cleptomanix
Goto Top

Fritzbox IPSEC mit Astaro betreiben

Servus,

ich hätte da mal ein Problem. Wir haben in einer Außenstelle eine Fritzbox Cable mit einer festen IP. Dahinter hängt unsere Astaro. Nun wollen wir diese per VPN bei uns in unserem Hauptstandort einbinden(auf unserer Hauptastaro). Das Problem liegt darin, dass die Fritzbox Ihre feste IP nicht an dahinter hängende Geräte(Astaro) weitergibt. Somit ist sie für uns "unbrauchbar"
Gibt's da einen Trick wie man das Ganze umgehen kann? Einfach eine Portweiterleitung klappt ja leider nicht mehr..
Ich bin in die Thematik nicht zu 100% involviert, da ich "nur" der Azubi bin :D Ich habe mir aber gedacht, dass ich es mal hier versuche ^^
Falls noch Fragen aufkommen sollten, bitte stellen, da ich mir nicht sicher bin ob ich alles wichtige genannt habe

LG

Content-ID: 307777

Url: https://administrator.de/contentid/307777

Ausgedruckt am: 23.11.2024 um 04:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 21.06.2016 aktualisiert um 15:15:23 Uhr
Goto Top
Zitat von @ClepToManix:

Gibt's da einen Trick wie man das Ganze umgehen kann? Einfach eine Portweiterleitung klappt ja leider nicht mehr..


Einfach die Astaro als exposed Host einstellen.

Falls noch Fragen aufkommen sollten, bitte stellen, da ich mir nicht sicher bin ob ich alles wichtige genannt habe

Die genau Modellnummer der Geräte zu nennen ist nie verkehrt.

lks
aqui
aqui 21.06.2016 aktualisiert um 15:40:03 Uhr
Goto Top
Einfach eine Portweiterleitung klappt ja leider nicht mehr..
Haben wir da etwa was verpasst beim Networking... ???
Warum sollte es deiner Meinung nicht mehr klappen, denn Port Forwarding ist ja immer das Mittel der Wahl wenn man kaskadieren will oder muss mit einem NAT Router davor !
IPsec Ports und Protokoll forwarden auf die kaskadierte FW dahinter und gut iss..!
Guckst du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Ausnahme ist natürlich wenn dein Kabel Provider DS-Lite im Backbone fährt aber dazu kam ja keinerlei Hinweis von dir.
Wo ist also dann dein Problem mit Port Forwarding ???

Anders bekommst du es gelöst wenn du dir keinen kaskadierten NAT Router vor die Astaro packst, sondern ein reines Kabelmodem vom Provider oder auf dem Markt besorgst. Ein reines Modem ist nur ein transparenter Medienwandler der die ISP Adresse dann direkt auf der Astaro terminiert.
Manche FB lassen sich auch als reine Modems konfigurieren aber ob das klappt hängt von deiner FB, Modell und Firmware ab.
Ganz anders kannst du ja auch IPsec mit der FritzBox direkt sprechen, denn das supportet sie ja auch. Es geht also auch ohne Astaro... face-wink
Guckst du nochmal hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a

Wie gesagt alles eh nur sofern der ISP kein DS-Lite macht. Nutzt er DS-Lite ist es so oder so ganz aus mit IPsec VPN und der Todesstoß, da es dann nicht den zentralen NAT Knoten beim ISP überwinden kann.
Weisst du aber auch sicher selber als IT Azubi ?!
Pjordorf
Pjordorf 21.06.2016 um 17:31:58 Uhr
Goto Top
Hallo,

Zitat von @ClepToManix:
Das Problem liegt darin, dass die Fritzbox Ihre feste IP nicht an dahinter hängende Geräte(Astaro) weitergibt
Warum sollte die das auch tun? Die macht doch NAT oder?

Somit ist sie für uns "unbrauchbar"
Wäre nicht die erste Fritte die vor einer Astaro (jetzt Sophos UTM) hängen tut.

Einfach eine Portweiterleitung klappt ja leider nicht mehr..
Jetzt hast du uns alle rätseln was wir alles in dieser Welt verpasst haben. Was bitte meinst du genau - Hörensagen sind nur gerüchte....

Lass deine Astaro die Verbindung zur Zentrale selbst aufbauen - immer.

Gruß,
Peter
aqui
aqui 21.06.2016 um 18:02:56 Uhr
Goto Top
Hörensagen sind nur Gerüchte....
Vermutlich wie immer gefährliches Azubi Halbwissen... face-big-smile
ClepToManix
ClepToManix 22.06.2016 um 09:47:36 Uhr
Goto Top
Also schonmal Danke für die schnellen Antworten face-smile Ich kläre das nochmal ab. Wie gesagt ich habe das ganze nicht so genau verstanden. Bei mir zuhause hab ich auch eine Portweiterleitung an meine Sophos. Hab aber auch keine Feste IP. Wenn ich das richtig verstanden habe, ist der VPN Endpunkt in meinem Problemfall immer die Fritzbox. Genau da liegt das Problem. Der VPN Endpunkt soll die Astaro sein. Die Fritzbox ist eine 7490 M-Net Edition.

