Sonicwall VPN durch Fritzbox 7050

philmacfly
Goto Top
Hi Administratoren

Ich habe folgendes Problem, und zwar habe ich hier folgende Konstellation:
Internet --> Fritzbox --> Sonicwall --> Clients & Server
Jetzt will ich von außerhalb auf das Interne Netz er VPN zugreifen.
Dies wollte ich über das in die Sonicwall einprogrammierte VPN lösen, doch leider blockiert
die Fritzbox, anscheinend, die Verbindung.
Daten:
Fritzbox Fon Wlan 7050
Sonicwall PRO 230
Clients OS: Windows XP
Hat jemand einen Lösung Vorschlag?

Content-Key: 122259

Url: https://administrator.de/contentid/122259

Ausgedruckt am: 15.08.2022 um 00:08 Uhr

Mitglied: education
education 07.08.2009 um 13:05:46 Uhr
Goto Top
firewall von der fritzbox schon mal ausgemacht bzw die ports eingestellt für die vpn

standartgemäs blockt fritzbox alles was von Inet kommt ( da dein inet schon zwischen fitzbox und sonicwall beginnt nimmt die box an das es inet ist)
Mitglied: tobi83
tobi83 07.08.2009 um 13:05:58 Uhr
Goto Top
Läft die FritzBox als Modem oder noch als Router? Falls sie noch als Router läuft solltest du mal die Ports weiterleiten.
Mitglied: PhilmacFLy
PhilmacFLy 07.08.2009 um 13:07:55 Uhr
Goto Top
Also ich hab sie veruscht auszumachen aber ich hab nix gefunden wo ich sie ausmachen kann. Und das mit den ports hab ch auch probiert aber das hat euch nicht hingehaun.
Nur zur Sicherheit welche wären das denn?
Und die Fritzbox läuft als Router
Mitglied: aqui
aqui 07.08.2009, aktualisiert am 18.10.2012 um 18:38:58 Uhr
Goto Top
Wenn es möglich ist die FB im sog. PPPoE Passthrough Modus als reines Modem zu betreiben existiert dein Problem gar nicht erst, da die Sonicwall dann der Internet Zugang ist.
Technisch gesehen ist das zweifelsohne die allerbeste Lösung !

OK, wenn die FB als Router arbeitet ist es klar und logisch das die FB den Zugang von aussen blockt da sie, wie du ja vermutlich selber weisst, eine NAT (Adress Translation) Firewall betreibt die du mit einem Port Weiterleitungs Eintrag für dein VPN logischerweise erst überwinden musst !

Leider teilst du uns ja intelligenterweise nicht mit WELCHES VPN Protokoll denn deine Sonicwall verwendet und so zwingst du uns leider wie so oft zum Raten so das eine qualifizierte Hilfe sehr schwer ist. face-sad
Wenn dir aber Raten reicht, dann raten wir mal das die Sonicwall vermutlich IPsec im ESP Modus als VPN Protokoll verwendet.

Dann musst du auf der FB die Ports:
UDP 500 (IKE)
ESP Protokoll (Protokoll Nummer 50, NICHT TCP oder UDP 50 !)
an die lokale IP der Sonicwall forwarden !

Wenn wir mal weiterraten könnte es noch PPTP als VPN Protokoll sein, dann musst du
TCP 1723
GRE Protokoll (Protokoll Nummer 47, NICHT TCP oder UDP 47 )
an die lokale IP der Sonicwall forwarden !
Siehe auch hier am Ende des Turorials:
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html

Es gibt natürlich noch weitere VPN Protokolle so das wir hier lustig weiterraten können aber da wäre es dann wohl besser DU klärst uns auch was du denn willst damit wir uns nicht die Finger wund schreiben... !!

Sonst bleibt dir ja immer noch die FB als VPN Server zu benutzen:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Mitglied: education
education 07.08.2009 um 13:21:34 Uhr
Goto Top
unter internet -> freigaben
Mitglied: PhilmacFLy
PhilmacFLy 07.08.2009 um 14:09:36 Uhr
Goto Top
Sry das mit dem VPN hatte ich ganz vergessen:
IPSec Keying Mode: IKE using pre-shared secret
Phase 1 Encryption/Authentication: 3DES & SHA1
Phase 2 Encryption/Authentication: Strong Encrypt and Authenticate ( ESP 3DES HMAC SHA1)

Was ich damit bezwecken will ist einen Außenstehenden Client ins Netz einzubinden, so das dieser Emails & Daten vom Server abholen kann.

BTW: das GRE und ESP eigene Protkolle sind weiss ich ;)
Mitglied: aqui
aqui 07.08.2009 um 16:48:00 Uhr
Goto Top
OK, das ist IPsec im ESP Modus wie du ja auch selber in deinem Post lesen kannst !
Und dann gilt damit das was oben beschrieben ist mit der Port Weiterleitung (UDP 500 und ESP mit der IP ProtNummer 50 !).

