20
VPN über Fritzbox und Watchguard Firebox zu Siemens S7 System
Hallo Leute,
wer kann mir hier Step by Step helfen?
Ich möchte eine VPN zu einem Siemens S7 System mit fester IP Adressierung realisieren.
Optimal würde eine Realisierung über die WatchGuard sein (dafür ist die Firebox ja auch da).
Danke schon mal für Eure Hilfe.
Optimal würde eine Realisierung über die WatchGuard sein (dafür ist die Firebox ja auch da).
Danke schon mal für Eure Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 169859
Url: https://administrator.de/contentid/169859
Printed on: April 19, 2024 at 14:04 o'clock
20 Comments
Latest comment
10 Sekunden bei Dr. Google....
http://avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interoperab ...
http://avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interoperab ...
Danke 
Ich möchte keinen Tunnnel nur zwischen der Fritzbox und der Firebox.
Ich möchte einen Tunnel über die Fritzbox durch die Firebox hindurch um auf das lokale Netzwerk hinter der Firebox zugreifen zu können.
Gruß
Ich möchte keinen Tunnnel nur zwischen der Fritzbox und der Firebox.
Ich möchte einen Tunnel über die Fritzbox durch die Firebox hindurch um auf das lokale Netzwerk hinter der Firebox zugreifen zu können.
Gruß
Auch das ist kinderleicht !
Sofern du IPsec im ESP Modus verwendest als VPN Tunnelprotokoll musst du auf der Firewall lediglich die Ports:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, nicht TCP/UDP 50 !)
freigeben das diese Pakete passieren können.
Fertig ist der Lack.
Braucht man auch nicht viel mehr als 10 Sekunden zu im GUI der Firewall !
Sofern du IPsec im ESP Modus verwendest als VPN Tunnelprotokoll musst du auf der Firewall lediglich die Ports:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, nicht TCP/UDP 50 !)
freigeben das diese Pakete passieren können.
Fertig ist der Lack.
Braucht man auch nicht viel mehr als 10 Sekunden zu im GUI der Firewall !
Wenn mann es schon einmal gemacht hat, dann ja.
Die VPN steht und die Fernwartung der Fritzbox läuft.
Ich erreiche keine IP Adresse über die Fritzbox oder über die Firebox.
Müssen Routingeinträge noch vorgenommen werden?
VPN Client > Internet > Fritzbox > IP Fritzbox intern > IP Firebox extern > IP Firebox intern > IP Adresse im lokalen Netz
Was mache ich da noch falsch?
Die VPN steht und die Fernwartung der Fritzbox läuft.
Ich erreiche keine IP Adresse über die Fritzbox oder über die Firebox.
Müssen Routingeinträge noch vorgenommen werden?
VPN Client > Internet > Fritzbox > IP Fritzbox intern > IP Firebox extern > IP Firebox intern > IP Adresse im lokalen Netz
Was mache ich da noch falsch?
Über die Fritzbox kannst du auch nix erreichen. Die ist ja gar nicht involviert in die VPN Kommunikation, da sie den Tunnel ja nur durchleitet.
Terminiert wird das VPN ja auf der Firebox !!
Logischerweise müssen die Client default Gateways auf die lokale IP Adresse der Firebox zeigen oder sofern die auf einen anderen Router zeigen in diesem Segment muss dort eine statische Route eingetragen sein auf das VPN Netz mit der Firebox als Gateway Adresse...logisch !
Leider sagst du recht wenig zur gesamten Topologie so das du uns hier quasi zum raten zwingst
Nicht gerade hilfreich für einen sinnvolle Hilfestellung....
Terminiert wird das VPN ja auf der Firebox !!
Logischerweise müssen die Client default Gateways auf die lokale IP Adresse der Firebox zeigen oder sofern die auf einen anderen Router zeigen in diesem Segment muss dort eine statische Route eingetragen sein auf das VPN Netz mit der Firebox als Gateway Adresse...logisch !
Leider sagst du recht wenig zur gesamten Topologie so das du uns hier quasi zum raten zwingst
Nicht gerade hilfreich für einen sinnvolle Hilfestellung....
