itler7
Goto Top

Site to Site IPsec VPN mit Sophos SG und Fritzbox Cable Router zu weiterer Sophos SG

Hallo zusammen,

wir haben an unserem Hauptstandort seit einiger Zeit vom sekundären Internetprovider wieder eine Fritzbox als Router stehen und kein Gateway/Modem mehr.
Seither können wir zum Branch Office über diesen Provider keinen IPsec Site to Site VPN mehr herstellen.
Der Unterschied ist, dass die Sophos SG vorher den Internetzugang direkt hergestellt hat, bzw. die öffentliche IP direkt auf der Schnittstelle angelegt war.
Jetzt bei der Fritzbox als Router ist die Sophos SG nur noch ein Client im LAN mit privater IP-Adresse.

Beim primären Provider sind die öffentlichen IP-Adressen nach wie vor direkt in den Schnittstellen auf der SG angelegt.

Kann mir jemand erklären wie ich den VPN mit dem sekundären Provider auch wieder herstellen kann? Muss ich hier auch die Schnittstelle mit der public IP der Fritzbox anlegen oder denke ich da falsch?

P.S. die Sophos ist exposed Host auf der Fritzbox, so viel steht fest.

Edit: Im Netz fand ich nur Infos von VPN zwischen einer Sophos SG und einer Fritzbox am Branch Office. Das ist hier aber nicht der Fall, die Fritzbox ist der Router vor der Sophos SG und ich kann keinen VPN zu einer anderen Sophos SG herstellen, über den anderen Provider aber schon.

Content-Key: 611858

Url: https://administrator.de/contentid/611858

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: cykes
cykes 10.10.2020 aktualisiert um 19:09:34 Uhr
Goto Top
Nabend,

ist der sekundäre Provider zufällig Unitymedia bzw. jetzt Vodafone Kabel und die FritzBox eine 6591?
Wir haben viele Kunden, die gern im Homeoffice arbeiten möchten, aber mit obenstehender Kombination und FritzOS 7.13 lässt sich kein IPsec VPN-Tunnel nutzen. Ich habe schon alle erdenklichen Einstellungen getestet, aber es funktioniert reproduzierbar bei mehreren Kunden nicht. In Phase 2 bzw. bei den SA läuft irgendwas schief, der Tunnel ist nicht nutzbar und manchmal trennt er sich dann auch wieder nach einigen Minuten.

Wir haben auch die Anschlüsse teilweise auf Business Anschlüsse mit fester IP umstellen lassen, aber auch das hat keine Änderung bzw. Erfolg gebracht. Der Vodafone Business Support hat zuerst einer Kundin und dann auch mir erzählt: Sie hätte a) Den BESTEN (deutlich betont) Router auf dem Markt; b) den (sowieso) besten Provider/Anschluss und solle sich c) bei Problemen doch direkt an den AVM-Support wenden - außerdem könne das sowieso gar nicht sein, da sie ja nicht die einzige wäre die über einen Vodafone-Kabelanschluss für einen Homeoffice-ZUgang ein VPN aufbaut.

Komischerweise tritt das Problem bei ihr erst auf, seitdem Vodafone Unitymedia übernommen hatte und vor ca. 4-6 Monaten die alte FritzBox 6490 gegen die aktuelle 6591 getauscht wurde.

Nach einer Recherche habe ich u.a. folgende Diskussion im Vodafone-Forum gefunden: https://forum.vodafone.de/t5/St%C3%B6rungsmeldungen-Internet-TV/Kein-VPN ...

Da geht es zwar anfangs nicht um die FB 6591 (sondern um den Technicolor CGA4233de) und auschließlich um CableMax GBit Anschlüsse, aber im Verlauf wird auch die FritzBox erwähnt und auch andere Anschlüsse. Gegen Ende des Threads äußern sich die Vodafone-Mitarbeiter immer seltener und wenn nur oberflächlich.

Gruß

cykes

P.S. Wenn man mal im Vodafone Forum nach VPN (L2TP) IPSEC sucht kommen noch VIELE weitere Diskussionen zu Tage.
Mitglied: the-buccaneer
the-buccaneer 10.10.2020 um 22:35:43 Uhr
Goto Top
Moinsen!

