Telekom Digitalisierungsbox mit WatchGuard Firewall
Hallo,
folgendes Problem besteht im Moment und vielleicht hat einer diese Konfiguration bereits erfolgreich installiert bekommen.
Telekom Digitalisierungsbox Smart stellt die Internetverbindung sowie die Telefonie her. (Funktioniert ohne Probleme)
Die WatchGuard Firewall T50W hängt am LAN1 Port und soll das Unternehmens-Netzwerk abbilden.
Nun bin ich nach der Anleitung der Telekom (s. folgender Link: https://www.telekom.de/hilfe/downloads/konfigurationsanleitung-exposed-h ..)
vorgegangen und habe alle Parameter so angepasst.
IP Adresse Telekom Box Smart: 192.168.2.1
WatchGuard Firewall External Interface: 192.168.2.2
WatchGuard Firewall Trusted Netz: 10.10.10.0/24
WatchGuard Firewall Trusted IP Adresse: 10.10.10.254
Nach der kompletten Konfiguration (auch nach Anleitung der Telekom) kann ich aus dem Firmen-Netzwerk komplett ins Internet.
Die statische IP Adresse der Telekom (wurde zugewiesen) lässt sich von extern nicht an pingen, somit ist auch kein IPSec über die WatchGuard Firewall möglich.
Eine Abfrage (www.wieistmeineip.de) von einem Server in dem Firmen Netzwerk (10.10.10.251) zeigt jedoch die richtige statische IP Adresse die seitens der Telekom zugewiesen wurde.
Mache ich hier etwas falsch, bzw. habe ich etwas vergessen?
Vielen Dank!
folgendes Problem besteht im Moment und vielleicht hat einer diese Konfiguration bereits erfolgreich installiert bekommen.
Telekom Digitalisierungsbox Smart stellt die Internetverbindung sowie die Telefonie her. (Funktioniert ohne Probleme)
Die WatchGuard Firewall T50W hängt am LAN1 Port und soll das Unternehmens-Netzwerk abbilden.
Nun bin ich nach der Anleitung der Telekom (s. folgender Link: https://www.telekom.de/hilfe/downloads/konfigurationsanleitung-exposed-h ..)
vorgegangen und habe alle Parameter so angepasst.
IP Adresse Telekom Box Smart: 192.168.2.1
WatchGuard Firewall External Interface: 192.168.2.2
WatchGuard Firewall Trusted Netz: 10.10.10.0/24
WatchGuard Firewall Trusted IP Adresse: 10.10.10.254
Nach der kompletten Konfiguration (auch nach Anleitung der Telekom) kann ich aus dem Firmen-Netzwerk komplett ins Internet.
Die statische IP Adresse der Telekom (wurde zugewiesen) lässt sich von extern nicht an pingen, somit ist auch kein IPSec über die WatchGuard Firewall möglich.
Eine Abfrage (www.wieistmeineip.de) von einem Server in dem Firmen Netzwerk (10.10.10.251) zeigt jedoch die richtige statische IP Adresse die seitens der Telekom zugewiesen wurde.
Mache ich hier etwas falsch, bzw. habe ich etwas vergessen?
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 321065
Url: https://administrator.de/forum/telekom-digitalisierungsbox-mit-watchguard-firewall-321065.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
12 Kommentare
Neuester Kommentar
lässt sich von extern nicht an pingen, somit ist auch kein IPSec über die WatchGuard Firewall möglich.
Das ist natürlich Blödsinn, denn das eine hat mit dem anderen nichts zu tun !Ping ist ICMP und auf Business Anschlüssen bzw. deren Router ist in der Regel ICMP aus Sicherheitsgründen geblockt um Port Scan Attacken und andere Angriffe wenigstens etwas zu minimieren.
IPsec aber nutzt UDP 500, 4500 und das ESP Protokoll, hat also mit ICMP (Ping) überhaupt nichts zu tun.
So oder so musst du aber zwingend auf dem Telelom Router diese 3 Ports bzw. 2 Protokolle auf die Watchguard per Port Forwarding weiterleiten ansonsten wird IPsec VPN auf der Watchguard eh nicht funktionieren.
Wo läuft denn hier ein doppel NAT?
Eins rennt auf alle Fälle auf dem Telekom Router, was man ja an der RFC 1918 IP Adresse an dessen LAN Segment erkennt.Ob NAT auch auf der Watchguard auf dem 192.168.2er Port aktiviert ist kann man nr raten, da du dazu nichts sagst ober das Setup gepostet hast. In der Regel ist bei Firewalls aber in der Default Konfig NAT auf dem WAN Port aktiviert.
Da du hier ja quasi eine Router Kaskade betreibst kann man davon ausgehen das du vermutlich doppeltes NAT machst also einmal Watchguard und dann Telekom Router. Zumindest was die Watchguard anbetrifft ist das aber nur angenommen.
Generell sind solche Kaskaden nicht optimal. Technisch besser wäre es ohne Telekom Billigrouter und mit einem reinen Modem zu arbeiten und nur mit der Watchguard.
Es geht aber natürlich auch in einer Kaskade.
