agnostiker
Goto Top

XG115 hinter Fritzbox 7590 - Kein Site to Site zum Branch Office

Hallo Gemeinde,

Problem:

Branche to Head Office Verbindung funktioniert nicht ( benutze jetzt mal Sophos Bezeichnung )


Auf der HeadOffce XG125 jeweils die passenden Settings eingetragen ( Local Netz, Remote Netz, preshares key, alles simple ) analog zu dem Branche Office nur eben reverse, zusätzlich noch die Public IP der HeadOffice XG 125.

Die Verbindung baut sich nicht auf, ich weis auch nicht wo ich weitgehende Informationen erkennen kann, woran es liegt.


Details:

Fritzbox: 192.168.0.1

XG115 WAN: 192.168.0.2 ( Exposed Host in der Fritzbox )

XG115 LAN: 172.16.0.1

XG115 DHCP: 172.16.0.100 - 200

Clients bekommen DHCP, 172.16.0.1 als GW, können Surfen alles laeuft.

Content-ID: 585394

Url: https://administrator.de/forum/xg115-hinter-fritzbox-7590-kein-site-to-site-zum-branch-office-585394.html

Ausgedruckt am: 27.12.2024 um 04:12 Uhr

aqui
aqui 07.07.2020 aktualisiert um 10:40:08 Uhr
Goto Top
Anhand der etwas knappen Beschreibung raten wir mal das die XG115 sich in einer Kaskade mit einer FritzBox befindet ? Ist das so richtig ?
Was ist mit "Verbindung" gemeint ?? Ein VPN ? Wenn ja, welches VPN Protokoll ? Das ist leider wirr, oberflächlich und unklar. face-sad

Alles was zum dem Thema Router Kaskade zu beachten ist findest du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Nur so viel wenn es sich um einen (geraten) IPsec VPN Tunnel geht:
Du solltest auf dem Radar haben das die FritzBox ebenso ein aktiver IPsec VPN Router ist. Wenn hier nur ein Haken gesetzt ist oder ein VPN User eingetragen ist dann macht die FritzBox kein Vorwarding von UDP 500, 4500 und dem ESP Protokoll (IPsec) denn sie "denkt" dann diese Frames sind für sie und ihre VPN Funktion bestimmt ! Sie forwardet dann auch trotz "exposed Host" nicht !
Das sollte man immer bei der FritzBox beachten und dort alles VPN bezogenen zwingend deaktivieren.
Ob IPsec Frames geforwardet werden kannst du immer sehen wenn du statt XG115 testweise einen Wireshark Sniffer anschliesst und checkst ob dort IKE Pakete von der remoten Lokation eingehen.
Nur dann kannst du dir ganz sicher sein das IPsec auch von der vorliegend kaskadierten FB sicher geforwardet werden !
agnostiker
agnostiker 07.07.2020 um 14:35:37 Uhr
Goto Top
Zitat von @aqui:

Anhand der etwas knappen Beschreibung raten wir mal das die XG115 sich in einer Kaskade mit einer FritzBox befindet ? Ist das so richtig ?

Die XG115 haengt mit ihrem WAN port ( 192.168.0.2 ) an dem Lan2 Port der Fritzbox ( 192.168.0.1 ), der Lan1 Port der Fritzbox ist mit unserem Switch verbunden. Die XG115 haengt mit ihrem LAN Port ( 172.16.0.1 ) ebenfalls am Switch.

Nur so viel wenn es sich um einen (geraten) IPsec VPN Tunnel geht:

Es geht um einen IPSEC Site2Site Tnnel, auf der Fritzbox sind keine User eingetragen und auch keine VPN Dienste aktiviert.
Es wurde der WAN Port der UTM ( 192.168.0.2 ) als Exposed Host definiert - kein erfolg.
Es wurden folgende Ports manuell geforwarded an 192.168.0.2:

TCP10000
UDP500
UDP4500
TCP50
ESP

Auch keinerlei Erfolg.

Es wurde so konfiguriert das diese Aussenstelle die Verbindung initiiert, aber leider sieht man weder in der GUI noch sonstwo den Fehler, ausser ein "Verbindung konnte nicht erstellt werden" sieht man leider nichts.