Sorry,
ich möchte gerne für eine Teststellung aus Sicherheitsgründen vorab nur die Fritzbox verwenden.
Die Endgeräte mit fester IP Adresse (z.B. 10.0.0.5) sind im lokalen Netz der Fritzbox z.B. 10.0.0.0 / 255.255.255.0 verbunden
Das GW ist die Lokale IP der Fritzbox (10.0.0.1)
Das GW der Fritzbox ist auch bereits über das Lokale Netzwerk der Firebox erreichbar was aber zur Zeit noch keine so große Rolle spielt.
Wenn doch die VPN zur Fritzbox steht, dann sollten doch die Rechner oder Endgeräte mit IP Adresse so erreichebar sein \\Endgeräte IP\Freigaben.
Oder muss die VPN Verbindung vorangestellt werden. http://Kennung über DYNDNS/Endgeräte IP/Freigaben?
Dies scheint aber nicht logisch für eine VPN, da diese wie ein lokales Netz fungiert.
ich möchte gerne für eine Teststellung aus Sicherheitsgründen vorab nur die Fritzbox verwenden.
Die Endgeräte mit fester IP Adresse (z.B. 10.0.0.5) sind im lokalen Netz der Fritzbox z.B. 10.0.0.0 / 255.255.255.0 verbunden
Das GW ist die Lokale IP der Fritzbox (10.0.0.1)
Das GW der Fritzbox ist auch bereits über das Lokale Netzwerk der Firebox erreichbar was aber zur Zeit noch keine so große Rolle spielt.
Wenn doch die VPN zur Fritzbox steht, dann sollten doch die Rechner oder Endgeräte mit IP Adresse so erreichebar sein \\Endgeräte IP\Freigaben.
Oder muss die VPN Verbindung vorangestellt werden. http://Kennung über DYNDNS/Endgeräte IP/Freigaben?
Dies scheint aber nicht logisch für eine VPN, da diese wie ein lokales Netz fungiert.
Deine Beschreibung ist keineswegs hilfreich und zielführend
Oben korrigierst du uns noch mit "...Ich möchte keinen Tunnnel nur zwischen der Fritzbox und der Firebox." also das du den VPN Traffic nur durch die FB durchleiten willst und auf der Firebox zu terminieren.
Jetzt aber wieder alles umgedreht das du auf der Fritzbox terminierst....ja was denn nun ???
In der Tat funktioniert die VPN Verbindung nur mit lokalen bzw. internen IP Adressen wie ein lokaler Client. Das ist ja genau der tiefere Sinn eines VPNs.
Es ist immer noch deine genaue Topologie unklar durch deine verwirrende Beschreibung wo nun das VPN terminiert wird. Oben ist die Zeichnung auch nicht wirklich hilfreich denn sowas wie "...oder auch direkt" von der Fritzbox auf die lokale Switch Infrastruktur ist nicht möglich !!
Damit hättest du ja eine Backdoor Bridge vom 10er netzwerk ins 192.168er netzwerk...ein absolutes No Go !
Wenn du nur das VPN auf der Firebox terminierst muss dein Netzwerk IP seitig so aussehen:
Nix mit Brücken von der FB zum 192.168er Netz usw. !
Ein identisches Szenario mit einem anderen VPN protokoll findest du hier. Es beschreibt exakt und genau dein Umfeld und die To Dos was man machen muss nur die VPN Protokollports sind anders bei dir da du IPsec verwendest statt SSL wie im beispiel. Das ist aber nur kosmetisch der Unterschied.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Oben korrigierst du uns noch mit "...Ich möchte keinen Tunnnel nur zwischen der Fritzbox und der Firebox." also das du den VPN Traffic nur durch die FB durchleiten willst und auf der Firebox zu terminieren.
Jetzt aber wieder alles umgedreht das du auf der Fritzbox terminierst....ja was denn nun ???
In der Tat funktioniert die VPN Verbindung nur mit lokalen bzw. internen IP Adressen wie ein lokaler Client. Das ist ja genau der tiefere Sinn eines VPNs.
