Sophos hinter Fritzbox VPN
Hallo zusammen,
ich habe leider ein kleines Problem und sehe den Wald vor lauter Bäumen nicht mehr 😒
Habe leider das Setting das ich eine FritzBox als Zugang zum Netz habe. Auf dieser läuft die Telefonie und auch AB und Fax. Dahinter befindet sich eine Sophos XGS für VPN und auch Netzsegmentierung.
Hinter der FritzBox funktionieren die Netze der Sophos hervorragend und die Regeln und Richtlinien passen auch. Surfen ist möglich und es gibt auch keine Probleme bis auf jetzt 🤣
Nun muss die Sophos einen S2S-Tunnel aufbauen und es klappt einfach nicht. Das Gateway scheint nicht erreichbar zu sein. War schon am überlegen, ob ich die FritzBox nur als "Modem" hernehme und direkt die Sophos einwählen lasse. Das klappt eigentlich dann immer. Aber die Dienste sollen weiterlaufen daher hat man mir mitgeteilt das alles so bleiben soll von der Telefonie *augenroll*.
Hat jemand eine Idee an was es liegt das ich keine Verbindung bekomme? Habe auch schon die Sophos als Exposed Host eingetragen. Habe ich hier ne Route ect. übersehen?
Die WAN IP sind nur exemplarisch 😊
Für ne kurze Idee wäre ich total dankbar!
ich habe leider ein kleines Problem und sehe den Wald vor lauter Bäumen nicht mehr 😒
Habe leider das Setting das ich eine FritzBox als Zugang zum Netz habe. Auf dieser läuft die Telefonie und auch AB und Fax. Dahinter befindet sich eine Sophos XGS für VPN und auch Netzsegmentierung.
Hinter der FritzBox funktionieren die Netze der Sophos hervorragend und die Regeln und Richtlinien passen auch. Surfen ist möglich und es gibt auch keine Probleme bis auf jetzt 🤣
Nun muss die Sophos einen S2S-Tunnel aufbauen und es klappt einfach nicht. Das Gateway scheint nicht erreichbar zu sein. War schon am überlegen, ob ich die FritzBox nur als "Modem" hernehme und direkt die Sophos einwählen lasse. Das klappt eigentlich dann immer. Aber die Dienste sollen weiterlaufen daher hat man mir mitgeteilt das alles so bleiben soll von der Telefonie *augenroll*.
Hat jemand eine Idee an was es liegt das ich keine Verbindung bekomme? Habe auch schon die Sophos als Exposed Host eingetragen. Habe ich hier ne Route ect. übersehen?
Die WAN IP sind nur exemplarisch 😊
Für ne kurze Idee wäre ich total dankbar!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4128841678
Url: https://administrator.de/forum/sophos-hinter-fritzbox-vpn-4128841678.html
Ausgedruckt am: 23.12.2024 um 11:12 Uhr
3 Kommentare
Neuester Kommentar
daher hat man mir mitgeteilt das alles so bleiben soll von der Telefonie *augenroll*.
Dem ist ja auch so. Du kannst doch ohne Probleme die FritzBox als lokale VoIP Telefonieanlage als simplen Client im lokalen LAN betreiben wie allgemein bekannt. Das befreit dich dann von dieser technisch schlechten Kaskaden Lösung OHNE das sich an der VoIP Telefonie nur irgendwas ändert!So kann man sinnvollerweise mit einem reinen nur Modem (Zyxel VMG3006, Vigor 165/167 usw.) das Internet direkt und ohne Kaskade auf der Firewall terminieren wie es ja auch best Practise ist.
Was du machst ist eine klassische Router Kaskade mit doppeltem NAT und doppeltem Firewalling. Technisch immer die schlechteste Lösung, klappt aber mit Klimmzügen auch wenn man mit den Nachteilen so eines Konstruktes leben will und kann.
Der o.a. Kaskaden Link beschreibt alle wichtigen ToDos die für eine VPN Kopplung auf eine hinter der FB kaskadierte Firewall o. Router erforderlich sind.
Dein Port Forwarding Setup ist zudem fehlerhaft weil dort das ESP Protokoll (Prot. Nr.50) fehlt, das die VPN Tunneldaten transportiert. Deshalb kann es per se schonmal nicht klappen!
Zusätzlich wichtig ist hier, da die FB ja auch ein aktiver VPN Router ist, das dort alle VPN Funktionen und Usereinträge deaktiviert sind.
Ansonsten forwardet die FB keine IPsec Frames (UDP 500, 4500 und ESP Protokoll) an das dahinter kaskadierte Gerät weil sie "denkt" sie selber ist das IPsec Tunnelziel.
Vermutlich genau der Fehler den du in deinem Setup gemacht hast?!
Tip:
Schliesse, wie immer in so einem Troubleshooting Fall, statt der FW einmal testweise einen Rechner mit Wireshark Sniffer an die FritzBox mit gleicher IP wie die Firewall (Letztere temporär abziehen).
Dann initiierst du von außen einen IPsec VPN Verbindungsversuch und checkst mit dem Wireshark ob dort diese IPsec Frames von außen ankommen.
Wenn ja ist alles OK, dann wird IPsec Traffic von der FB richtig geforwardet.
Wenn nein blockiert die FB diese weil sie fälschlicherweise von IPsec Traffic für sie selber ausgeht denn das Site-2-Site Ziel ist ja immer die öffentliche WAN IP am Internet Port der FB.
hier noch eine VPN Einstellung der FritzBox aktiv war
Wie vermutet...der Klassiker! 😉Will hier niemanden zu sehr auf die Nerven gehen
Das tust du nicht. Wozu ist ein IT Forum denn sonst da?! 🤔Wenns das denn nun war bitte dann auch nicht vergessen deinen Thread als erledigt zu schliessen!