henni2008
Goto Top

MUVPN zu Watchguard T15W hinter Fritzbox 7490 (an Gastzugang)

Hallo allerseits,

ein Kunde bekommt seinen Internetzugang derzeit über den Vermieter gestellt, dieser hat das Gastzugang auf seiner Fritzbox 7490 freigegeben und den Haken "Nur Mail und Internet" rausgenommen. Weitere Infos zur Konfiguration der Fritzbox kann der Vermieter nicht liefern. Der Telekomanschluss hat eine feste öffentliche IP.

Aufbau aktuell: Internet - Fritzbox, Gastzugang 192.168.179.1 - 192.168.179.2 an ETH0 der Watchguard.

Einen BOVPN zwischen der WG T15W und einer WG T35W an einem anderen Standort kann ich herstellen. Einen MUVPN zur WG T15W kann ich aufgrund der Routerkaskade nicht aufbauen. Klar, der VPN Client "sieht" das externe Interface der Watchgard durch das NAT auf der Fritzbox nicht.

Den Beitrag von Aqui IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten habe ich gelesen.

Gibt es einen Kniff, mit dem jetzigen Aufbau einen VPN SSL oder IPSec herzustellen? Villeicht ein Port Forwarding auf Fritzbox Gastzugang?

Ein eigener Telekom Businessanschluss mit fester öffentlicher IP wird jetzt bestellt und die Watchguard dann mit einem Nur-Modem daran betrieben. Ich würde den MUVPN aber bis dahin schon gerne nutzen.

Vielen Dank für Eure Tipps und Hinweise dazu.

Content-ID: 446497

Url: https://administrator.de/contentid/446497

Ausgedruckt am: 04.12.2024 um 09:12 Uhr

Spirit-of-Eli
Lösung Spirit-of-Eli 02.05.2019 um 08:52:03 Uhr
Goto Top
Moin,

wenn ich mich recht erinnere unterstützt die Fritzbox kein Forwarding ins Gast Netz.

Da bleibt nur eine VPN Technologie welche eine Verbindung zu einem festen Punkt aufbaut.
Das sollte durch BOVPN möglich sein.

Gruß
Spirit
aqui
Lösung aqui 02.05.2019 aktualisiert um 17:41:48 Uhr
Goto Top
Klar, der VPN Client "sieht" das externe Interface der Watchgard durch das NAT auf der Fritzbox nicht.
Deshalb konfiguriert man ja bei den Clients auch die öffentliche IP Adresse der FritzBox, denn das ist ja das externe Interface was der Client "sieht" !
Scheitert aber dann letztlich daran das die Fritzbox kein Forwarding ins Gast Netz supportet. Ist eben ein billiger Consumer Router von dem man nicht allzuviel erwarten darf. face-sad
Technisch ginge das alles bei deinem Design aber die HW der FB bzw. deren Featureset spielt hier eben nicht mit. Mit einem richtigen Router wäre das ein Kinderspiel.
Gibt es einen Kniff, mit dem jetzigen Aufbau einen VPN SSL oder IPSec herzustellen?
Die Frage ist leider etwas unpräzise und oberflächlich gestellt. Generell braucht es keinen Kniff, denn du schreibst ja selber das du ein Site to Site VPN hinbekommen hast.
Das ist auch kein Wunder wenn die Caller Seite (Initiator) immer die FB mit dem Gastnetz ist, denn der Initiator öffnet so die NAT Ports in der FB Firewall. Deshalb klappt diese Richtung.
Bei einem Client Dialin auf diese Seite geht das dann natürlich nicht, denn das bleibt ohne Port Forwarding für die IPsec Ports an der davor liegenden FritzBox in der dortigen NAT Firewall gnadenlos hängen.
Einen Kniff gibt es ohne Port Forwading in so einem Kaskaden Design und auch noch mit einem restriktivem Gast Segment de facto dann nicht ! Ist so also nicht lösbar.
Schön wäre noch wenn man nochmal wüsste was diese ungebräuchlichen und kryptischen Abkürzungen BOVPN und MUVPN uns denn sagen sollen ??
Pjordorf
Lösung Pjordorf 02.05.2019 um 14:12:12 Uhr
Goto Top
Hallo,

Zitat von @aqui:
Schön wäre noch wenn man nochmal wüsste was diese ungebräuchlichen und kryptischen Abkürzungen BOVPN und MUVPN uns denn sagen sollen ??
Sind Watchguard eigene Abkürzungen bzw. TradeMarks. Nein, ich habe keine WatchGuard seit 15 Jahren mehr angefasst.
https://www.watchguard.com/training/vpn/73/MUVPN/muvpn.htm
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...

