Site to Site IPsec VPN mit Sophos SG und Fritzbox Cable Router zu weiterer Sophos SG

Mitglied: ITler7

ITler7 (Level 1) - Jetzt verbinden

10.10.2020, aktualisiert 15:05 Uhr, 337 Aufrufe, 5 Kommentare, 1 Danke

Hallo zusammen,

wir haben an unserem Hauptstandort seit einiger Zeit vom sekundären Internetprovider wieder eine Fritzbox als Router stehen und kein Gateway/Modem mehr.
Seither können wir zum Branch Office über diesen Provider keinen IPsec Site to Site VPN mehr herstellen.
Der Unterschied ist, dass die Sophos SG vorher den Internetzugang direkt hergestellt hat, bzw. die öffentliche IP direkt auf der Schnittstelle angelegt war.
Jetzt bei der Fritzbox als Router ist die Sophos SG nur noch ein Client im LAN mit privater IP-Adresse.

Beim primären Provider sind die öffentlichen IP-Adressen nach wie vor direkt in den Schnittstellen auf der SG angelegt.

Kann mir jemand erklären wie ich den VPN mit dem sekundären Provider auch wieder herstellen kann? Muss ich hier auch die Schnittstelle mit der public IP der Fritzbox anlegen oder denke ich da falsch?

P.S. die Sophos ist exposed Host auf der Fritzbox, so viel steht fest.

Edit: Im Netz fand ich nur Infos von VPN zwischen einer Sophos SG und einer Fritzbox am Branch Office. Das ist hier aber nicht der Fall, die Fritzbox ist der Router vor der Sophos SG und ich kann keinen VPN zu einer anderen Sophos SG herstellen, über den anderen Provider aber schon.
Mitglied: cykes
10.10.2020, aktualisiert um 19:09 Uhr
Nabend,

ist der sekundäre Provider zufällig Unitymedia bzw. jetzt Vodafone Kabel und die FritzBox eine 6591?
Wir haben viele Kunden, die gern im Homeoffice arbeiten möchten, aber mit obenstehender Kombination und FritzOS 7.13 lässt sich kein IPsec VPN-Tunnel nutzen. Ich habe schon alle erdenklichen Einstellungen getestet, aber es funktioniert reproduzierbar bei mehreren Kunden nicht. In Phase 2 bzw. bei den SA läuft irgendwas schief, der Tunnel ist nicht nutzbar und manchmal trennt er sich dann auch wieder nach einigen Minuten.

Wir haben auch die Anschlüsse teilweise auf Business Anschlüsse mit fester IP umstellen lassen, aber auch das hat keine Änderung bzw. Erfolg gebracht. Der Vodafone Business Support hat zuerst einer Kundin und dann auch mir erzählt: Sie hätte a) Den BESTEN (deutlich betont) Router auf dem Markt; b) den (sowieso) besten Provider/Anschluss und solle sich c) bei Problemen doch direkt an den AVM-Support wenden - außerdem könne das sowieso gar nicht sein, da sie ja nicht die einzige wäre die über einen Vodafone-Kabelanschluss für einen Homeoffice-ZUgang ein VPN aufbaut.

Komischerweise tritt das Problem bei ihr erst auf, seitdem Vodafone Unitymedia übernommen hatte und vor ca. 4-6 Monaten die alte FritzBox 6490 gegen die aktuelle 6591 getauscht wurde.

Nach einer Recherche habe ich u.a. folgende Diskussion im Vodafone-Forum gefunden: https://forum.vodafone.de/t5/St%C3%B6rungsmeldungen-Internet-TV/Kein-VPN ...

Da geht es zwar anfangs nicht um die FB 6591 (sondern um den Technicolor CGA4233de) und auschließlich um CableMax GBit Anschlüsse, aber im Verlauf wird auch die FritzBox erwähnt und auch andere Anschlüsse. Gegen Ende des Threads äußern sich die Vodafone-Mitarbeiter immer seltener und wenn nur oberflächlich.

Gruß

cykes

P.S. Wenn man mal im Vodafone Forum nach VPN (L2TP) IPSEC sucht kommen noch VIELE weitere Diskussionen zu Tage.
Bitte warten ..
Mitglied: the-buccaneer
10.10.2020 um 22:35 Uhr
Moinsen!

Ohne, dass du konkret deine Settings und Fehlermeldungen / Logfiles postest, wird man dir nur schwer helfen können...

Mal ins Blaue: Wie ist denn das Verhalten, wenn du als Identifier nicht mehr die externe IP nimmst, sondern etwas anderes? (Bei der PfSense wäre das "Key-Identifier" Sophos habe ich grad keine da...)

Geh halt systematisch vor, guck dir die Logs an und schaue WO die Verbindung scheitert.
Dann bekommst du hier in nullkommanix die Lösung. (Meistens jedenfalls)

VG
Buc
Bitte warten ..
Mitglied: aqui
11.10.2020, aktualisiert um 12:49 Uhr
Jetzt bei der Fritzbox als Router ist die Sophos SG nur noch ein Client im LAN mit privater IP-Adresse.
Das Problem ist das die FritzBox selber aktiver VPN Router ist. Die musst hier absolut sicherstellen das deren VPN Funktion deaktiviert ist ! User und evtl. VPN Konfig dort also vollständig entfernen.
Ferner musst du auch der FritzBox einen exposed Host definieren oder noch besser (da sicherer) nur die IPsec Schnittstellen auf die dahinter kaskadierte Sophos forwarden, damit an der FritzBox eingehende IPsec Frames auf die dahinterliegende Sophos weitergeleitet werden.
Die WAN IP der FritzBox ist dann für die remoten IPsec VPN Clients logischerweise die Ziel IP. NICHT die IP der Sophos im Koppelnetz natürlich !

