Zywall USG40W hinter Fritzbox 7490 IPsec

Mitglied: simu88

simu88 (Level 1) - Jetzt verbinden

14.03.2016, aktualisiert 16:45 Uhr, 6280 Aufrufe, 12 Kommentare

Hallo Zusammen

Bin neu hier im Forum, und verwende fast nie ein Forum. Aber bei diesem Problem, bleibe ich hängen, und dies obwohl ich im first/secondlvl Support, Helpdesk, Netzwerk, Windows (OS, Server, Office etc.) tätig bin. :-) face-smile

Vieleicht finden sich ein oder mehrere Leute, die bereit sind, mit mir das Problem zu lösen :D

Für meine Abschlussarbeit muss ich einen VPN Zugang realisieren. Das ist eigentlich kein Problem.
Unsere Zywall... (Firmware Version: V4.15(AALB.0) / 2015-12-28 20:23:34)

...sitzt hinter einer Fritzbox 7490. Mein Chef möchte neu, sein Privates mit dem Geschäftlichen Netz trennen, sodass wir nurnoch im Gesch. Netz arbeiten.
Die Fritzbox spannt folgendes Netz auf: 192.168.1.0/24
Die Zywall spannt ein weiteres Netz auf: 172.16.1.0/24

Die beiden Router haben die IP-Adresse x.x.x.1

Auf der Fritzbox habe ich ein statisches Routing aktiviert, welches auch funktioniert. Fremdes Netz: 172.16.1.0/24; Subnetzmaske: 255.255.255.0, Gateway: 192.168.1.1

Portfreigaben (von Fritzbox auf Zywall):
ESP --> usg40w
IKEv1 / 500 --> usg40w
Nat Traversal / 4500 --> usg40w
und HTTPS (443), damit ich von aussen auf die Zywall zugreifen kann.

In der Fritzbox habe ich bereits erfolgreich unsere Domain hinzugefügt xxx.dyndns.org

Nun habe ich das Problem dass ich via IPsec von aussen nicht zugreifen kann. Ich verwende denn VPN Access Manager.
Hatt da jemand evtl. eine Idee?
Habe die Zywall nach diesem Beispiel konfiguriert: www.zyxel.ch/de/support/download/58550_1

Bin ma gespannt ob ich es doch mit eurer Hilfe hinbekomme :) face-smile Ansonsten müssen wir für diese Arbeit die Fritzbox in den Bridgemodus versetzen ^^



Danke schonmal für eure Hilfe.

Liebe Grüsse Simon
Mitglied: michi1983
14.03.2016, aktualisiert um 16:51 Uhr
Hallo,

hast du denn das VPN auf der Fritte explizit deaktiviert? Sprich alle vorhandenen VPN Profile gelöscht?
Ansonsten werden eingehende IPSec Pakete so behandelt als wären sie für die Fritzbox gedacht (das Teil ist leider nicht sehr schlau ;-) face-wink ).

Die Suchfunktion hier im Forum ist übrigens klasse ;-) face-wink
https://www.administrator.de/forum/vpn-fritzbox7390-liegenden-router-tp- ...
https://www.administrator.de/forum/vpn-ipsec-l2tp-fritzbox-7490-geht-273 ...
Gruß
Bitte warten ..
Mitglied: simu88
14.03.2016 um 16:58 Uhr
VPN war auf der Fritte nie aktiviert^^ ja alles gelöscht :) face-smile
schon mal danke, werde mir das morgen anschauen. Hier sind schon mal die config auf der zywall, Gateway und Verbindungen :) face-smile
vpn1 - Klicke auf das Bild, um es zu vergrößernvpn2 - Klicke auf das Bild, um es zu vergrößernvpn3 - Klicke auf das Bild, um es zu vergrößernvpn4 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Dobby
14.03.2016 um 18:41 Uhr
Hallo,

Du musst auch noch das VPN bei der AVM FB abschalten sonst denkt sie das die VPN
Verbindung für ist und will sie immer annehmen und leitet sie trotz aller offenen Ports
nicht weiter.

Gruß
Dobby

Bitte warten ..
Mitglied: simu88
15.03.2016 um 06:30 Uhr
Auf der Fritzbox ist eine VPN Verbindung gar nicht vorhanden. Sobald ich im Geschäft bin, Poste ich ein Bild, damit ihr euch überzeugen könnt :P
Bitte warten ..
Mitglied: Dobby
15.03.2016 um 06:50 Uhr
Auf der Fritzbox ist eine VPN Verbindung gar nicht vorhanden. Sobald ich im Geschäft bin,
Poste ich ein Bild, damit ihr euch überzeugen könnt :P
Das ist schon klar, nur da kann man auch VPN deaktivieren, so das die AVM FB nicht
jedes mal vor der Zyxel USG "ran" geht wenn eine IPSec oder VPN Verbindung "ankommt"
sonst wird das cniths mit dem Durchreichen der Protokolle, weil eben die AVM FB immer denkt
sie sei gemeint und "geht" dann noch bevor alles bei der der Zyxel USG ankommt ran.

Must Du halt mal schauen cih weiß es auch nicht genau wo das angehakt oder abgehakt
werden muss, ich weiß nur das es gemacht werden muss sonst wird es nichts mit dem
Durchreichen der VPN Verbindung. Vielleicht habe ich mich nur falsch ausgedrückt beim
ersten mal.

Gruß
Dobby

Bitte warten ..
Mitglied: simu88
15.03.2016 um 07:53 Uhr
Also, hier habe ich ma ein Bild der Fritzbox, wie es aussieht unter VPN.
Da gibts nichts zum deaktivieren. Oder vieleicht habe ich da was übersehene? ^^ ;)
fb_vpn - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: michi1983
15.03.2016, aktualisiert um 08:01 Uhr
Guten Morgen,

also aus allen Beiträgen die ich zu diesem Thema gelesen habe soll es angeblich eben keine Option bei der Fritte geben, das VPN explizit zu deaktivieren. Das gilt als deaktiviert wenn kein Profil vorhanden ist. So die Theorie :-) face-smile Ich hatte allerdings noch nie eine Fritte in Gebrauch, soviel sei gesagt.

    • Funktioniert denn die DynDNS Geschichte?
    • Ist die Domain erreichbar?
    • Bekommst du eine öffentliche IP zugewiesen?
    • Hast du mal einen anderen VPN Client versucht (Shrew zB)?

Gruß
Bitte warten ..
Mitglied: simu88
15.03.2016 um 11:24 Uhr
Genau, ich sehe auch keine Option das VPN zu deaktivieren.
Alles Ja, auch mit shrew. Ausser dass ich das Zertifikat noch nicht erstellt habe.
Momentan stellen wir das Netzwerk um. Ich melde mich, sobald wir fertig sind dabei. Dürfte etwas dauern :) face-smile
Bitte warten ..
Mitglied: simu88
15.03.2016 um 13:42 Uhr
Also das neu eingerichtete Netz steht. Noch zur Info, ich benutze den Shrew Soft VPN Accessmanager.

Auf der Fritzbox habe ich nun ein Statisches Routing sowie die Portfreigaben gemacht habe und dies funktioniert auch. wenn ich beispielsweise über das https protokoll auf die dahinterliegende Zywall zugreifen möchte, funktioniert dies.

Doch eine VPN Verbindung aufzubauen funktioniert immernoch nicht. Folgende Ports werden an die Zywall durchgereicht:

ESP und GRE --> zywall
NAT 4500 --> zywall
IKEv1 500 --> zywall
HTTPS 443 --> zywall

Der Teufel liegt garantiert im Detail ^^ also an der Portweiterleitung kann dies nicht liegen :) face-smile
Bitte warten ..
Mitglied: michi1983
15.03.2016 um 13:55 Uhr
Mach mal exakt folgendes:

Das stammt aus dieser Anleitung. Damit muss das eigentlich klappen :-) face-smile

GRE brauchst du übrigens nicht für IPSec!

Möchtest du denn ein reines IPSec machen oder L2TP over IPSec? Denn dann musst noch weitere Dinge beachten.

Gruß
Bitte warten ..
Mitglied: simu88
15.03.2016 um 14:26 Uhr
Jep. GRE brauche ich ned.
Ich möchte reines IPSec machen. Dyndns ist auf der Fritzbox eingerichtet.

Das Netz sieht neu so aus:
Fritzbox:
Fungiert als Router ISP <--> Heimnetz
Netzwerk ID: 192.168.2.0/24
IP-Adress: 192.168.2.1
Subnetzmaske: 255.255.255.0
GW: 192.168.2.1


Hinter der Fritzbox steht die Zywall mit folgender Konfig:
Netzwerk ID: 192.168.1.0/24
IP-Adresse: 192.168.1.1
Subnetzmaske: 255.255.255.0
Gateway: 192.168.2.1

Die Fritzbox darf nicht entfernt werden, da Sie als Telefonzentrale dient.
In der Fritzbox wurde ein statisches Routing in das Zywall definiert, was so aussieht:

Netzwerk ID: 192.168.1.0
Subnetzmaske: 255.255.255.0
GW: 192.168.2.1

Eigentlich sollten doch alle Pakete auf die Zywall durchgeleitet werden, oder ist noch eine Portweiterleitung nötig, für IPSec?

Diese Anleitung funktioniert nur, wenn die zywall eine externe öffentliche IP-Adresse erhält :-) face-smile

Gruss Simon ;-) face-wink
Bitte warten ..
Mitglied: fa18superhornet
06.09.2016 um 20:28 Uhr
Hello Simon

Leider habe ich das gleiche oder ähnliche Problem

Bin vom Swisscom Modem zu Sunrise mit der Fritzbox 7490 gewechselt.

Beim Swisscom Modem konnte man einfach IP-Passthrough auf die Zywall USG40 einstellen und der IPSEC VPN zwischen der Zywall USG 40 im Büro nach Hause zum USG20 funktionierte problemlos.
Die USG erhielt einfach die Öffentliche IP.

Mit der Fritzbox habe ich noch keine VPN Verbindung zwischen den USGs geschaft.

Hast du eine Lösung gefunden?

Gruss
Erik
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Infrastruktur für Firma
brainwashVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kurze Erklärung zu meinem Problem Wir sind eine kleine Firma mit zwei Standorten im Bereich Brandschutz. Zur Zeit nutzen wir für unsere ...

Server-Hardware
Verkaufe RX300 S7 Server von Fuijutsu
HolzBrettVor 1 TagAllgemeinServer-Hardware12 Kommentare

Hi, Ich wohne in Aachen und habe die Server von der Firma umsonst erhalten. Ich habe sie bereits überprüft (es geht alles). Ich möchte ...

Windows 10
Netzwerkzugriff intern extern blockiert nach Aufbau NordVPN Verbindung
Slavik-10Vor 23 StundenFrageWindows 1029 Kommentare

hallo Leute, ich habe mir vor kurzem ein VPN Anbieter bestellt. Das Problem an der ganzen Sache ist, sobald eine VPN Verbindung zu einem ...

Netzwerkprotokolle
Proxy Zugang von Extern
gelöst Jannik2018Vor 1 TagFrageNetzwerkprotokolle17 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 16 StundenFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Windows Server
Kein Internetzugriff bei einem Domänenclient
KerberoVor 23 StundenFrageWindows Server14 Kommentare

Hallo community, ich habe ein ganz komisches Verhalten eines Clients bei mir. Ich habe eine kleine Domäne (6 Clients und ein Windows Server 2016 ...

LAN, WAN, Wireless
Verständnisfrage VPN Performance pfSense
flabsVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Moin Kollegen, ich betreibe 3 pfSense Firewalls an 3 Standorten. Zwischen Standort A und B gibt es einen IPSec Tunnel. Der läuft seit Jahren ...

Sicherheit
Verpackter Laptop entwendet
r0x3llVor 5 StundenFrageSicherheit9 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...