Es ist immer noch deine genaue Topologie unklar durch deine verwirrende Beschreibung wo nun das VPN terminiert wird. Oben ist die Zeichnung auch nicht wirklich hilfreich denn sowas wie "...oder auch direkt" von der Fritzbox auf die lokale Switch Infrastruktur ist nicht möglich !!
Damit hättest du ja eine Backdoor Bridge vom 10er netzwerk ins 192.168er netzwerk...ein absolutes No Go !
Wenn du nur das VPN auf der Firebox terminierst muss dein Netzwerk IP seitig so aussehen:
Nix mit Brücken von der FB zum 192.168er Netz usw. !
Ein identisches Szenario mit einem anderen VPN protokoll findest du hier. Es beschreibt exakt und genau dein Umfeld und die To Dos was man machen muss nur die VPN Protokollports sind anders bei dir da du IPsec verwendest statt SSL wie im beispiel. Das ist aber nur kosmetisch der Unterschied.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Du hast Recht, es ist etwas irreführend.
Die Zielsetzung ist so wie Du es erkannt hast, allerdings möchte ich im Vorfeld das 192.168... Netz nicht mit einbeziehen.
Laufen soll es erst einmal bis zur Fritzbox und div. Testclients im Netz der Fritzbox,
wenn das super und sicher läuft, werde ich die Firebox inkl. internem Netz mit einbeziehen.
step by step
Die Zielsetzung ist so wie Du es erkannt hast, allerdings möchte ich im Vorfeld das 192.168... Netz nicht mit einbeziehen.
Laufen soll es erst einmal bis zur Fritzbox und div. Testclients im Netz der Fritzbox,
wenn das super und sicher läuft, werde ich die Firebox inkl. internem Netz mit einbeziehen.
step by step
OK, dann musst du natürlich als allererstes die VPN Clients auf der Fritzbox terminieren. Wie das geht steht hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Ist das passiert kommt immer dieselbe Leier, dann müssen die Test Rechner die im 10.0.0.0 /24er Netz sind als default Gateway logischerweise die IP Adresse der FB haben.
Zeitens sollten deren Firewalls angepasst werden, da du ja nun von einem Fremdnetz kommst. Normalerweise blocken die FW das dann also entsprechend anpassen.
Ist das alles geschehen, dann klappt der Zugriff problemlos. Nur mit einer FB als VPN Server ist das ja ein klasssiches Banalszenario was man in 10 Minuten zum Fliegen bekommt...
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Ist das passiert kommt immer dieselbe Leier, dann müssen die Test Rechner die im 10.0.0.0 /24er Netz sind als default Gateway logischerweise die IP Adresse der FB haben.
Zeitens sollten deren Firewalls angepasst werden, da du ja nun von einem Fremdnetz kommst. Normalerweise blocken die FW das dann also entsprechend anpassen.
Ist das alles geschehen, dann klappt der Zugriff problemlos. Nur mit einer FB als VPN Server ist das ja ein klasssiches Banalszenario was man in 10 Minuten zum Fliegen bekommt...
Zu den Portfreigaben habe ich jetzt folgendes in diesem Forum zusammengetragen.
Port 1723 TCP
Port 500 UDP
und wenn das ganze über IPSec laufen soll muß noch Port 50 TCP und UDP
da es sich bei dem Port nicht um ein Port handelt sonderen um ein Protokol (ESP).
PPTP: 1723/TCP + Protokoll (NICHT Port) 47 (GRE - Generic Routing Encapsulation)
L2TP: 1701/UDP + 500/UDP (ISAKMP)
Ausserdem verwendet werden für IPSec:
Protokoll 50 (NICHT Port) - ESP (Encapsulated Security Payload)
Protokoll 51 (NICHT Port) - AH (Authentication Header)
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, nicht TCP/UDP 50 !)
Welche Portfreigaben machen Sinn und welche nicht?
Konfiguration Workstation = ?
Konfiguration Fritzbox = ?
Konfiguration Firewall Firebox = IPSec 50 ESP, UDP 500, UDP 4500
Port 1723 TCP
Port 500 UDP
und wenn das ganze über IPSec laufen soll muß noch Port 50 TCP und UDP
da es sich bei dem Port nicht um ein Port handelt sonderen um ein Protokol (ESP).
