saschawi82
Goto Top

Sophos UTM VPN zu FritzBox Subnetz hinter Fritzbox

Hallo zusammen,

ich habe eine Site to Site VPN Verbindung von einer Sophos UTM zu eine Fritzbox. Diese funktioniert auch ohne Probleme. An der Fritzbox hängt eine OPNSense mit einem eigenen Subnetz. Auf das Netzt der OPNSense kann ich leider per VPN nicht zugreifen. Kann mir vielleicht jemand helfen?

Danke im vorraus!

Content-ID: 1513390809

Url: https://administrator.de/forum/sophos-utm-vpn-zu-fritzbox-subnetz-hinter-fritzbox-1513390809.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

149569
149569 16.11.2021 aktualisiert um 10:58:15 Uhr
Goto Top
Auf der Fritte zu allererst eine statische Route für das Netz der OPNSense anlegen die auf die OPNSense als Gateway zeigt. Wenn die OPNSense mit Ihrem WAN-Port am Netz der FB hängt dann auf der OPNSense sicherstellen das das SRCNAT (Masquerading) am WAN Port deaktiviert ist, da man ansonsten durch das SRCNAT am WAN Port-Forwarding für den Zugriff auf einzelne Stationen benötigen würde. Dann das VPN-Profil der Fritte manuell anpassen. Dazu die Konfiguration der Box in eine Datei exportieren, daraus das VPN Profil raus kopieren und die accesslist um das Netz erweitern das hinter der OPNSense liegt
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/229_Mit-FRITZ ...
Die Config dann erneut in die Box importieren.
Auf der UTM dann sicherstellen das das zusätzliche Remote-Netz in den Phase2 Policies hinterlegt ist.
Und natürlich muss die Firewall in der OPNSense den Traffic aus dem fremden Subnetz auch erlauben.
Lochkartenstanzer
Lochkartenstanzer 16.11.2021 aktualisiert um 11:09:23 Uhr
Goto Top
Zitat von @saschawi82:

Hallo zusammen,

ich habe eine Site to Site VPN Verbindung von einer Sophos UTM zu eine Fritzbox. Diese funktioniert auch ohne Probleme. An der Fritzbox hängt eine OPNSense mit einem eigenen Subnetz. Auf das Netzt der OPNSense kann ich leider per VPN nicht zugreifen. Kann mir vielleicht jemand helfen?

Moin,

Du mußt die entsprechenden statische Routen in der Fritzbox, in der Sophos und auch in der OPNSense eintragen. Und dafür sorgen, daß die Netze der opnsense auch in den Tunnel geroutet werden.

lks
saschawi82
saschawi82 16.11.2021 um 11:11:27 Uhr
Goto Top
Die statische Route auf der Fritte ist bereits angelegt. Wegen dem SRCNAT muss ich schauen, ob das deaktiviert ist.
In der accesslist habe ich das Netzt auch schon eingetragen.

Bei der UTM muss ich dann unter dem Remote Gateway das OPNSense Netz noch eintragen? Sonst kann ich das nirgendwo machen.
149569
149569 16.11.2021 aktualisiert um 11:44:18 Uhr
Goto Top
Zitat von @saschawi82:
Bei der UTM muss ich dann unter dem Remote Gateway das OPNSense Netz noch eintragen? Sonst kann ich das nirgendwo machen.
Das muss in die Remote-Netze des GW Eintrags der VPN Verbindung (Phase2 Policies)

screenshot

Des weiteren musst du natürlich auch sicherstellen das die Clients hinter der OPNSense auch Traffic aus dem fremden Subnetz annehmen denn per Default blockiert die Windows-Firewall bspw. ICMP oder SMB Anfragen aus fremden Subnetzen!
saschawi82
saschawi82 16.11.2021 um 13:23:26 Uhr
Goto Top
Leider bekomme ich das nicht hin. Auf der Fritzbox der UTM und der OPNSense sind die jeweiligen Routen eingetragen.

Fritzbox 192.168.178.0/24 statische Route auf 192.168.100.0/24 --> 192.168.178.5 (WAN der OPNSense)

UTM 192.168.0.0/24 statische Route 192.168.100.0/24 auf 192.168.178.5 (WAN OPNSense)
Remote Netz 192.168.100.0/24 ist im Gateway ist eingetragen.

