10
IPSEC FritzBox zu Sophos XG - Ping nur in eine Richtung möglich
Guten Tag und einen schönen ersten Advent euch allen.
Ich stehe gerade mächtig auf dem Schlauch, ich habe eine "funktionierende" IPSEC-Verbindung zwischen einer FritzBox 7590 (Telekom VDSL) und einer Sophos XG 15 hinter einer FritzBox 7590 (Telekom VDSL). Allerdings lässt sich aus dem Netzwerk hinter der Sophos kein Host im Netzwerk hinter der FritzBox ohne Sophos anpingen... Ich hab das mal schnell aufgemalt:
(in der Zeichnung hat der Drucker fälschlicherweise die 192.168.137.200, er hat korrekt: 192.168.137.30)
Von SITE B lassen sich alle Hosts in SITE A anpingen, RDP usw. alles klappt.
Umgekehrt nicht. Zum Testen habe ich einen Drucker und einen Client (Win7) in SITE B, eine VM in SITE A.
Hier die FritzBox-Konfiguration für den IPSEC-tunnel:
Hier ein Bild der Firewall-Regel auf der Sophos:
Ansonsten gibt es nur die Default_Firewall_Rule, die bei der Installation angelegt wurde, LAN, Any -> WAN, Any, Any
Ping von Site B nach A sieht gut aus, auch RDP zu Site A funktioniert:
Ping von A zu B:
Trace:
Hier wundert mich natürlich, dass diese Antwort von einer public ip (62.x.x.x) kommt, die weder site a noch site b hat...
Site A hat 84.x.x.x, Site B hat 91.x.x.x
Könnt Ihr mich evtl. vom Schlauch schubsen?
Ich stehe gerade mächtig auf dem Schlauch, ich habe eine "funktionierende" IPSEC-Verbindung zwischen einer FritzBox 7590 (Telekom VDSL) und einer Sophos XG 15 hinter einer FritzBox 7590 (Telekom VDSL). Allerdings lässt sich aus dem Netzwerk hinter der Sophos kein Host im Netzwerk hinter der FritzBox ohne Sophos anpingen... Ich hab das mal schnell aufgemalt:
(in der Zeichnung hat der Drucker fälschlicherweise die 192.168.137.200, er hat korrekt: 192.168.137.30)
Von SITE B lassen sich alle Hosts in SITE A anpingen, RDP usw. alles klappt.
Umgekehrt nicht. Zum Testen habe ich einen Drucker und einen Client (Win7) in SITE B, eine VM in SITE A.
Hier die FritzBox-Konfiguration für den IPSEC-tunnel:
/*
* vpn.cfg
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "SITEBTOSITEA";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remotehostname = A.dyndns.org;
remote_virtualip = 0.0.0.0;
localid {
fqdn = B.myfritz.net;
}
remoteid {
fqdn = A.dyndns.org;
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "key";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.137.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOFPing von Site B nach A sieht gut aus, auch RDP zu Site A funktioniert:
Hier wundert mich natürlich, dass diese Antwort von einer public ip (62.x.x.x) kommt, die weder site a noch site b hat...
Site A hat 84.x.x.x, Site B hat 91.x.x.x
Könnt Ihr mich evtl. vom Schlauch schubsen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 521110
Url: https://administrator.de/contentid/521110
Printed on: April 19, 2024 at 21:04 o'clock
10 Comments
Latest comment
Ist zu 99% immer wieder dieselber Leier... Firewall !!
Entweder stimmt die Firewall Regel für Ping in der Sophos nicht. Ping ist ICMP Protokoll und muss entsprechend freigegeben sein !
Oder...wenn das Gerät was angepingt wird eine Winblows Kiste ist, dann ist es die lokale Winblows Firewall. Winblows blockt schon seit langem generell ICMP Pakete (Ping).
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Du musst ICMP also zwangsweise erlauben und es explizit in der lokalen "Firewall mit erweiterten Eigenschaften" freigeben.
On Top blockt sie ALLES was eingeht und zugleich Absender IP Adressen aus einem externen Netzwerk hat was ungleich dem lokalen IP Netz ist. Das betrifft also alles was bei dir aus dem remoten IPsec Netz kommt !
Zwei Dinge also dir die dein ICMP Ping verhageln.
Sollte man als (Winblows) Netzwerker eigentlich wissen...
Entweder stimmt die Firewall Regel für Ping in der Sophos nicht. Ping ist ICMP Protokoll und muss entsprechend freigegeben sein !
Oder...wenn das Gerät was angepingt wird eine Winblows Kiste ist, dann ist es die lokale Winblows Firewall. Winblows blockt schon seit langem generell ICMP Pakete (Ping).
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Du musst ICMP also zwangsweise erlauben und es explizit in der lokalen "Firewall mit erweiterten Eigenschaften" freigeben.
On Top blockt sie ALLES was eingeht und zugleich Absender IP Adressen aus einem externen Netzwerk hat was ungleich dem lokalen IP Netz ist. Das betrifft also alles was bei dir aus dem remoten IPsec Netz kommt !
