touro411
Goto Top

Fritzbox 7490 Zugriff auf WebGui über VPN schlägt fehl, lokal kein Problem

Hallo zusammen,

ich stehe mal wieder vor einem Problem "Fritzbox 7490 Zugriff auf WebGui über VPN schlägt fehl, lokal kein Problem" Ich habe ein S2S IPSec VPN erstellt die Regeln in beiden FWs erstellt.

fw_bild

Ich möchte mit dem PC1 in Abbildung auf die WebGui der Fritzbox zugreifen. Die 2 SAs sind aufgebaut. Laut Logdateien der beiden FWs erreicht die Anfrage auch die Fritzbox. Ich habe dies schon ein paar mal konfiguriert bei anderen Projekten, da war der Zugriff nach einrichten der Regeln überhaupt kein Problem.

Lokal kann ich auf die Webgui zufgreifen. Über Roadwarrior SSL kann ich auch nicht auf die WebGui zugreifen. Sperrt die Fritzbox evtl. den Verkehr?

Schonmal Danke für eure Antworten!

VG
Touro411

Content-ID: 340202

Url: https://administrator.de/contentid/340202

Ausgedruckt am: 25.11.2024 um 04:11 Uhr

aqui
aqui 09.06.2017 aktualisiert um 16:16:27 Uhr
Goto Top
Die 2 SAs sind aufgebaut.
Das ist gut.
Sonst nochmal kontrollieren, denn hier steht wie man es macht:
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Bei dir betrifft das das .79.0er und das .80.0er Netz.

Dann wären noch 2 Fragen relevant:
  • Kannst du das LAN Interface der FB pingen ?
  • WAS sagt ein traceroute auf die FritzBox LAN IP ?
Laut Logdateien der beiden FWs erreicht die Anfrage auch die Fritzbox
Welche der beiden ?? Hier ist der Traceroute relevant ! (tracert)
Sperrt die Fritzbox evtl. den Verkehr?
Das kommt auf die Konfig drauf an. Dazu lieferst du aber keinen Input so das uns da auch nur die Kristallkugel bleibt.
touro411
touro411 09.06.2017 um 16:32:53 Uhr
Goto Top
Kannst du das LAN Interface der FB pingen ?
Nein
WAS sagt ein traceroute auf die FritzBox LAN IP ?

Trace Route von Firewall von der Gegenseite

tracert 192.168.79.10

Routenverfolgung zu 192.168.79.10 über maximal 30 Hops

1 <1 ms <1 ms <1 ms 192.168.20.10
2 20 ms 19 ms 19 ms 192.168.79.10
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
aqui
aqui 09.06.2017 um 17:49:50 Uhr
Goto Top
Nur zur Sicherheit nochmal dumm nachgefragt:
Den IPsec VPN Tunnel baust du zwischen Sophos auf der .20.0er Seite und der FritzBox auf der 79.0er Seite auf, richtig ??

Wenn ja warum so und nicht zw. den beiden Sophos was doch viel sinnvoller wäre ?
Wenn es dennoch Sophos rechts auf FB Links ist dann sieht das nach einem Tunnel MTU Problem aus. Leider beschreibst du nicht die Infrastruktur dazwischen aber bedenke immer wenn das xDSL ist, dann geht dir was flöten von der MTU für den PPPoE Header UND auch für den IPsec Header !!
Du müsstest die MSS bzw. MTU also auf mindestens 1419 Bytes limitieren beidseitig auf dem WAN Interface. Da die FB das in der Regel per IP MTU Path Discovery macht könnte die Sophos hier der böse Buhmann sein.
Die Sophos rechts am 20er Netz hat ja vermutlich kein internes Modem, oder ?
WIE ist also dort der Internet Anschluss realisiert ? Mit einem reinen Modem, einer Router Kaskade oder was ist dort ?
Der Tunnel scheint in der Tat etabliert zu sein sonst würde keine Antwort von der 79.10 kommen. Hast du bei Ping oder Traceroute mal die Paketgröße variiert ?
Sieht also sehr wahrscheinlich nach einem MTU / MSS Problem aus.
touro411
touro411 09.06.2017 um 19:41:38 Uhr
Goto Top
Den IPsec VPN Tunnel baust du zwischen Sophos auf der .20.0er Seite und der FritzBox auf der 79.0er Seite auf, richtig ??
Ja
Wenn ja warum so und nicht zw. den beiden Sophos was doch viel sinnvoller wäre ?
Da besteht ja auch ein Tunnel

Du meinst den Tunnel vom 20er zum 79er Netz beenden und der Sophos im 20er Netz per statische Route sagen, dass Verkehr zum 79er Netz über den Tunnel gehen soll?

Die Sophos rechts am 20er Netz hat ja vermutlich kein internes Modem, oder ?
Nein, hier mit einem Netzwerkkabel die Standleitung angeschlossen
touro411
touro411 09.06.2017 aktualisiert um 21:39:25 Uhr
Goto Top
Selbst mit dem Roadwarrior VPN (zu Sophos im 80er Netz) komme ich nicht auf die Fritzbox drauf... (Das funktioniert bei diversen Umgebungen)

Nun steht nur noch ein Tunnel von Sophos FW zu Sophos FW, quasi von 20er zu 80er Netz.

Ich denke, dass die FB den Verkehr von den VPNs blockt....


Ich habe nun den Verkehr zur FB über den Proxy der Sophos im 80er Netz laufen lassen, und schon komme ich auf die WebGui!

Somit blockt die FB den Verkehr von den VPNs?