PPTP: 1723/TCP + Protokoll (NICHT Port) 47 (GRE - Generic Routing Encapsulation)
L2TP: 1701/UDP + 500/UDP (ISAKMP)
Ausserdem verwendet werden für IPSec:
Protokoll 50 (NICHT Port) - ESP (Encapsulated Security Payload)
Protokoll 51 (NICHT Port) - AH (Authentication Header)
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, nicht TCP/UDP 50 !)
Welche Portfreigaben machen Sinn und welche nicht?
Konfiguration Workstation = ?
Konfiguration Fritzbox = ?
Konfiguration Firewall Firebox = IPSec 50 ESP, UDP 500, UDP 4500
Das ist Unsinn ! Port Freigaben benötigst du auf der FB nicht sofern du die VPN Clients erstmal auf der FB terminierst. Diese hängt direkt am Internet und braucht so keinerlei Port Freigaben oder Weiterleitungen.
Das wird erst relevant wenn du den VPN Tunnel ((Traffic) später wie oben angekündigt über die FB weiter zur Firebox leiten willst. Erst dann muss man das machen sonst nicht !
Deine Port Zuweisungen sind ebenso unsinnig bzw. völlig verwirrend oben da du alles wahllos zusammenwürfelst ! Richtig ist:
PPTP VPN Protokoll
1723/TCP
GRE Protokoll Nummer 47 (GRE - Generic Routing Encapsulation). Protokoll 47 (GRE) ist ein eigenes IP Protokoll !
IPsec VPN Protokoll
UDP 500 (IKE)
UDP 4500 (Nat Traversal)
ESP Protokoll Nummer 50 ,ESP (Encapsulated Security Payload) ist ein eigenes IP Protokoll !
L2TPc VPN Protokoll (nutzt IPsec ESP)
UDP 500 (IKE)
TCP 1701
ESP Protokoll Nummer 50 ,ESP (Encapsulated Security Payload) ist ein eigenes IP Protokoll !
Nur diese Port Freigaben machen Sinn je nachdem WELCHES VPN Protokoll du für deinen VPN Tunnel benutzt !!
Wie bereits bemerkt: Derzeit unsinnig wenn du den VPN Tunnel auf der FB direkt terminierst zu vorab Testen !
Das wird erst relevant wenn du den VPN Tunnel ((Traffic) später wie oben angekündigt über die FB weiter zur Firebox leiten willst. Erst dann muss man das machen sonst nicht !
Deine Port Zuweisungen sind ebenso unsinnig bzw. völlig verwirrend oben da du alles wahllos zusammenwürfelst ! Richtig ist:
PPTP VPN Protokoll
1723/TCP
GRE Protokoll Nummer 47 (GRE - Generic Routing Encapsulation). Protokoll 47 (GRE) ist ein eigenes IP Protokoll !
IPsec VPN Protokoll
UDP 500 (IKE)
UDP 4500 (Nat Traversal)
ESP Protokoll Nummer 50 ,ESP (Encapsulated Security Payload) ist ein eigenes IP Protokoll !
L2TPc VPN Protokoll (nutzt IPsec ESP)
UDP 500 (IKE)
TCP 1701
ESP Protokoll Nummer 50 ,ESP (Encapsulated Security Payload) ist ein eigenes IP Protokoll !
Nur diese Port Freigaben machen Sinn je nachdem WELCHES VPN Protokoll du für deinen VPN Tunnel benutzt !!
Wie bereits bemerkt: Derzeit unsinnig wenn du den VPN Tunnel auf der FB direkt terminierst zu vorab Testen !
Danke, genau DAS wollte ich nur wissen.
Ich habe alle Infos die ich benötige, jetzt kann es mit der Konfiguration losgehen.
Das sind doch nicht meine Portzuweisungen, Sorry.
Diese Liste ist nur ein Sammelsurium von diesem Forum bezüglich VPN Verbindungen.
"try & error" Sorry aber das ist nicht so mein Ding
Ich habe alle Infos die ich benötige, jetzt kann es mit der Konfiguration losgehen.
