Sophos UTM VPN zu FritzBox Subnetz hinter Fritzbox

Hallo zusammen,

ich habe eine Site to Site VPN Verbindung von einer Sophos UTM zu eine Fritzbox. Diese funktioniert auch ohne Probleme. An der Fritzbox hängt eine OPNSense mit einem eigenen Subnetz. Auf das Netzt der OPNSense kann ich leider per VPN nicht zugreifen. Kann mir vielleicht jemand helfen?

Danke im vorraus!

Content-Key: 1513390809

Url: https://administrator.de/contentid/1513390809

Ausgedruckt am: 27.11.2021 um 08:11 Uhr

Mitglied: hacktor
hacktor 16.11.2021 aktualisiert um 10:58:15 Uhr
Goto Top
Auf der Fritte zu allererst eine statische Route für das Netz der OPNSense anlegen die auf die OPNSense als Gateway zeigt. Wenn die OPNSense mit Ihrem WAN-Port am Netz der FB hängt dann auf der OPNSense sicherstellen das das SRCNAT (Masquerading) am WAN Port deaktiviert ist, da man ansonsten durch das SRCNAT am WAN Port-Forwarding für den Zugriff auf einzelne Stationen benötigen würde. Dann das VPN-Profil der Fritte manuell anpassen. Dazu die Konfiguration der Box in eine Datei exportieren, daraus das VPN Profil raus kopieren und die accesslist um das Netz erweitern das hinter der OPNSense liegt
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/229_Mit-FRITZ ...
Die Config dann erneut in die Box importieren.
Auf der UTM dann sicherstellen das das zusätzliche Remote-Netz in den Phase2 Policies hinterlegt ist.
Und natürlich muss die Firewall in der OPNSense den Traffic aus dem fremden Subnetz auch erlauben.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.11.2021 aktualisiert um 11:09:23 Uhr
Goto Top
Zitat von @saschawi82:

Hallo zusammen,

ich habe eine Site to Site VPN Verbindung von einer Sophos UTM zu eine Fritzbox. Diese funktioniert auch ohne Probleme. An der Fritzbox hängt eine OPNSense mit einem eigenen Subnetz. Auf das Netzt der OPNSense kann ich leider per VPN nicht zugreifen. Kann mir vielleicht jemand helfen?

Moin,

Du mußt die entsprechenden statische Routen in der Fritzbox, in der Sophos und auch in der OPNSense eintragen. Und dafür sorgen, daß die Netze der opnsense auch in den Tunnel geroutet werden.

lks
Mitglied: saschawi82
saschawi82 16.11.2021 um 11:11:27 Uhr
Goto Top
Die statische Route auf der Fritte ist bereits angelegt. Wegen dem SRCNAT muss ich schauen, ob das deaktiviert ist.
In der accesslist habe ich das Netzt auch schon eingetragen.

Bei der UTM muss ich dann unter dem Remote Gateway das OPNSense Netz noch eintragen? Sonst kann ich das nirgendwo machen.
Mitglied: hacktor
hacktor 16.11.2021 aktualisiert um 11:44:18 Uhr
Goto Top
Zitat von @saschawi82:
Bei der UTM muss ich dann unter dem Remote Gateway das OPNSense Netz noch eintragen? Sonst kann ich das nirgendwo machen.
Das muss in die Remote-Netze des GW Eintrags der VPN Verbindung (Phase2 Policies)

screenshot

Des weiteren musst du natürlich auch sicherstellen das die Clients hinter der OPNSense auch Traffic aus dem fremden Subnetz annehmen denn per Default blockiert die Windows-Firewall bspw. ICMP oder SMB Anfragen aus fremden Subnetzen!
Mitglied: saschawi82
saschawi82 16.11.2021 um 13:23:26 Uhr
Goto Top
Leider bekomme ich das nicht hin. Auf der Fritzbox der UTM und der OPNSense sind die jeweiligen Routen eingetragen.

Fritzbox 192.168.178.0/24 statische Route auf 192.168.100.0/24 --> 192.168.178.5 (WAN der OPNSense)

UTM 192.168.0.0/24 statische Route 192.168.100.0/24 auf 192.168.178.5 (WAN OPNSense)
Remote Netz 192.168.100.0/24 ist im Gateway ist eingetragen.

OPNSENSE WAN 192.168.178.5 Lokal 192.168.100.0/24 statische Route 192.168.0.0/24 auf 192.168.178.1
Mitglied: NordicMike
NordicMike 16.11.2021 um 13:51:11 Uhr
Goto Top
Wie wäre es, wenn du das grottige VPN der Fritzbox weg lässt? Leite den VPN Port zum OPNsense durch und lass den OPNsense den ganze VPN Server spielen, da hast du deutlich mehr Kontrolle und konfigurationsmöglichkeiten, und eine zentrale Verwaltung.
Mitglied: hacktor
hacktor 16.11.2021 aktualisiert um 14:02:23 Uhr
Goto Top
Zitat von @saschawi82:

Leider bekomme ich das nicht hin. Auf der Fritzbox der UTM und der OPNSense sind die jeweiligen Routen eingetragen.

