefonzentrale dient.
In der Fritzbox wurde ein statisches Routing in das Zywall definiert, was so aussieht:
Netzwerk ID: 192.168.1.0
Subnetzmaske: 255.255.255.0
GW: 192.168.2.1
Eigentlich sollten doch alle Pakete auf die Zywall durchgeleitet werden, oder ist noch eine Portweiterleitung nötig, für IPSec?
Diese Anleitung funktioniert nur, wenn die zywall eine externe öffentliche IP-Adresse erhält
Gruss Simon
Hello Simon
Leider habe ich das gleiche oder ähnliche Problem
Bin vom Swisscom Modem zu Sunrise mit der Fritzbox 7490 gewechselt.
Beim Swisscom Modem konnte man einfach IP-Passthrough auf die Zywall USG40 einstellen und der IPSEC VPN zwischen der Zywall USG 40 im Büro nach Hause zum USG20 funktionierte problemlos.
Die USG erhielt einfach die Öffentliche IP.
Mit der Fritzbox habe ich noch keine VPN Verbindung zwischen den USGs geschaft.
Hast du eine Lösung gefunden?
Gruss
Erik
Leider habe ich das gleiche oder ähnliche Problem
Bin vom Swisscom Modem zu Sunrise mit der Fritzbox 7490 gewechselt.
Beim Swisscom Modem konnte man einfach IP-Passthrough auf die Zywall USG40 einstellen und der IPSEC VPN zwischen der Zywall USG 40 im Büro nach Hause zum USG20 funktionierte problemlos.
Die USG erhielt einfach die Öffentliche IP.
Mit der Fritzbox habe ich noch keine VPN Verbindung zwischen den USGs geschaft.
Hast du eine Lösung gefunden?
Gruss
Erik
