Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst IPSEC FritzBox zu Sophos XG - Ping nur in eine Richtung möglich

Mitglied: cptkrabbe

cptkrabbe (Level 1) - Jetzt verbinden

01.12.2019 um 12:12 Uhr, 339 Aufrufe, 10 Kommentare, 1 Danke

Guten Tag und einen schönen ersten Advent euch allen.

Ich stehe gerade mächtig auf dem Schlauch, ich habe eine "funktionierende" IPSEC-Verbindung zwischen einer FritzBox 7590 (Telekom VDSL) und einer Sophos XG 15 hinter einer FritzBox 7590 (Telekom VDSL). Allerdings lässt sich aus dem Netzwerk hinter der Sophos kein Host im Netzwerk hinter der FritzBox ohne Sophos anpingen... Ich hab das mal schnell aufgemalt:

fritz_xg_problem - Klicke auf das Bild, um es zu vergrößern

(in der Zeichnung hat der Drucker fälschlicherweise die 192.168.137.200, er hat korrekt: 192.168.137.30)
Von SITE B lassen sich alle Hosts in SITE A anpingen, RDP usw. alles klappt.
Umgekehrt nicht. Zum Testen habe ich einen Drucker und einen Client (Win7) in SITE B, eine VM in SITE A.
Hier die FritzBox-Konfiguration für den IPSEC-tunnel:
01.
/*
02.
* vpn.cfg
03.
*/
04.
vpncfg {
05.
        connections {
06.
                enabled = yes;
07.
                conn_type = conntype_lan;
08.
                name = "SITEBTOSITEA";
09.
                always_renew = yes;
10.
                reject_not_encrypted = no;
11.
                dont_filter_netbios = yes;
12.
                localip = 0.0.0.0;
13.
                local_virtualip = 0.0.0.0;
14.
                remotehostname = A.dyndns.org;
15.
                remote_virtualip = 0.0.0.0;
16.
                localid {
17.
                        fqdn = B.myfritz.net;
18.
                }
19.
                remoteid {
20.
                        fqdn = A.dyndns.org;
21.
                }
22.
                mode = phase1_mode_idp;
23.
                phase1ss = "dh14/aes/sha";
24.
                keytype = connkeytype_pre_shared;
25.
                key = "key";
26.
                cert_do_server_auth = no;
27.
                use_nat_t = no;
28.
                use_xauth = no;
29.
                use_cfgmode = no;
30.
                phase2localid {
31.
                        ipnet {
32.
                                ipaddr = 192.168.137.0;
33.
                                mask = 255.255.255.0;
34.
                        }
35.
                }
36.
                phase2remoteid {
37.
                        ipnet {
38.
                                ipaddr = 192.168.1.0;
39.
                                mask = 255.255.255.0;
40.
                        }
41.
                }
42.
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
43.
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";
44.
        }
45.
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
46.
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
47.
}
48.

49.
// EOF
Hier ein Bild der Firewall-Regel auf der Sophos:
sophos_fw_rule1 - Klicke auf das Bild, um es zu vergrößern
sophos_fw_rule2 - Klicke auf das Bild, um es zu vergrößern
Ansonsten gibt es nur die Default_Firewall_Rule, die bei der Installation angelegt wurde, LAN, Any -> WAN, Any, Any
Ping von Site B nach A sieht gut aus, auch RDP zu Site A funktioniert:
ping a to b - Klicke auf das Bild, um es zu vergrößern
Ping von A zu B:
ping b to a - Klicke auf das Bild, um es zu vergrößern
Trace:
tracert2 - Klicke auf das Bild, um es zu vergrößern

Hier wundert mich natürlich, dass diese Antwort von einer public ip (62.x.x.x) kommt, die weder site a noch site b hat...
Site A hat 84.x.x.x, Site B hat 91.x.x.x
Könnt Ihr mich evtl. vom Schlauch schubsen?
Mitglied: aqui
01.12.2019, aktualisiert um 13:17 Uhr
Ist zu 99% immer wieder dieselber Leier... Firewall !!
Entweder stimmt die Firewall Regel für Ping in der Sophos nicht. Ping ist ICMP Protokoll und muss entsprechend freigegeben sein !
Oder...wenn das Gerät was angepingt wird eine Winblows Kiste ist, dann ist es die lokale Winblows Firewall. Winblows blockt schon seit langem generell ICMP Pakete (Ping).
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Du musst ICMP also zwangsweise erlauben und es explizit in der lokalen "Firewall mit erweiterten Eigenschaften" freigeben.
On Top blockt sie ALLES was eingeht und zugleich Absender IP Adressen aus einem externen Netzwerk hat was ungleich dem lokalen IP Netz ist. Das betrifft also alles was bei dir aus dem remoten IPsec Netz kommt !
Zwei Dinge also dir die dein ICMP Ping verhageln.
Sollte man als (Winblows) Netzwerker eigentlich wissen...

icmp-firewall - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: cptkrabbe
01.12.2019 um 13:18 Uhr
Hallo aqui.