Das sind doch nicht meine Portzuweisungen, Sorry.
Diese Liste ist nur ein Sammelsurium von diesem Forum bezüglich VPN Verbindungen.
"try & error" Sorry aber das ist nicht so mein Ding
...try and error" ended in der IT meist fatal aber das weisst du sicher selber besser. Wiki und Dr. Google hätten dich auch auf die sichere Seite geführt statt zu raten aber nundenn. Mit dem jetzigen Werkzeugen wirst du das sicher und problemlos zum Fliegen bringen.
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen !
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen !
Aktueller Status:
VPN auf Fritzbox steht.
Zugriffe auf alle Host der Fritzbox möglich.
IPsec und VPN Trans. auf Firebox eingerichtet.
Jetzt zu dem kleinen Problem:
Die Fritzbox vergibt beim Aufbau einer VPN dem Client eine IP Adresse des lokalen Netzwerks z.B. 10.0.0.9,
der Zugriff muss aber auf z.B. 192.168.10.90 hinter der Firebox stattfinden.
Da beide IP nicht im gleichen Netz sind, kann man über die VPN nicht auf z.B. 192.168.10.90 hinter der Firebox zugegriffen.
Jetzt macht es doch Sinn über die Firebox eine VPN aufzubauen, sodass beide IP im gleichen Netz sind, oder?
Jetzt folgende Fragen:
Wie komme ich über das Internet zur Firebox (über die Fritzbox)?
Wie richte ich eine funktionierende Weiterleitung auf der Fritzbox ein (falls nötig)?
Wie richte ich ohne div. Sicherheitslücken eine VPN über die Firebox ins lokale Netz ein?
VPN auf Fritzbox steht.
Zugriffe auf alle Host der Fritzbox möglich.
IPsec und VPN Trans. auf Firebox eingerichtet.
Jetzt zu dem kleinen Problem:
Die Fritzbox vergibt beim Aufbau einer VPN dem Client eine IP Adresse des lokalen Netzwerks z.B. 10.0.0.9,
der Zugriff muss aber auf z.B. 192.168.10.90 hinter der Firebox stattfinden.
Da beide IP nicht im gleichen Netz sind, kann man über die VPN nicht auf z.B. 192.168.10.90 hinter der Firebox zugegriffen.
Jetzt macht es doch Sinn über die Firebox eine VPN aufzubauen, sodass beide IP im gleichen Netz sind, oder?
Jetzt folgende Fragen:
Wie komme ich über das Internet zur Firebox (über die Fritzbox)?
Wie richte ich eine funktionierende Weiterleitung auf der Fritzbox ein (falls nötig)?
Wie richte ich ohne div. Sicherheitslücken eine VPN über die Firebox ins lokale Netz ein?
.Wie komme ich über das Internet zur Firebox (über die Fritzbox)?
A.: Indem du dem Client eine statische Route mitgibst die ihn auch Pakete für das 192.168.10.0 /24er Netz in den Tunnel routet. Das AVM VPN Portal sagt dir wie das geht.
Wie richte ich eine funktionierende Weiterleitung auf der Fritzbox ein (falls nötig)?
A.: HowTo hat das AVM VPN Portal
Wie richte ich ohne div. Sicherheitslücken eine VPN über die Firebox ins lokale Netz ein?
A.: Diverse Beispiele findest du hier:
http://www.lobotomo.com/products/IPSecuritas/howto/WatchGuard%20Firebox ...
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
http://www.watchguard.com/help/docs/webui/11/en-us/content/en-us/mvpn/i ...
A.: Indem du dem Client eine statische Route mitgibst die ihn auch Pakete für das 192.168.10.0 /24er Netz in den Tunnel routet. Das AVM VPN Portal sagt dir wie das geht.
Wie richte ich eine funktionierende Weiterleitung auf der Fritzbox ein (falls nötig)?
A.: HowTo hat das AVM VPN Portal
Wie richte ich ohne div. Sicherheitslücken eine VPN über die Firebox ins lokale Netz ein?
A.: Diverse Beispiele findest du hier:
http://www.lobotomo.com/products/IPSecuritas/howto/WatchGuard%20Firebox ...