Was du an so einem Router Kaskaden Design zu beachten hast erklärt dir dieses Tutorial im Detail. Wenn du das entsprechend genau so umsetzt kommt das auch sofort problemlos zum Fliegen !
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
In der Konfiguration hast du ganz sicher einen fehler gemacht.
Ansonsten wie oben schon gesagt: Logfiles posten !
Bitte warten ..
Mitglied: miduronic
11.10.2020 um 17:26 Uhr
Hi
Dumme Frage: Warum installierst Du nicht eine Sophos RED? Das ist das Beste, was Du machen kannst. Somit hast Du auch Dein Remote-Netz im Griff und vor allem die Sicherheit. Auch ist das WLAN (falls gewünscht) gemanagt.
Mit der RED ist es dann egal, welchen Provider dass Ihr Remote vervendet.

Gruss miduronic
Bitte warten ..
Mitglied: aqui
12.10.2020 um 09:14 Uhr
Wäre ja auch sinnfrei, denn es spielt ja keinerlei Rolle welchen VPN Router oder Firewall er nimmt. Da er ja statt eines reinen Kabelmodems immer einen Router davor hat mit der FritzBox.
Technisch gesehen wäre ein reines_Kabelmodem viel sinnvoller zu verwenden in seinem Falle aber er zieht es ja vor mit einem billigen Consumer Router davor zu arbeiten was dann logischerweise doppelte Firewall und doppeltes NAT erzwingt. Normal ein NoGo in einem Firmennetz. Allein dort schon Consumer Equipement einzusetzen. Aber nungut, das ist ja nicht das primäre Thema. Es geht natürlich auch mit der FritzBüx und doppeltem NAT wenn man dann eben die o.a. Vorgaben genau beachtet und die Konfig so anpasst.
Daran scheitert es vermutlich ja noich beim TO...?!
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Veeam - DCs restore - 0xc00002e2
gelöst Freak-On-SiliconFrageWindows Server22 Kommentare

Servus; Ich hab hier zwei Server 2012R2 DCs auf jeweils einem Hyper-V sitzen. Gesichert wird mit Veeam B&R. JA, ...

CPU, RAM, Mainboards
Hardwareanforderung für Remote Desktop
gelöst Diddi-tbFrageCPU, RAM, Mainboards12 Kommentare

Hallo zusammen, ich brauche mal wieder einen Rat von euch. Mein Chef möchte gerne öfter von zu Hause aus ...

Multimedia & Zubehör
Anforderungen an Telefonanlage
jensgebkenFrageMultimedia & Zubehör10 Kommentare

Hallo Gemeinschaft, bin auf der Suche nach einer Telefonanlage die folgendes können muss: - unterschiedliche Ansagen (z.b. während der ...

LAN, WAN, Wireless
Studentenwohnheim LAN Anschluss mit Router verbinden
SchweisserFrageLAN, WAN, Wireless8 Kommentare

Hallo Leute, ich habe zu dem Thema schon einige Beiträge gelesen, konnte aber für meinen Fall bisher keine funktionierende ...

Humor (lol)
Wir werden alt
Dilbert-MDFrageHumor (lol)7 Kommentare

Themenbereich OT Neulich bei einem IT-Problem: Ein IT-Problem ist kein Problem, wenn man die richtigen Suchbegriffe und Fachwörter in ...

DNS
DNS in AD und pfSense - pfBlockerNG Listen werden nicht beruecksichtigt
DerDummePeterFrageDNS7 Kommentare

Moin, ich bin der Peter und hab mich hier nun doch angemeldet. Ich habe mit IT ueberhaupt nix zu ...

Ähnliche Inhalte
Firewall

IPSEC zwischen Watchguard XTM3xx und Sophos UTM SG 9.6

GlobetrotterFrageFirewall6 Kommentare

Moin Hat jemand von Euch schon solch ein Tunnel realisiert ? Habe im Netz geguckt aber ausser abgebrochene Forenbeiträge ...

LAN, WAN, Wireless

VPN - FritzBox zu Sophos UTM

Jannis92FrageLAN, WAN, Wireless5 Kommentare

Hallo Zusammen, ich möchte gerne eine Site-To-Site Verbindung von einer FritzBox zu unserer Sophos UTM aufbauen. Mit der entsprechenden ...

Firewall

Sophos UTM 9 SG-115

gelöst OSelbeckFrageFirewall3 Kommentare

Finde irgenwie nüscht bei Dr. Google Also, neuer Kunde, Sophos UTM9, Lizenz abgelaufen Gibt es diese Lizenz nur bei ...

Router & Routing

IPSEC Site2Site VPN zwischen 2 Sophos UTMs

gelöst Leo-leFrageRouter & Routing11 Kommentare

Hallo zusammen, Testweise habe ich mich daran versucht, 2 Sophos UTMs per IPsec miteinander zu verbinden. Die Hürde dabei ...

Firewall

Sophos SG 125 nicht mehr erreichbar

GwaihirFrageFirewall17 Kommentare

Hallo zusammen, ausgerechnet über die Feiertage stimmt etwas mit meiner Firmen-Firewall nicht. Es ist eine Sophos SG 125 und ...

Router & Routing

Sophos XG VPN IPSec und Site 2 Site

ITAllrounderFrageRouter & Routing3 Kommentare

Guten Morgen zusammen, ich bin mit meinem Netzwerk Latein aktuell leider am Ende und kann vor lauter IP Subnetzen ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT