cptkrabbe
Goto Top

IPSEC FritzBox zu Sophos XG - Ping nur in eine Richtung möglich

Guten Tag und einen schönen ersten Advent euch allen.

Ich stehe gerade mächtig auf dem Schlauch, ich habe eine "funktionierende" IPSEC-Verbindung zwischen einer FritzBox 7590 (Telekom VDSL) und einer Sophos XG 15 hinter einer FritzBox 7590 (Telekom VDSL). Allerdings lässt sich aus dem Netzwerk hinter der Sophos kein Host im Netzwerk hinter der FritzBox ohne Sophos anpingen... Ich hab das mal schnell aufgemalt:

fritz_xg_problem

(in der Zeichnung hat der Drucker fälschlicherweise die 192.168.137.200, er hat korrekt: 192.168.137.30)
Von SITE B lassen sich alle Hosts in SITE A anpingen, RDP usw. alles klappt.
Umgekehrt nicht. Zum Testen habe ich einen Drucker und einen Client (Win7) in SITE B, eine VM in SITE A.
Hier die FritzBox-Konfiguration für den IPSEC-tunnel:
/*
* vpn.cfg
*/
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "SITEBTOSITEA";  
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remotehostname = A.dyndns.org;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = B.myfritz.net;
                }
                remoteid {
                        fqdn = A.dyndns.org;
                }
                mode = phase1_mode_idp;
                phase1ss = "dh14/aes/sha";  
                keytype = connkeytype_pre_shared;
                key = "key";  
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.137.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}

// EOF
Hier ein Bild der Firewall-Regel auf der Sophos:
sophos_fw_rule1
sophos_fw_rule2
Ansonsten gibt es nur die Default_Firewall_Rule, die bei der Installation angelegt wurde, LAN, Any -> WAN, Any, Any
Ping von Site B nach A sieht gut aus, auch RDP zu Site A funktioniert:
ping a to b
Ping von A zu B:
ping b to a
Trace:
tracert2

Hier wundert mich natürlich, dass diese Antwort von einer public ip (62.x.x.x) kommt, die weder site a noch site b hat...
Site A hat 84.x.x.x, Site B hat 91.x.x.x
Könnt Ihr mich evtl. vom Schlauch schubsen?

Content-ID: 521110

Url: https://administrator.de/contentid/521110

Printed on: December 4, 2024 at 03:12 o'clock

aqui
aqui Dec 01, 2019 updated at 12:17:43 (UTC)
Goto Top
Ist zu 99% immer wieder dieselber Leier... Firewall !!
Entweder stimmt die Firewall Regel für Ping in der Sophos nicht. Ping ist ICMP Protokoll und muss entsprechend freigegeben sein !
Oder...wenn das Gerät was angepingt wird eine Winblows Kiste ist, dann ist es die lokale Winblows Firewall. Winblows blockt schon seit langem generell ICMP Pakete (Ping).
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Du musst ICMP also zwangsweise erlauben und es explizit in der lokalen "Firewall mit erweiterten Eigenschaften" freigeben.
On Top blockt sie ALLES was eingeht und zugleich Absender IP Adressen aus einem externen Netzwerk hat was ungleich dem lokalen IP Netz ist. Das betrifft also alles was bei dir aus dem remoten IPsec Netz kommt !
Zwei Dinge also dir die dein ICMP Ping verhageln.
Sollte man als (Winblows) Netzwerker eigentlich wissen...

icmp-firewall
cptkrabbe
cptkrabbe Dec 01, 2019 at 12:18:35 (UTC)
Goto Top
Hallo aqui.

Ich habe die Firewall auf dem Win7 Client komplett deaktiviert, der Drucker hat (hoffentlich) keine eigene Firewall.
Ich kann ja aus dem Netz Site A (192.168.1.0) nicht mal die Lan-Adresse der FritzBox im Netz Site B anpingen (192.168.137.254). Das sollte doch eigentlich immer gehen, richtig?
the-buccaneer
Solution the-buccaneer Dec 01, 2019 at 12:42:13 (UTC)
Goto Top
Moin!
Hast du denn die Sophos als "exposed Host" in Fritte A eingetragen?
Deine Pakete haben auf Friite A nichts verloren, denn die Sophos muss dein VPN bereits vorher zur Fritte B routen.
Also gucken, warum dein Ping von der Sophos über Fritte A und nicht das VPN geleitet wird.

VG
Buc
IceBeer
Solution IceBeer Dec 01, 2019 at 12:44:28 (UTC)
Goto Top
Hallo,

vielleicht bin ich grad auf dem Holzweg, aber mich verwundert in deinem TraceRT die 192.168.2.254 (Fritzbox - Site A).
Müsste dein TraceRT an der Sophos nicht in das VPN abtauchen? Alles zwischen Sophos und der Fritzbox - Site B sollte doch transparent sein?!

Gruß Martin
cptkrabbe
cptkrabbe Dec 01, 2019 at 12:47:26 (UTC)
Goto Top
Hi!

Ich habe die Sophos auf FritzBox A nicht als Exposed Host eingetrage, sondern UDP 500, 4500 und ESP auf die Sophos geNATed.
cptkrabbe
cptkrabbe Dec 01, 2019 at 12:57:23 (UTC)
Goto Top
@IceBeer & @the-buccaneer Ich liebe euch und wünsche euch eine fantastische Weihnachtszeit!

Es war das PrimaryGateway für die VPN-Regel... dort war die Fritte, ich habs auf "None" geschaltet und schon rutscht es!
the-buccaneer
the-buccaneer Dec 01, 2019 updated at 13:03:52 (UTC)
Goto Top
Zitat von @cptkrabbe:

Hi!

Ich habe die Sophos auf FritzBox A nicht als Exposed Host eingetrage, sondern UDP 500, 4500 und ESP auf die Sophos geNATed.

Also wenn du nur VPN willst, hätteste das auch zwischen den FB's machen können. face-wink Da haste nun schon ne richtige Firewall und...

Aber egal. Auch dir einen schönen ersten Advent.

Als gelöst markieren nicht vergessen.
Buc
cptkrabbe
cptkrabbe Dec 01, 2019 at 13:05:54 (UTC)
Goto Top
Die Sophos soll noch weitere IPSEC-Verbindungen aufbauen, und hat später noch andere Sachen zu tun...
Naja, wie gesagt, ich bin erstmal glücklich ;)
Danke nochmal!
LordGurke
Solution LordGurke Dec 01, 2019 at 15:18:32 (UTC)
Goto Top
Bei der Gelegenheit weise ich nochmal schamlos auf mein Machwerk hin:

Ping-Fehlermeldungen und was sie bedeuten

Das beschriebene Verhalten ist in Abschnitt 2, Unterabschnitt 2 beschrieben face-wink
aqui
aqui Dec 01, 2019 updated at 19:12:21 (UTC)
Goto Top
sondern UDP 500, 4500 und ESP auf die Sophos geNATed.
Wäre ja falsch ! Wenn, dann müsste es für Port Forwarding eingetragen sein. Damit erübrigt sich dann der exposed Host.
Sehr wichtig ist dann das auf der FB zwingend sämtliche Konfigs für VPN Zugriff deaktiviert sind. Es dürfen keinerlei User Accounts usw. aktiv sein. Andernfalls "denkt" die FB das die eingehenden VPN Connections für sie sind und blockt komplett die IPsec Frames ohne sie trotz Port Forwarding weiterzuleiten !