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
http://www.watchguard.com/help/docs/webui/11/en-us/content/en-us/mvpn/i ...
Die meisten Liks beinhalten einfache VPN Verbindungen Fritzbox / Firebox oder Client / Fritzbox
Sorry aber so komme ich nicht weiter!
Beispiel für eine Einrichtung VPN Verbindung / Client > Internet > Fritzbox > Firebox > Host:
A ) Konfiguration Fitzbox
1. Melde dich an der Fritzbox an
2. Gehe in Menü die oder das
2. Um eine Weiterleitung oder XYZ einzurichten mach dies und das und jenes
3. Teste die Verbindung mit dem Tool XYZ
B) VPN Verbindung Firebox
1. Anmeldung an die Firebox und gehe in das Menü XYZ
2. Richte jetzt mit dem Tool XYZ die VPN Verbindung ein mit dies und das und jenes
3. Damit alles richtig läuft beachte dies und das und jenes
4. usw, usw
C) Einrichtung Client
1. Nimm diese oder jenes Tool
2. Importiere jenes File
3. Stelle noch Port XYZ um
4. Verbindungstest
So kann man einfach und sicher arbeiten und die Links können dann ergänzend sein.
Alles andere sind Experimente und unklare Definitionen.
Gruß
Sorry aber so komme ich nicht weiter!
Beispiel für eine Einrichtung VPN Verbindung / Client > Internet > Fritzbox > Firebox > Host:
A ) Konfiguration Fitzbox
1. Melde dich an der Fritzbox an
2. Gehe in Menü die oder das
2. Um eine Weiterleitung oder XYZ einzurichten mach dies und das und jenes
3. Teste die Verbindung mit dem Tool XYZ
B) VPN Verbindung Firebox
1. Anmeldung an die Firebox und gehe in das Menü XYZ
2. Richte jetzt mit dem Tool XYZ die VPN Verbindung ein mit dies und das und jenes
3. Damit alles richtig läuft beachte dies und das und jenes
4. usw, usw
C) Einrichtung Client
1. Nimm diese oder jenes Tool
2. Importiere jenes File
3. Stelle noch Port XYZ um
4. Verbindungstest
So kann man einfach und sicher arbeiten und die Links können dann ergänzend sein.
Alles andere sind Experimente und unklare Definitionen.
Gruß
Das ist so nicht möglich ! Beim VPN musst du dich fest entscheiden WO du den VPN Tunnel terminierst. Entweder Fritz- oder Firebox. beides, mit Weiterleitung usw. , ist technisch nicht möglich !!
Deshalb gibt es für das o.a. Ansinnen auch keine Lösung.
Deshalb gibt es für das o.a. Ansinnen auch keine Lösung.
Ich habe bereits eine Portweiterleitung auf der Fritzbox installiert.
Wo muss die feste IP Adresse (DYNDNS / selfhost ) nun laufen.
Wenn die Fritzbox die Ports weiterletet, reichtes doch aus, wenn dieser Dienst (DYNDNS, selfhost) auf der Fritzbox läuft, oder?.
UDP 500
UDP 4500
Die VPN soll jetzt über die Firbox aufgebaut werden.
Wie gebe ich der VPN / Clientverbindung die IP`S mit?
Gruß
Wo muss die feste IP Adresse (DYNDNS / selfhost ) nun laufen.
Wenn die Fritzbox die Ports weiterletet, reichtes doch aus, wenn dieser Dienst (DYNDNS, selfhost) auf der Fritzbox läuft, oder?.
UDP 500
UDP 4500
Die VPN soll jetzt über die Firbox aufgebaut werden.
Wie gebe ich der VPN / Clientverbindung die IP`S mit?
Gruß
Die DynDNS Adresse bzw. der Client MUSS auf dem gerät laufen was die öffentliche IP hält. Laut deiner Zeichnung oben ist das die Fritzbox.
Deren öffentliche IP wird dann bei DynDNS zu deinem Hostnamen bekannt gemacht wie es sein soll.