Gruß,
Peter
aqui
aqui 02.05.2019 aktualisiert um 17:40:37 Uhr
Goto Top
Sind Watchguard eigene Abkürzungen bzw. TradeMarks.
Deswegen versteht das auch kein normaler Netzwerker bzw. denkt das "MUVPN" dann was für den Kuhstall ist ! 🐄
Mit anderen Worten: Watchguard Marketing Buzzword Bullshit....
henni2008
henni2008 02.05.2019 um 17:33:23 Uhr
Goto Top
Prima, dann sage ich einmal Danke schön fürs Kommentieren und auch für die Inspriration : MUH-VPN finde ich auch klasse face-smile

Viele Grüße, Henni
nmueller
nmueller 02.02.2022 aktualisiert um 14:17:04 Uhr
Goto Top
Moin zusammen,

ich würde gern diesen alten Thread mal wieder rauskramen...
Habe ein ähnliches Problem, nur nicht mit dem Gastnetz sondern dem normalen Netz der Fritzbox.

Internet <-> Fritzbox (feste öffentliche IP) -> Watchguard am Exposed Host der Fritzbox.

Clients kommen trotzdem nur bis zur Fritzbox.
Müsste diese nicht an den Exposed Host alles weiterleiten oder müssen hierfür dennoch Port Forwardings eingerichtet werden, und wenn ja, welche für IKEv2 & SSL-VPN ?

Danke schon mal für's Erleuchten face-smile
aqui
aqui 02.02.2022 um 18:11:36 Uhr
Goto Top
Müsste diese nicht an den Exposed Host alles weiterleiten
Nur das was nicht schon vorher per Port Forwarding eingerichtet wurde !!
Alles Wissenswerte zu dem Thema solcher Router Kaskaden findest du HIER.
henni2008
henni2008 02.02.2022 um 18:31:35 Uhr
Goto Top
Moin, steht die Watchguard als Exposed Host hinter der Fritzbox (nicht im Gäste-Netz), funktionieren IPSEC und SSL-VPN. Besser wäre, die Fritzbox gegen ein Modem zu ersetzen (Zyxel, Draytec, etc). Die Fritzbox kann auch, wenn sie z.B als Telefonanlage dienen soll, per SNAT hinter der Watchguard betrieben werden.

Viele Grüße, Henni
nmueller
nmueller 02.02.2022 um 19:11:09 Uhr
Goto Top
Moin, Problem gelöst.

Mein Weg war eigentlich schon der Richtige - wenn in der Fritzbox VPN und MyFritz deaktiviert sind werden die VPN Verbindungen auch ohne die ganzen Portweiterleitungen an die Watchguard weitergegeben.
Es genügt der Exposed Host - oder wenn der nicht benötigt wird eben nur die besagten Portweiterleitungen 500/4500/1701/ESP...

Ich hatte mich nur mittlerweile bei der Konfiguration und diversen Tests so verzettelt das ich irgendwann die Änderungen die ich im Konfigurationsmanager der Watchguard vorgenommen hatte nicht mehr an das Device zurückgeschrieben hatte 8-(
Nachdem ich das dann getan hatte kam eine andere Fehlermeldung die mich dann zu folgendem Link brachte der beschreibt das Microsoft mit dem Januar Patchday einen Bug ausgeliefert hat :

Patchday Bug

Nachdem KB5009543 deinstalliert war lief die VPN Verbindung dann sofort.

Grüße
Norbert
aqui
aqui 03.02.2022 um 09:27:30 Uhr
Goto Top
Nicht nur das ging bei Microsoft im Januar in die Hose sondern auch deren VPN:
L2TP-IPSec Problem nach CU2022-01 (KB5009543)
Der KB5010793 Patch ist also mindestens genauso wichtig !!