Ohne, dass du konkret deine Settings und Fehlermeldungen / Logfiles postest, wird man dir nur schwer helfen können...

Mal ins Blaue: Wie ist denn das Verhalten, wenn du als Identifier nicht mehr die externe IP nimmst, sondern etwas anderes? (Bei der PfSense wäre das "Key-Identifier" Sophos habe ich grad keine da...)

Geh halt systematisch vor, guck dir die Logs an und schaue WO die Verbindung scheitert.
Dann bekommst du hier in nullkommanix die Lösung. (Meistens jedenfalls) face-wink

VG
Buc
Mitglied: aqui
aqui 11.10.2020 aktualisiert um 12:49:49 Uhr
Goto Top
Jetzt bei der Fritzbox als Router ist die Sophos SG nur noch ein Client im LAN mit privater IP-Adresse.
Das Problem ist das die FritzBox selber aktiver VPN Router ist. Die musst hier absolut sicherstellen das deren VPN Funktion deaktiviert ist ! User und evtl. VPN Konfig dort also vollständig entfernen.
Ferner musst du auch der FritzBox einen exposed Host definieren oder noch besser (da sicherer) nur die IPsec Schnittstellen auf die dahinter kaskadierte Sophos forwarden, damit an der FritzBox eingehende IPsec Frames auf die dahinterliegende Sophos weitergeleitet werden.
Die WAN IP der FritzBox ist dann für die remoten IPsec VPN Clients logischerweise die Ziel IP. NICHT die IP der Sophos im Koppelnetz natürlich !

Was du an so einem Router Kaskaden Design zu beachten hast erklärt dir dieses Tutorial im Detail. Wenn du das entsprechend genau so umsetzt kommt das auch sofort problemlos zum Fliegen !
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
In der Konfiguration hast du ganz sicher einen fehler gemacht.
Ansonsten wie oben schon gesagt: Logfiles posten !
Mitglied: miduronic
miduronic 11.10.2020 um 17:26:53 Uhr
Goto Top
Hi
Dumme Frage: Warum installierst Du nicht eine Sophos RED? Das ist das Beste, was Du machen kannst. Somit hast Du auch Dein Remote-Netz im Griff und vor allem die Sicherheit. Auch ist das WLAN (falls gewünscht) gemanagt.
Mit der RED ist es dann egal, welchen Provider dass Ihr Remote vervendet.

Gruss miduronic
Mitglied: aqui
Lösung aqui 12.10.2020 um 09:14:05 Uhr
Goto Top
Wäre ja auch sinnfrei, denn es spielt ja keinerlei Rolle welchen VPN Router oder Firewall er nimmt. Da er ja statt eines reinen Kabelmodems immer einen Router davor hat mit der FritzBox.
Technisch gesehen wäre ein reines_Kabelmodem viel sinnvoller zu verwenden in seinem Falle aber er zieht es ja vor mit einem billigen Consumer Router davor zu arbeiten was dann logischerweise doppelte Firewall und doppeltes NAT erzwingt. Normal ein NoGo in einem Firmennetz. Allein dort schon Consumer Equipement einzusetzen. Aber nungut, das ist ja nicht das primäre Thema. Es geht natürlich auch mit der FritzBüx und doppeltem NAT wenn man dann eben die o.a. Vorgaben genau beachtet und die Konfig so anpasst.
Daran scheitert es vermutlich ja noich beim TO...?!
Mitglied: ITler7
ITler7 26.10.2020 um 17:17:48 Uhr
Goto Top
Du hast die Frage nicht verstanden. Wir nutzen an mehreren Standorten ein RED und fahren damit auch sehr gut, aber an diesem geht das aber aufgrund der Performance nicht.
Mitglied: ITler7
ITler7 26.10.2020 um 17:18:05 Uhr
Goto Top
Wir haben jetzt ein Hitron Gateway von Vodafone erhalten und können hier auch endlich auf zwei Ports, ohne Switch dazwischen, die Firewall HA anstecken. Der VPN und alle anderen Dienste funktionieren so jetzt wieder, da die 2. öffentliche IP direkt auf der Schnittstelle der Firewall angelegt ist.