Zwei Dinge also dir die dein ICMP Ping verhageln.
Sollte man als (Winblows) Netzwerker eigentlich wissen...
Hallo aqui.
Ich habe die Firewall auf dem Win7 Client komplett deaktiviert, der Drucker hat (hoffentlich) keine eigene Firewall.
Ich kann ja aus dem Netz Site A (192.168.1.0) nicht mal die Lan-Adresse der FritzBox im Netz Site B anpingen (192.168.137.254). Das sollte doch eigentlich immer gehen, richtig?
Ich habe die Firewall auf dem Win7 Client komplett deaktiviert, der Drucker hat (hoffentlich) keine eigene Firewall.
Ich kann ja aus dem Netz Site A (192.168.1.0) nicht mal die Lan-Adresse der FritzBox im Netz Site B anpingen (192.168.137.254). Das sollte doch eigentlich immer gehen, richtig?
Moin!
Hast du denn die Sophos als "exposed Host" in Fritte A eingetragen?
Deine Pakete haben auf Friite A nichts verloren, denn die Sophos muss dein VPN bereits vorher zur Fritte B routen.
Also gucken, warum dein Ping von der Sophos über Fritte A und nicht das VPN geleitet wird.
VG
Buc
Hast du denn die Sophos als "exposed Host" in Fritte A eingetragen?
Deine Pakete haben auf Friite A nichts verloren, denn die Sophos muss dein VPN bereits vorher zur Fritte B routen.
Also gucken, warum dein Ping von der Sophos über Fritte A und nicht das VPN geleitet wird.
VG
Buc
Hallo,
vielleicht bin ich grad auf dem Holzweg, aber mich verwundert in deinem TraceRT die 192.168.2.254 (Fritzbox - Site A).
Müsste dein TraceRT an der Sophos nicht in das VPN abtauchen? Alles zwischen Sophos und der Fritzbox - Site B sollte doch transparent sein?!
Gruß Martin
vielleicht bin ich grad auf dem Holzweg, aber mich verwundert in deinem TraceRT die 192.168.2.254 (Fritzbox - Site A).
Müsste dein TraceRT an der Sophos nicht in das VPN abtauchen? Alles zwischen Sophos und der Fritzbox - Site B sollte doch transparent sein?!
Gruß Martin
Hi!
Ich habe die Sophos auf FritzBox A nicht als Exposed Host eingetrage, sondern UDP 500, 4500 und ESP auf die Sophos geNATed.
Ich habe die Sophos auf FritzBox A nicht als Exposed Host eingetrage, sondern UDP 500, 4500 und ESP auf die Sophos geNATed.
@IceBeer & @the-buccaneer Ich liebe euch und wünsche euch eine fantastische Weihnachtszeit!
Es war das PrimaryGateway für die VPN-Regel... dort war die Fritte, ich habs auf "None" geschaltet und schon rutscht es!
Es war das PrimaryGateway für die VPN-Regel... dort war die Fritte, ich habs auf "None" geschaltet und schon rutscht es!
Zitat von @cptkrabbe:
Hi!
Ich habe die Sophos auf FritzBox A nicht als Exposed Host eingetrage, sondern UDP 500, 4500 und ESP auf die Sophos geNATed.
Hi!
Ich habe die Sophos auf FritzBox A nicht als Exposed Host eingetrage, sondern UDP 500, 4500 und ESP auf die Sophos geNATed.
Also wenn du nur VPN willst, hätteste das auch zwischen den FB's machen können.
Da haste nun schon ne richtige Firewall und...Aber egal. Auch dir einen schönen ersten Advent.
Als gelöst markieren nicht vergessen.
Buc
Die Sophos soll noch weitere IPSEC-Verbindungen aufbauen, und hat später noch andere Sachen zu tun...
Naja, wie gesagt, ich bin erstmal glücklich ;)
Danke nochmal!
Naja, wie gesagt, ich bin erstmal glücklich ;)
Danke nochmal!
Bei der Gelegenheit weise ich nochmal schamlos auf mein Machwerk hin:
Ping-Fehlermeldungen und was sie bedeuten
Das beschriebene Verhalten ist in Abschnitt 2, Unterabschnitt 2 beschrieben
Ping-Fehlermeldungen und was sie bedeuten
Das beschriebene Verhalten ist in Abschnitt 2, Unterabschnitt 2 beschrieben
1sondern UDP 500, 4500 und ESP auf die Sophos geNATed.
Wäre ja falsch ! Wenn, dann müsste es für Port Forwarding eingetragen sein. Damit erübrigt sich dann der exposed Host.Sehr wichtig ist dann das auf der FB zwingend sämtliche Konfigs für VPN Zugriff deaktiviert sind. Es dürfen keinerlei User Accounts usw. aktiv sein. Andernfalls "denkt" die FB das die eingehenden VPN Connections für sie sind und blockt komplett die IPsec Frames ohne sie trotz Port Forwarding weiterzuleiten !