Ich habe die Firewall auf dem Win7 Client komplett deaktiviert, der Drucker hat (hoffentlich) keine eigene Firewall.
Ich kann ja aus dem Netz Site A (192.168.1.0) nicht mal die Lan-Adresse der FritzBox im Netz Site B anpingen (192.168.137.254). Das sollte doch eigentlich immer gehen, richtig?
Bitte warten ..
Mitglied: the-buccaneer
LÖSUNG 01.12.2019 um 13:42 Uhr
Moin!
Hast du denn die Sophos als "exposed Host" in Fritte A eingetragen?
Deine Pakete haben auf Friite A nichts verloren, denn die Sophos muss dein VPN bereits vorher zur Fritte B routen.
Also gucken, warum dein Ping von der Sophos über Fritte A und nicht das VPN geleitet wird.

VG
Buc
Bitte warten ..
Mitglied: IceBeer
LÖSUNG 01.12.2019 um 13:44 Uhr
Hallo,

vielleicht bin ich grad auf dem Holzweg, aber mich verwundert in deinem TraceRT die 192.168.2.254 (Fritzbox - Site A).
Müsste dein TraceRT an der Sophos nicht in das VPN abtauchen? Alles zwischen Sophos und der Fritzbox - Site B sollte doch transparent sein?!

Gruß Martin
Bitte warten ..
Mitglied: cptkrabbe
01.12.2019 um 13:47 Uhr
Hi!

Ich habe die Sophos auf FritzBox A nicht als Exposed Host eingetrage, sondern UDP 500, 4500 und ESP auf die Sophos geNATed.
Bitte warten ..
Mitglied: cptkrabbe
01.12.2019 um 13:57 Uhr
@IceBeer & @the-buccaneer Ich liebe euch und wünsche euch eine fantastische Weihnachtszeit!

Es war das PrimaryGateway für die VPN-Regel... dort war die Fritte, ich habs auf "None" geschaltet und schon rutscht es!
Bitte warten ..
Mitglied: the-buccaneer
01.12.2019, aktualisiert um 14:03 Uhr
Zitat von cptkrabbe:

Hi!

Ich habe die Sophos auf FritzBox A nicht als Exposed Host eingetrage, sondern UDP 500, 4500 und ESP auf die Sophos geNATed.

Also wenn du nur VPN willst, hätteste das auch zwischen den FB's machen können. Da haste nun schon ne richtige Firewall und...

Aber egal. Auch dir einen schönen ersten Advent.

Als gelöst markieren nicht vergessen.
Buc
Bitte warten ..
Mitglied: cptkrabbe
01.12.2019 um 14:05 Uhr
Die Sophos soll noch weitere IPSEC-Verbindungen aufbauen, und hat später noch andere Sachen zu tun...
Naja, wie gesagt, ich bin erstmal glücklich ;)
Danke nochmal!
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 01.12.2019 um 16:18 Uhr
Bei der Gelegenheit weise ich nochmal schamlos auf mein Machwerk hin:

https://administrator.de/wissen/ping-fehlermeldungen-bedeuten-458606.htm ...

Das beschriebene Verhalten ist in Abschnitt 2, Unterabschnitt 2 beschrieben
Bitte warten ..
Mitglied: aqui
01.12.2019, aktualisiert um 20:12 Uhr
sondern UDP 500, 4500 und ESP auf die Sophos geNATed.
Wäre ja falsch ! Wenn, dann müsste es für Port Forwarding eingetragen sein. Damit erübrigt sich dann der exposed Host.
Sehr wichtig ist dann das auf der FB zwingend sämtliche Konfigs für VPN Zugriff deaktiviert sind. Es dürfen keinerlei User Accounts usw. aktiv sein. Andernfalls "denkt" die FB das die eingehenden VPN Connections für sie sind und blockt komplett die IPsec Frames ohne sie trotz Port Forwarding weiterzuleiten !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN mit Fritzbox und Sophos XG 105
gelöst Frage von Gawo89Router & Routing15 Kommentare

Hallo zusammen, ich hätte da eine Frage bezüglich der richtigen Konfiguration der Routen in der Fritzbox bzw. in der ...

Router & Routing
Sophos XG VPN IPSec und Site 2 Site
Frage von m.reegerRouter & Routing3 Kommentare

Guten Morgen zusammen, ich bin mit meinem Netzwerk Latein aktuell leider am Ende und kann vor lauter IP Subnetzen ...

Firewall

Sophos XG - VPN (Site-to-Site) Ping zur Firewall

gelöst Frage von icepietFirewall6 Kommentare

Hallo Zusammen, ich habe mehrere VPN Tunnel auf einer Sophos XG gebaut. Leider habe ich bei jedem Tunnel das ...

LAN, WAN, Wireless

Fritzbox 6490 DVB-C-Stream hinter der Sophos XG realisieren

Frage von oliver12LAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich möchte mein derzeitiges Netzwerk um eine Sophos XG (auf Basis Zotac-Mini-PC mit 2x LAN) erweitern und ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 4 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 5 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 5 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 7 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing20 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

Router & Routing
Mikrotik CRS305 4Port SFP+ Router-Switch, VMWare und Fritzbox (Netzwerk Internetproblem)
Frage von SickcultureRouter & Routing18 Kommentare

Auf der Suche nach Antworten im Netz kommt man unweigerlich auf eure Seite und die deutsche Mikrotik Blog Seite. ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server17 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

MikroTik RouterOS
Mikrotik Router empfehlenswert?
gelöst Frage von matze2090MikroTik RouterOS16 Kommentare

Hallo, ich würde gerne mir Mikrotik anschauen. Reicht dieser Router zum erstmal Test? Er Kostet ca 23€. Ich habe ...