sunny89
Goto Top

Sophos hinter Fritzbox VPN

Hallo zusammen,

ich habe leider ein kleines Problem und sehe den Wald vor lauter Bäumen nicht mehr 😒

Habe leider das Setting das ich eine FritzBox als Zugang zum Netz habe. Auf dieser läuft die Telefonie und auch AB und Fax. Dahinter befindet sich eine Sophos XGS für VPN und auch Netzsegmentierung.

Hinter der FritzBox funktionieren die Netze der Sophos hervorragend und die Regeln und Richtlinien passen auch. Surfen ist möglich und es gibt auch keine Probleme bis auf jetzt 🤣

Nun muss die Sophos einen S2S-Tunnel aufbauen und es klappt einfach nicht. Das Gateway scheint nicht erreichbar zu sein. War schon am überlegen, ob ich die FritzBox nur als "Modem" hernehme und direkt die Sophos einwählen lasse. Das klappt eigentlich dann immer. Aber die Dienste sollen weiterlaufen daher hat man mir mitgeteilt das alles so bleiben soll von der Telefonie *augenroll*.

Hat jemand eine Idee an was es liegt das ich keine Verbindung bekomme? Habe auch schon die Sophos als Exposed Host eingetragen. Habe ich hier ne Route ect. übersehen?

Die WAN IP sind nur exemplarisch 😊

Für ne kurze Idee wäre ich total dankbar!
zeichnung2

Content-ID: 4128841678

Url: https://administrator.de/forum/sophos-hinter-fritzbox-vpn-4128841678.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

aqui
aqui 02.10.2022 aktualisiert um 15:34:46 Uhr
Goto Top
daher hat man mir mitgeteilt das alles so bleiben soll von der Telefonie *augenroll*.
Dem ist ja auch so. Du kannst doch ohne Probleme die FritzBox als lokale VoIP Telefonieanlage als simplen Client im lokalen LAN betreiben wie allgemein bekannt. Das befreit dich dann von dieser technisch schlechten Kaskaden Lösung OHNE das sich an der VoIP Telefonie nur irgendwas ändert!
So kann man sinnvollerweise mit einem reinen nur Modem (Zyxel VMG3006, Vigor 165/167 usw.) das Internet direkt und ohne Kaskade auf der Firewall terminieren wie es ja auch best Practise ist.

Was du machst ist eine klassische Router Kaskade mit doppeltem NAT und doppeltem Firewalling. Technisch immer die schlechteste Lösung, klappt aber mit Klimmzügen auch wenn man mit den Nachteilen so eines Konstruktes leben will und kann.

Der o.a. Kaskaden Link beschreibt alle wichtigen ToDos die für eine VPN Kopplung auf eine hinter der FB kaskadierte Firewall o. Router erforderlich sind.
Dein Port Forwarding Setup ist zudem fehlerhaft weil dort das ESP Protokoll (Prot. Nr.50) fehlt, das die VPN Tunneldaten transportiert. Deshalb kann es per se schonmal nicht klappen!

Zusätzlich wichtig ist hier, da die FB ja auch ein aktiver VPN Router ist, das dort alle VPN Funktionen und Usereinträge deaktiviert sind.
Ansonsten forwardet die FB keine IPsec Frames (UDP 500, 4500 und ESP Protokoll) an das dahinter kaskadierte Gerät weil sie "denkt" sie selber ist das IPsec Tunnelziel.
Vermutlich genau der Fehler den du in deinem Setup gemacht hast?!

Tip:
Schliesse, wie immer in so einem Troubleshooting Fall, statt der FW einmal testweise einen Rechner mit Wireshark Sniffer an die FritzBox mit gleicher IP wie die Firewall (Letztere temporär abziehen).
Dann initiierst du von außen einen IPsec VPN Verbindungsversuch und checkst mit dem Wireshark ob dort diese IPsec Frames von außen ankommen.
Wenn ja ist alles OK, dann wird IPsec Traffic von der FB richtig geforwardet.
Wenn nein blockiert die FB diese weil sie fälschlicherweise von IPsec Traffic für sie selber ausgeht denn das Site-2-Site Ziel ist ja immer die öffentliche WAN IP am Internet Port der FB.
Sunny89
Sunny89 02.10.2022 um 15:49:44 Uhr
Goto Top
Hallo aqui,

das ist echt voll nett von dir und ich sage schonmal Danke!

Der Tunnel ist nun aufgebaut. Es war tatsächlich so das hier noch eine VPN Einstellung der FritzBox aktiv war und hier scheins die Pakete verworfen hat 😊😊😊 Ich sage schonmal vielen vielen Dank.

Ich sitze zwar jetzt an einem anderen Problem in dem Netzwerk, aber hoffe ich kann das auch schnell lösen. Will hier niemanden zu sehr auf die Nerven gehen face-wink

Viele Grüße!
aqui
Lösung aqui 02.10.2022 aktualisiert um 16:16:59 Uhr
Goto Top
hier noch eine VPN Einstellung der FritzBox aktiv war
Wie vermutet...der Klassiker! 😉
Will hier niemanden zu sehr auf die Nerven gehen
Das tust du nicht. Wozu ist ein IT Forum denn sonst da?! 🤔

Wenns das denn nun war bitte dann auch nicht vergessen deinen Thread als erledigt zu schliessen!