Dann müssen auf der FB die relevanten VPN Ports zu deinem verwendeten VPN Protokoll auf den WAN Port bzw. IP Adresse der Firebox per Port Weiterleitung einbgerichtet sein. Da du IPsec verwendest ist das bei der Fritzbox dann:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, Achtung NICHT UDP oder TCP 50 !)
Sinnvollerweise sollte die Firebox bzw. deren WAN port dann eine feste statische IP haben !
Der VPN Server ist dann auf der Firebox und terminiert die VPN Tunnel...fertig !
So würde das klappen und ist auch ein Standardszenario obwohl ein nur Modem statt eines Routers am WAN Port der Firebox erheblich sinnvoller sein würde. Die Kaskadierung eines weiteren NAT Routers vor der Firebox die selber wiederum NAT macht ist in solchen VPN Szenarien immer sehr nachteilig und kontraproduktiv, da sie so gut wie immer mit Problemen verbunden ist da man zwangsweise die NAT Firewall davor überwinden muss, was eigentlich bei Verwendung eines NUR Modems sinnvollerweise entfällt !!
Falls man die FB als Modem konfigurieren kann (PPPoE Passthrough Modus) solltest du das immer vorziehen !
Deren öffentliche IP wird dann bei DynDNS zu deinem Hostnamen bekannt gemacht wie es sein soll.
Dann müssen auf der FB die relevanten VPN Ports zu deinem verwendeten VPN Protokoll auf den WAN Port bzw. IP Adresse der Firebox per Port Weiterleitung einbgerichtet sein. Da du IPsec verwendest ist das bei der Fritzbox dann:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, Achtung NICHT UDP oder TCP 50 !)
Sinnvollerweise sollte die Firebox bzw. deren WAN port dann eine feste statische IP haben !
Der VPN Server ist dann auf der Firebox und terminiert die VPN Tunnel...fertig !
So würde das klappen und ist auch ein Standardszenario obwohl ein nur Modem statt eines Routers am WAN Port der Firebox erheblich sinnvoller sein würde. Die Kaskadierung eines weiteren NAT Routers vor der Firebox die selber wiederum NAT macht ist in solchen VPN Szenarien immer sehr nachteilig und kontraproduktiv, da sie so gut wie immer mit Problemen verbunden ist da man zwangsweise die NAT Firewall davor überwinden muss, was eigentlich bei Verwendung eines NUR Modems sinnvollerweise entfällt !!
Falls man die FB als Modem konfigurieren kann (PPPoE Passthrough Modus) solltest du das immer vorziehen !
Die VPN steht und wurde wie folgt realisiert.
Weiterleitungen auf der Fritzbox:
Fernwartung FB
FB Manager: TCP 10.0.0.1 / 4105 > 10.0.0.2 / 4105
FB Manager: TCP 10.0.0.1 / 4117 > 10.0.0.2 / 4117
FB Manager: TCP 10.0.0.1 / 4118 > 10.0.0.2 / 4118
VPN
IPSEC: UDP 500 / 10.0.0.1 > UDP 500 / 10.0.0.2
IPSEC: UDP 4500 / 10.0.0.1 > UDP 4500 / 10.0.0.2
IPSEC: ESP / 10.0.0.1 > ESP / 10.0.0.2
Tools:
Watchguard System Manager = WSM11_4_2s.exe
Watchguard VPN Client = vpn-client-2.1.7-release.zip
Danke!
Weiterleitungen auf der Fritzbox:
Fernwartung FB
FB Manager: TCP 10.0.0.1 / 4105 > 10.0.0.2 / 4105
FB Manager: TCP 10.0.0.1 / 4117 > 10.0.0.2 / 4117
FB Manager: TCP 10.0.0.1 / 4118 > 10.0.0.2 / 4118
VPN
IPSEC: UDP 500 / 10.0.0.1 > UDP 500 / 10.0.0.2
IPSEC: UDP 4500 / 10.0.0.1 > UDP 4500 / 10.0.0.2
IPSEC: ESP / 10.0.0.1 > ESP / 10.0.0.2
Tools:
Watchguard System Manager = WSM11_4_2s.exe
Watchguard VPN Client = vpn-client-2.1.7-release.zip
Danke!