Ich melde mich gleich nochmal
Lochkartenstanzer
Lochkartenstanzer 22.06.2016 um 10:20:25 Uhr
Goto Top
Zitat von @ClepToManix:

Wenn ich das richtig verstanden habe, ist der VPN Endpunkt in meinem Problemfall immer die Fritzbox.

Nur dann, wenn Du die fritzbox zum Endpunkt machst. Wichtig ist, daß Du auf der Fritzbox IPSEC deaktivierst, wenn Du die Astaro als VPN-Endpunkt haben willst.

kls
aqui
aqui 22.06.2016 aktualisiert um 10:30:01 Uhr
Goto Top
Wie gesagt ich habe das ganze nicht so genau verstanden.
Sorry, aber das merkt man !
Wenn ich das richtig verstanden habe, ist der VPN Endpunkt in meinem Problemfall immer die Fritzbox
Nein, natürlich nicht ! Hier offenbart sich wieder das du das Thema VPN nicht wirklich durchdrungen hast und auch dein konkretes "Problem" (was gar keins ist) nicht.
Du schreibst doch oben in der Intro selber ganz deutlich das der VPN Tunnel auf der Astaro endet oder enden soll die hinter der FB steht ??
Warum sollte also jetzt der VPN Endpunkt die FB sein ?? Gleich im nächsten Satz sagst du ja doch wieder das die Astaro der VPN Endpunkt ist ???
Das kann man doch kinderleicht sofort sehen an den beteiligten Komponenten welche IP Adresse dort für beide Tunnelendpunkte definiert ist.
Vielleicht solltest du erstmal sicher klären ob die Astaro oder die FB den VPN Tunnel terminieren soll, damit wir uns hier nicht alle dumm im Kreis drehen weil du die einfachsten Hausaufgaben nicht gemacht hast, sprich das grundlegende Design und die Anforderungen erstmal zu klären. Sorry, aber sowas lernt man doch als Azubi das man strukturiert vorgeht ?!
Klär das und dann machen wir hier weiter....
Nur so viel:
Die FB macht ja vermutlich NAT = IP Adress Translation. Der eine VPN Tunnelrouter kann also nur diese IP der FritzBox "sehen", da das ja die öffentliche IP ist die für ihn über das Internet erreichbar ist.
Auf IP Adressen wie z.B. die der kaskadierten Astaro die HINTER der NAT Firewall der FritzBox liegt kann er nicht zugreifen, das verhindert das NAT !
Folglich wird also in diesem VPN Router die IP Adresse des FritzBox WAN Ports eingetragen als vermeintlicher Tunnelendpunkt, was er aber technisch nicht ist, da der Tunnel da ja nicht endet sondern auf der Astaro.

Der FritzBox sagt man aber jetzt: "Du FritzBox hör mal zu ! Wenn du hier am WAN Port IPsec Traffic reinkommen siehst (UDP 500, 4500 und ESP Protokoll) dann bitte forwarde all diesen Traffic an die interne IP Adresse a.b.c.d der Astaro !"
Genau DAS ist dann das Port Forwarding.
Sprich die FritzBox ist nur "Durchlauferhitzer" und reicht diese IPsec VPN Frames direkt an die Astaro weiter die dann physisch den VPN Tunnel terminiert.
Würde man statt FritzBox Router die Astaro direkt mit einem einfachen NUR Modem an die Internet Leitung hängen könnte man sich den ganzen Quatsch mit der FB und Forwarding sparen.
So einfach ist das !
Ein Blick in die oben zitierten Tutorials hätte dir und uns diese Frage erspart face-wink
Nochwas....
Bei der FritzBox und IPsec gibts noch eine Besonderheit: Da die FritzBox selber aktiv IPsec VPNs terminieren könnte (sie ist ja auch ein VPN Router) interpretiert sie eingehende IPsec Daten immer zuerst als für sie bestimmt.
Du musst also zwingend vorher im Setup der FB IPsec deaktivieren, damit sie diese Pakete auch forwardet. (Siehe oben Anmerkung des Kollegen LKS !)
Ansonsten tut sich das nicht und dropped die nur was dann in einer nicht funktionierenden VPN Verbindung auf der Astaro resultiert !
Auch das sollte man als FB User wissen ?!
Dilbert-MD
Dilbert-MD 22.06.2016 um 11:48:40 Uhr
Goto Top
Moin,
ergänzend noch der Hinweis auf eine ähnliche Frage hier vor Kurzem:
Sophos UTM hinter FritzBox 6490

Gruß
Holger
ClepToManix
ClepToManix 22.06.2016 um 12:51:35 Uhr
Goto Top
Zitat von @aqui:

Würde man statt FritzBox Router die Astaro direkt mit einem einfachen NUR Modem an die Internet Leitung hängen könnte man sich den ganzen Quatsch mit der FB und Forwarding sparen.
So einfach ist das !

Genau das haben wir bei unseren anderen Standorten auch gemacht. Nur stellt sich hier die Fritzbox von Mnet quer. An den anderen stellen haben wir auch nur ein Modem und da funktioniert es natürlich.

Ich warte nochmal auf aktuellere Informationen, damit ich mal ne richtige Aussage treffen kann.