OPNSENSE WAN 192.168.178.5 Lokal 192.168.100.0/24 statische Route 192.168.0.0/24 auf 192.168.178.1
NordicMike
NordicMike 16.11.2021 um 13:51:11 Uhr
Goto Top
Wie wäre es, wenn du das grottige VPN der Fritzbox weg lässt? Leite den VPN Port zum OPNsense durch und lass den OPNsense den ganze VPN Server spielen, da hast du deutlich mehr Kontrolle und konfigurationsmöglichkeiten, und eine zentrale Verwaltung.
149569
149569 16.11.2021 aktualisiert um 14:02:23 Uhr
Goto Top
Zitat von @saschawi82:

Leider bekomme ich das nicht hin. Auf der Fritzbox der UTM und der OPNSense sind die jeweiligen Routen eingetragen.

Fritzbox 192.168.178.0/24 statische Route auf 192.168.100.0/24 --> 192.168.178.5 (WAN der OPNSense)
OK korrekt.
UTM 192.168.0.0/24 statische Route 192.168.100.0/24 auf 192.168.178.5 (WAN OPNSense)
Blödsinn! Die VPN Policies werden auf der UTM automatisch als Routen zur Fritzbox eingetragen und somit kennt diese eine Route zum Netz der OPNSense.
Remote Netz 192.168.100.0/24 ist im Gateway ist eingetragen.
OK.
OPNSENSE WAN 192.168.178.5 Lokal 192.168.100.0/24 statische Route 192.168.0.0/24 auf 192.168.178.1
Blödsinn. Die OPNSense hat die Fritte als Default GW und leitet somit eh alle Anfragen an Netze die es nicht selbst kennt an die Fritte und diese kennt wiederum das Netz der UTM welches durch die Policy durch den Tunnel geht.


Leider bekomme ich das nicht hin
Dann ist deine Accesslist auf der Fritte falsch
saschawi82
saschawi82 16.11.2021 um 14:10:38 Uhr
Goto Top
In der Accesslist steht folgendes:

accesslist = "permit ip any 192.168.0.0 255.255.255.0",
"permit ip any 192.168.100.0 255.255.255.0";
149569
149569 16.11.2021 aktualisiert um 15:17:55 Uhr
Goto Top
Zitat von @saschawi82:

In der Accesslist steht folgendes:

accesslist = "permit ip any 192.168.0.0 255.255.255.0",
"permit ip any 192.168.100.0 255.255.255.0";

Falsch. Hier gehören nur die Remote-Netze rein nicht die für die Fritte lokal über die Route erreichbaren. Das erstere Eintrag ja erlaubt schon den Zugriff vom UTM Netz auf alles andere.
saschawi82
saschawi82 16.11.2021 um 15:17:51 Uhr
Goto Top
Achso ok, also muss die nur so sein:

accesslist = "permit ip any 192.168.0.0 255.255.255.0";
149569
149569 16.11.2021 aktualisiert um 15:20:15 Uhr
Goto Top
Ja. Wenn du der Remote-Seite auch sämtliche SAs erlauben willst.

Willst du das weiter einschränken was die Remote-Seite an SAs erstellen darf dann sähe das so aus um nur den Zugriff auf das Fritzbox-Netz und das OPNSense Netz zu erlauben
accesslist = "permit ip 192.168.100.0 255.255.255.0 192.168.0.0 255.255.255.0",  
             "permit ip 192.168.178.0 255.255.255.0 192.168.0.0 255.255.255.0";  
aqui
aqui 16.11.2021 aktualisiert um 17:53:31 Uhr
Goto Top
Steht ja auch alles haarklein auf der oben zitierten AVM Lösungsseite:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Wenn man es nicht für nötig erachtet diese Tips wenigstens einmal zu lesen und zu verstehen muss man sich ja nicht wundern das es schiefgeht... face-wink
Statt mit 2 SA Einträgen könnte man es auch etwas intelligender machen mit einem und einer größeren Subnetzmaske die beide Netze inkludieren würde. Dafür ist allerdings das Subnetting mit .100.0 /24 und .178.0 /24 zu unintellligent gewählt. face-sad
Aber mit 2 separaten klappt es ja auch. Der folgende Thread beschreibt diese Thematik und die Lösung bei einer FB:
PFSense mit Fritzboxen verbinden
aqui
aqui 25.11.2021 um 18:03:07 Uhr
Goto Top
Wenn's das denn nun war bitte nicht vergessen den Thread dann auch als erledigt zu setzen:
Wie kann ich einen Beitrag als gelöst markieren?