2
XG115 hinter Fritzbox 7590 - Kein Site to Site zum Branch Office
Hallo Gemeinde,
Problem:
Branche to Head Office Verbindung funktioniert nicht ( benutze jetzt mal Sophos Bezeichnung )
Auf der HeadOffce XG125 jeweils die passenden Settings eingetragen ( Local Netz, Remote Netz, preshares key, alles simple ) analog zu dem Branche Office nur eben reverse, zusätzlich noch die Public IP der HeadOffice XG 125.
Die Verbindung baut sich nicht auf, ich weis auch nicht wo ich weitgehende Informationen erkennen kann, woran es liegt.
Details:
Fritzbox: 192.168.0.1
XG115 WAN: 192.168.0.2 ( Exposed Host in der Fritzbox )
XG115 LAN: 172.16.0.1
XG115 DHCP: 172.16.0.100 - 200
Clients bekommen DHCP, 172.16.0.1 als GW, können Surfen alles laeuft.
Problem:
Branche to Head Office Verbindung funktioniert nicht ( benutze jetzt mal Sophos Bezeichnung )
Auf der HeadOffce XG125 jeweils die passenden Settings eingetragen ( Local Netz, Remote Netz, preshares key, alles simple ) analog zu dem Branche Office nur eben reverse, zusätzlich noch die Public IP der HeadOffice XG 125.
Die Verbindung baut sich nicht auf, ich weis auch nicht wo ich weitgehende Informationen erkennen kann, woran es liegt.
Details:
Fritzbox: 192.168.0.1
XG115 WAN: 192.168.0.2 ( Exposed Host in der Fritzbox )
XG115 LAN: 172.16.0.1
XG115 DHCP: 172.16.0.100 - 200
Clients bekommen DHCP, 172.16.0.1 als GW, können Surfen alles laeuft.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 585394
Url: https://administrator.de/contentid/585394
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
2 Kommentare
Neuester Kommentar
Anhand der etwas knappen Beschreibung raten wir mal das die XG115 sich in einer Kaskade mit einer FritzBox befindet ? Ist das so richtig ?
Was ist mit "Verbindung" gemeint ?? Ein VPN ? Wenn ja, welches VPN Protokoll ? Das ist leider wirr, oberflächlich und unklar.
Alles was zum dem Thema Router Kaskade zu beachten ist findest du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Nur so viel wenn es sich um einen (geraten) IPsec VPN Tunnel geht:
Du solltest auf dem Radar haben das die FritzBox ebenso ein aktiver IPsec VPN Router ist. Wenn hier nur ein Haken gesetzt ist oder ein VPN User eingetragen ist dann macht die FritzBox kein Vorwarding von UDP 500, 4500 und dem ESP Protokoll (IPsec) denn sie "denkt" dann diese Frames sind für sie und ihre VPN Funktion bestimmt ! Sie forwardet dann auch trotz "exposed Host" nicht !
Das sollte man immer bei der FritzBox beachten und dort alles VPN bezogenen zwingend deaktivieren.
Ob IPsec Frames geforwardet werden kannst du immer sehen wenn du statt XG115 testweise einen Wireshark Sniffer anschliesst und checkst ob dort IKE Pakete von der remoten Lokation eingehen.
Nur dann kannst du dir ganz sicher sein das IPsec auch von der vorliegend kaskadierten FB sicher geforwardet werden !
Was ist mit "Verbindung" gemeint ?? Ein VPN ? Wenn ja, welches VPN Protokoll ? Das ist leider wirr, oberflächlich und unklar.
Alles was zum dem Thema Router Kaskade zu beachten ist findest du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Nur so viel wenn es sich um einen (geraten) IPsec VPN Tunnel geht:
Du solltest auf dem Radar haben das die FritzBox ebenso ein aktiver IPsec VPN Router ist. Wenn hier nur ein Haken gesetzt ist oder ein VPN User eingetragen ist dann macht die FritzBox kein Vorwarding von UDP 500, 4500 und dem ESP Protokoll (IPsec) denn sie "denkt" dann diese Frames sind für sie und ihre VPN Funktion bestimmt ! Sie forwardet dann auch trotz "exposed Host" nicht !
Das sollte man immer bei der FritzBox beachten und dort alles VPN bezogenen zwingend deaktivieren.
Ob IPsec Frames geforwardet werden kannst du immer sehen wenn du statt XG115 testweise einen Wireshark Sniffer anschliesst und checkst ob dort IKE Pakete von der remoten Lokation eingehen.
Nur dann kannst du dir ganz sicher sein das IPsec auch von der vorliegend kaskadierten FB sicher geforwardet werden !
Zitat von @aqui:
Anhand der etwas knappen Beschreibung raten wir mal das die XG115 sich in einer Kaskade mit einer FritzBox befindet ? Ist das so richtig ?
Anhand der etwas knappen Beschreibung raten wir mal das die XG115 sich in einer Kaskade mit einer FritzBox befindet ? Ist das so richtig ?
Die XG115 haengt mit ihrem WAN port ( 192.168.0.2 ) an dem Lan2 Port der Fritzbox ( 192.168.0.1 ), der Lan1 Port der Fritzbox ist mit unserem Switch verbunden. Die XG115 haengt mit ihrem LAN Port ( 172.16.0.1 ) ebenfalls am Switch.
Nur so viel wenn es sich um einen (geraten) IPsec VPN Tunnel geht:
Es geht um einen IPSEC Site2Site Tnnel, auf der Fritzbox sind keine User eingetragen und auch keine VPN Dienste aktiviert.
Es wurde der WAN Port der UTM ( 192.168.0.2 ) als Exposed Host definiert - kein erfolg.
Es wurden folgende Ports manuell geforwarded an 192.168.0.2:
TCP10000
UDP500
UDP4500
TCP50
ESP
Auch keinerlei Erfolg.
Es wurde so konfiguriert das diese Aussenstelle die Verbindung initiiert, aber leider sieht man weder in der GUI noch sonstwo den Fehler, ausser ein "Verbindung konnte nicht erstellt werden" sieht man leider nichts.