Fritzbox 192.168.178.0/24 statische Route auf 192.168.100.0/24 --> 192.168.178.5 (WAN der OPNSense)
OK korrekt.
UTM 192.168.0.0/24 statische Route 192.168.100.0/24 auf 192.168.178.5 (WAN OPNSense)
Blödsinn! Die VPN Policies werden auf der UTM automatisch als Routen zur Fritzbox eingetragen und somit kennt diese eine Route zum Netz der OPNSense.
Remote Netz 192.168.100.0/24 ist im Gateway ist eingetragen.
OK.
OPNSENSE WAN 192.168.178.5 Lokal 192.168.100.0/24 statische Route 192.168.0.0/24 auf 192.168.178.1
Blödsinn. Die OPNSense hat die Fritte als Default GW und leitet somit eh alle Anfragen an Netze die es nicht selbst kennt an die Fritte und diese kennt wiederum das Netz der UTM welches durch die Policy durch den Tunnel geht.


Leider bekomme ich das nicht hin
Dann ist deine Accesslist auf der Fritte falsch
Mitglied: saschawi82
saschawi82 16.11.2021 um 14:10:38 Uhr
Goto Top
In der Accesslist steht folgendes:

accesslist = "permit ip any 192.168.0.0 255.255.255.0",
"permit ip any 192.168.100.0 255.255.255.0";
Mitglied: hacktor
hacktor 16.11.2021 aktualisiert um 15:17:55 Uhr
Goto Top
Zitat von @saschawi82:

In der Accesslist steht folgendes:

accesslist = "permit ip any 192.168.0.0 255.255.255.0",
"permit ip any 192.168.100.0 255.255.255.0";

Falsch. Hier gehören nur die Remote-Netze rein nicht die für die Fritte lokal über die Route erreichbaren. Das erstere Eintrag ja erlaubt schon den Zugriff vom UTM Netz auf alles andere.
Mitglied: saschawi82
saschawi82 16.11.2021 um 15:17:51 Uhr
Goto Top
Achso ok, also muss die nur so sein:

accesslist = "permit ip any 192.168.0.0 255.255.255.0";
Mitglied: hacktor
hacktor 16.11.2021 aktualisiert um 15:20:15 Uhr
Goto Top
Ja. Wenn du der Remote-Seite auch sämtliche SAs erlauben willst.

Willst du das weiter einschränken was die Remote-Seite an SAs erstellen darf dann sähe das so aus um nur den Zugriff auf das Fritzbox-Netz und das OPNSense Netz zu erlauben

Mitglied: aqui
aqui 16.11.2021 aktualisiert um 17:53:31 Uhr
Goto Top
Steht ja auch alles haarklein auf der oben zitierten AVM Lösungsseite:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Wenn man es nicht für nötig erachtet diese Tips wenigstens einmal zu lesen und zu verstehen muss man sich ja nicht wundern das es schiefgeht... ;-) face-wink
Statt mit 2 SA Einträgen könnte man es auch etwas intelligender machen mit einem und einer größeren Subnetzmaske die beide Netze inkludieren würde. Dafür ist allerdings das Subnetting mit .100.0 /24 und .178.0 /24 zu unintellligent gewählt. :-( face-sad
Aber mit 2 separaten klappt es ja auch. Der folgende Thread beschreibt diese Thematik und die Lösung bei einer FB:
https://administrator.de/forum/pfsense-fritzboxen-verbinden-543936.html
Mitglied: aqui
aqui 25.11.2021 um 18:03:07 Uhr
Goto Top
Wenn's das denn nun war bitte nicht vergessen den Thread dann auch als erledigt zu setzen:
https://administrator.de/faq/32
Heiß diskutierte Beiträge
question
Installationsproblem Office 2021 - alle Links öffnen Edge! gelöst SarekHLVor 1 TagFrageMicrosoft Office14 Kommentare

Hallo zusammen, ich habe gerade Office 2021 auf einem Notebook installiert und habe ein seltsames Phänomen! Die Verknüpfungen zu den Office-Programmen führen allesamt zu Edge! ...

question
Umzug von Hyper-V zu VMware und erneute Aktivierung von Windowspianoman82Vor 1 TagFrageWindows Server11 Kommentare

Hallo! Ich habe eine Frage im Hinblick auf Windows-Aktivierung da mir hier aktuell der Ansatz fehlt. Es geht um die Migration von diversen Windows Server ...

question
VPN Tunnel inkonsistent? gelöst NespressoVor 1 TagFrageNetzwerkprotokolle4 Kommentare

Hallo zusammen, das Thema VPN ist bei mir recht neu, doch habe ich es hinbekommen den Windows Server 2016 eigenen VPN dienst zu konfigurieren und ...

question
WSUS Problem mit Office + ExplorerfrenchfriesguyVor 1 TagFrageWindows Update7 Kommentare

Hallo zusammen ich/wir haben folgendes Problem mit einem Teil unseres Windows-Clients (W10E, 20H2) in Verbindung mit den Windows Updates. Die Updates werden über einen WSUS-Server ...

question
Eigener Server für Groupware und Nextcloudjonny-flashVor 1 TagFrageE-Mail5 Kommentare

Hallo zusammen, ich darf für ein kleines Startup temporär die Administration übernehmen, und habe bevor es los geht ein paar Fragen, die ich hier gern ...

question
VPN- 2 Sicherheitsfunktionen gelöst TekamolosVor 1 TagFrageVerschlüsselung & Zertifikate3 Kommentare

Hallo Jungs, beim Lernen habe ich diese Frage bekommen, da es im Internet sehr viel über VPN und viel Text und Protokolle gibt, war ich ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 22 StundenFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 15 StundenFrageNetzwerkmanagement6 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...