Damit funktioniert das sofort im Handumdrehen !!
Mitglied: PhilmacFLy
PhilmacFLy 08.08.2009 um 13:39:42 Uhr
Goto Top
Also ich hab die Ports jetzt so weitergeleitet wie du gesagt hast, aber ich bekomm folgende Meldung:

2009/08/08 13:36:20:311 Error 91.9.90.150 The peer is not responding to phase 1 ISAKMP requests.
Mitglied: aqui
aqui 08.08.2009 um 13:53:15 Uhr
Goto Top
Dann stimmt was mit deinem Port Forwarding nicht bzw. dir sollte klar sein das die 91.9.90.150 dann die DSL IP auf der FB sein MUSS !!
Schalte mal einen Packet Sniffer wie den freien Wireshark in die LAN Verbindung zwischen deiner FB und der Sonicwall und kontrolliere einmal ob die FB wirklich den UDP 500 und den ESP Traffic forwardet auf die Sonicwall !

Damit kannst du auch gleichzeitig genau kontrollieren ob die Sonicwall überhaupt antwortet auf die (hoffentlich) eingehenden IPsec Packete des Clients und ob auf der Sonicwall alles richtig konfiguriert ist !?
Bedenke das auch auf der Client Seite sollte sich dieser hinter einem NAT Router befinden zwingend ein Port Forwarding auf die lokale Client IP erforderlich ist !!

Im Zweifelsfall solltest du also immer erstmal den VPN Client HIER im Verbindungsnetz zw. FB und Sonicwall platzieren und ganz sicher verifizieren das der Client eine VPN Verbindung zur Sonicwall aufbauen kann.
Erst wenn das der Fall ist kannst du dir sicher sein das der fehler dann sicher nicht mehr an der Sonicwall liegt !!

Ein Log Auszug der Sonicwall bei eingehender VPN Session wäre ebenfalls sehr hilfreich hier !
Mitglied: PhilmacFLy
PhilmacFLy 08.08.2009 um 14:44:16 Uhr
Goto Top
Also wenn ich mit WirShark die Pakete an der FB abhöre kommt das, wenn ich die VPN Verbindung aktiviere:

15 109.930253 Sonic_18:30:31 Broadcast ARP Who has 192.168.0.1? Tell 192.168.0.108
Mitglied: aqui
aqui 08.08.2009 um 19:37:55 Uhr
Goto Top
Das ist ein stinknormaler ARP (Adress Resolution Protokoll).
Das hat mit IPsec und VPN rein gar nichts zu tun und zeigt eher das hier gar kein VPN Datenstrom ankommt.

Bedenke das du NICHT mit einem Switch sniffern darfst, denn der forwardet auf dem Snifferport logischerweise nur Broadcasts (wie z.B. das ARP)
Logischerweise musst du einen dummen Hub dazwischen haben um Packete zu sehen !
Siehe hier:

http://www.heise.de/netze/Fehler-erschnueffeln--/artikel/76929

Damit sollte dir dann die Problematik beim Sniffern hoffentlich klar sein, oder ??

Also HUB dazwischen !
Hast du mal versucht mit einem Testclient im FB Sonicwall Netz ein VPN zur Sonicwall aufzubauen um die Sonicwall VPN Verbindung zu checken ??
Mitglied: PhilmacFLy
PhilmacFLy 10.08.2009 um 15:51:13 Uhr
Goto Top
Also wenn ich von intern zu connecten versuch dann kommt das:

2009/08/10 15:45:32:322 Error <Default Gateway> Received invalid ID information from the peer. Cannot continue with phase 1. Please contact your network administrator.

Mit dem Hub konnt ich leider noch nicht ausprobiern weil ich erst mal einen auftriben muss.
Mitglied: aqui
aqui 10.08.2009 um 17:38:53 Uhr
Goto Top
Wenn du schon vom FB - Sonicwall Segment keine VPN Verbindung herstellen kannst, dann hast du ein generelles VPN Problem.
Ist ja klar, das es dann von Remote auch nicht klappen kann.

Das musst du erst in den Griff bekommen bevor du weitermachst...
Mitglied: PhilmacFLy
PhilmacFLy 11.08.2009 um 10:52:38 Uhr
Goto Top
Also von wenn ich an der sonicwall dran häng bekomm ich eine VPN Verbindung, aber wenn ich an der FB häng dann nicht. Wieder mit der Meldung: The peer is not responding to phase 1 ISAKMP requests
Mitglied: aqui
aqui 11.08.2009 um 19:58:51 Uhr
Goto Top
Mit an Sicherheit grenzender Wahrscheinlichkeit funktioniert dann das Port Forwarding nicht an der FB !

Wie gesagt das kannst du ganz einfach mit einem Wireshark Sniffertrace sehen am Eingangsport der Sonicwall.
Wenn dort keine IPsec und UDP 500 Pakete vom Client ankommen forwardet die FB diese Packete nicht an die IP der Sonicwall bzw. das Port Forwarding in der FB ist nicht korrekt konfiguriert !
Wie bereits oben bemerkt kannst du dir die korrekte FB Einstellung im PPTP Turorial ansehen mit dem Unterschied das bei dir die Ports
UDP 500 und
ESP (Protokoll nummer 50)
geforwardet werden müssen !!! (Nicht 1723 und GRE denn das ist PPTP und NICHT IPsec !!!)
Mitglied: PhilmacFLy
PhilmacFLy 13.08.2009 um 14:50:49 Uhr
Goto Top
Problem hat sich erledigt die Sonicwall hat dne geist aufgegeben -.-