Oha und auch die Schnüffelschnittstelle TR-069 aktiviert ! Böses Faul. Verantwortungsvolle Netzwerker unterbinden sowas sofort.
Wenn Ping aktiviert ist auf dem Router WAN Port der direkt zum Provider geht, dann muss die öffentliche IP Adresse an diesem Port auch anpingbar sein von außen.
Sollte das dennoch nicht gehen ist irgendwas Grundlegendes falsch !!
Es muss UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50 im Port Forwarding eingetragen sein. Also 3 Protokollkomponenten bei IPsec.
Achtung ESP ist ein eigenes IP Protokoll das ist nicht UDP oder TCP 50 ! Bedenke das !
Die Watchguard muss natürlich an ihrem WAN Port auch inbound diese 3 Protokolle erlauben mit einer entsprechenden Regel. Hast du das beachtet ?
Mach einen ganz einfachen Test.
Klemme temporär die Watchguard einmal ab und klemme einen Laptop stattdessen an mit der gleichen WAN IP Adresse .2
Auf diesem Laptop lässt du einen Wireshark Sniffer laufen und protokollierst die eingehenden Pakete mit.
Jetzt machst du von außen einen IPsec VPN Zugriff und checkst den Wireshark Trace.
Kannst du hier eingehende UDP 500 Pakete (IKE, ISAKMP) und auch UDP 4500 (NAT Traversal) sehen dann forwardet der davor kaskadierte Router die IPsec Protokolel fehlerfrei.
Wenn nicht stimmt irgendwas an den Port Forwarding oder Firewall Regeln nicht.
Zusätzlich wäre das Watchguard Log hier sehr hilfreich, was das mitprotokolliert bei einer eingehenden IPsec VPN Anforderung !!
Auch das sgt schon sehr genau WO der Fehler liegt !
Wenn Ping aktiviert ist auf dem Router WAN Port der direkt zum Provider geht, dann muss die öffentliche IP Adresse an diesem Port auch anpingbar sein von außen.
Sollte das dennoch nicht gehen ist irgendwas Grundlegendes falsch !!
Ich habe nun auch Port 4500 noch konfiguriert
Was denn UDP oder TCP ?? Bei IPsec muss das UDP sein.Es muss UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50 im Port Forwarding eingetragen sein. Also 3 Protokollkomponenten bei IPsec.
Achtung ESP ist ein eigenes IP Protokoll das ist nicht UDP oder TCP 50 ! Bedenke das !
Die Watchguard muss natürlich an ihrem WAN Port auch inbound diese 3 Protokolle erlauben mit einer entsprechenden Regel. Hast du das beachtet ?
Mach einen ganz einfachen Test.
Klemme temporär die Watchguard einmal ab und klemme einen Laptop stattdessen an mit der gleichen WAN IP Adresse .2
Auf diesem Laptop lässt du einen Wireshark Sniffer laufen und protokollierst die eingehenden Pakete mit.
Jetzt machst du von außen einen IPsec VPN Zugriff und checkst den Wireshark Trace.
Kannst du hier eingehende UDP 500 Pakete (IKE, ISAKMP) und auch UDP 4500 (NAT Traversal) sehen dann forwardet der davor kaskadierte Router die IPsec Protokolel fehlerfrei.
Wenn nicht stimmt irgendwas an den Port Forwarding oder Firewall Regeln nicht.
Zusätzlich wäre das Watchguard Log hier sehr hilfreich, was das mitprotokolliert bei einer eingehenden IPsec VPN Anforderung !!
Auch das sgt schon sehr genau WO der Fehler liegt !
Auf der WatchGuard Firewall kommt nichts im Log an!
OK, dann ist die Sache klar, dann ist kein, oder ein fehlerhaftes Port Forwarding für die IPsec Protokollkomponenten im davorliegenden Telekom Router konfiguriert worden.Wenn der nichts forwardet dann kann natürlich an der Watchguard auch nix ankommen, das ist klar !
Wir gehen jetzt mal davon aus das die Watchguard am WAN Port der im 192.168.2er Netz des Telekom Routers hängt wirklich entsprechende Inbound Regeln konfiguriert sind die IPsec dort passieren lassen ?!
Auch das kannst du einfach und schnell testen wenn du ins 192.168.2er Netz mal einen Laptop mit einem IPsec Client steckst und einfach mal eine VPN Verbindung auf die Watchguard aufmachst.
Dann sollten dort in jedem Falle IKE Log Messages zu sehen sein und das zeigt dann das die Inbound Regel funktioniert.
Checke also nochmal akribisch das Port Forwarding im Telekom Router (ggf. Screenshot hier) und ggf. die Inbound Regel am Watchguard WAN Port !
Was jedoch jetzt nur nicht klappt ist der Ping, jemand dazu noch eine Idee?
Das kann ja nur ein Firmware Bug im Router sein ! Wenn der anzeigt das der Ping auf die öffentliche Provider IP aktiviert ist es aber dennoch nicht geht ist das ein Bug !Ist das Router Image auf die aktuellste Firmware Version geflasht ?!