simu88
Goto Top

Zywall USG40W hinter Fritzbox 7490 IPsec

Hallo Zusammen

Bin neu hier im Forum, und verwende fast nie ein Forum. Aber bei diesem Problem, bleibe ich hängen, und dies obwohl ich im first/secondlvl Support, Helpdesk, Netzwerk, Windows (OS, Server, Office etc.) tätig bin. face-smile

Vieleicht finden sich ein oder mehrere Leute, die bereit sind, mit mir das Problem zu lösen :D

Für meine Abschlussarbeit muss ich einen VPN Zugang realisieren. Das ist eigentlich kein Problem.
Unsere Zywall... (Firmware Version: V4.15(AALB.0) / 2015-12-28 20:23:34)

...sitzt hinter einer Fritzbox 7490. Mein Chef möchte neu, sein Privates mit dem Geschäftlichen Netz trennen, sodass wir nurnoch im Gesch. Netz arbeiten.
Die Fritzbox spannt folgendes Netz auf: 192.168.1.0/24
Die Zywall spannt ein weiteres Netz auf: 172.16.1.0/24

Die beiden Router haben die IP-Adresse x.x.x.1

Auf der Fritzbox habe ich ein statisches Routing aktiviert, welches auch funktioniert. Fremdes Netz: 172.16.1.0/24; Subnetzmaske: 255.255.255.0, Gateway: 192.168.1.1

Portfreigaben (von Fritzbox auf Zywall):
ESP --> usg40w
IKEv1 / 500 --> usg40w
Nat Traversal / 4500 --> usg40w
und HTTPS (443), damit ich von aussen auf die Zywall zugreifen kann.

In der Fritzbox habe ich bereits erfolgreich unsere Domain hinzugefügt xxx.dyndns.org

Nun habe ich das Problem dass ich via IPsec von aussen nicht zugreifen kann. Ich verwende denn VPN Access Manager.
Hatt da jemand evtl. eine Idee?
Habe die Zywall nach diesem Beispiel konfiguriert: www.zyxel.ch/de/support/download/58550_1

Bin ma gespannt ob ich es doch mit eurer Hilfe hinbekomme face-smile Ansonsten müssen wir für diese Arbeit die Fritzbox in den Bridgemodus versetzen ^^


Danke schonmal für eure Hilfe.

Liebe Grüsse Simon

Content-ID: 299114

Url: https://administrator.de/forum/zywall-usg40w-hinter-fritzbox-7490-ipsec-299114.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

michi1983
michi1983 14.03.2016 aktualisiert um 16:51:39 Uhr
Goto Top
Hallo,

hast du denn das VPN auf der Fritte explizit deaktiviert? Sprich alle vorhandenen VPN Profile gelöscht?
Ansonsten werden eingehende IPSec Pakete so behandelt als wären sie für die Fritzbox gedacht (das Teil ist leider nicht sehr schlau face-wink ).

Die Suchfunktion hier im Forum ist übrigens klasse face-wink
VPN mit Fritzbox7390 mit dahinter liegenden VPN Router Tp-link er6020 fuer ms-basierende mobile endgeräet
VPN IPSEC-L2TP hinter einer Fritzbox 7490 geht nicht
Gruß
simu88
simu88 14.03.2016 um 16:58:33 Uhr
Goto Top
VPN war auf der Fritte nie aktiviert^^ ja alles gelöscht face-smile
schon mal danke, werde mir das morgen anschauen. Hier sind schon mal die config auf der zywall, Gateway und Verbindungen face-smile
vpn1
vpn2
vpn3
vpn4
108012
108012 14.03.2016 um 18:41:34 Uhr
Goto Top
Hallo,

Du musst auch noch das VPN bei der AVM FB abschalten sonst denkt sie das die VPN
Verbindung für ist und will sie immer annehmen und leitet sie trotz aller offenen Ports
nicht weiter.

Gruß
Dobby
simu88
simu88 15.03.2016 um 06:30:43 Uhr
Goto Top
Auf der Fritzbox ist eine VPN Verbindung gar nicht vorhanden. Sobald ich im Geschäft bin, Poste ich ein Bild, damit ihr euch überzeugen könnt :P
108012
108012 15.03.2016 um 06:50:55 Uhr
Goto Top
Auf der Fritzbox ist eine VPN Verbindung gar nicht vorhanden. Sobald ich im Geschäft bin,
Poste ich ein Bild, damit ihr euch überzeugen könnt :P
Das ist schon klar, nur da kann man auch VPN deaktivieren, so das die AVM FB nicht
jedes mal vor der Zyxel USG "ran" geht wenn eine IPSec oder VPN Verbindung "ankommt"
sonst wird das cniths mit dem Durchreichen der Protokolle, weil eben die AVM FB immer denkt
sie sei gemeint und "geht" dann noch bevor alles bei der der Zyxel USG ankommt ran.

Must Du halt mal schauen cih weiß es auch nicht genau wo das angehakt oder abgehakt
werden muss, ich weiß nur das es gemacht werden muss sonst wird es nichts mit dem
Durchreichen der VPN Verbindung. Vielleicht habe ich mich nur falsch ausgedrückt beim
ersten mal.

Gruß
Dobby
simu88
simu88 15.03.2016 um 07:53:50 Uhr
Goto Top
Also, hier habe ich ma ein Bild der Fritzbox, wie es aussieht unter VPN.
Da gibts nichts zum deaktivieren. Oder vieleicht habe ich da was übersehene? ^^ ;)
fb_vpn
michi1983
michi1983 15.03.2016 aktualisiert um 08:01:29 Uhr
Goto Top
Guten Morgen,

also aus allen Beiträgen die ich zu diesem Thema gelesen habe soll es angeblich eben keine Option bei der Fritte geben, das VPN explizit zu deaktivieren. Das gilt als deaktiviert wenn kein Profil vorhanden ist. So die Theorie face-smile Ich hatte allerdings noch nie eine Fritte in Gebrauch, soviel sei gesagt.

    • Funktioniert denn die DynDNS Geschichte?
    • Ist die Domain erreichbar?
    • Bekommst du eine öffentliche IP zugewiesen?
    • Hast du mal einen anderen VPN Client versucht (Shrew zB)?

Gruß
simu88
simu88 15.03.2016 um 11:24:31 Uhr
Goto Top
Genau, ich sehe auch keine Option das VPN zu deaktivieren.
Alles Ja, auch mit shrew. Ausser dass ich das Zertifikat noch nicht erstellt habe.
Momentan stellen wir das Netzwerk um. Ich melde mich, sobald wir fertig sind dabei. Dürfte etwas dauern face-smile
simu88
simu88 15.03.2016 um 13:42:17 Uhr
Goto Top
Also das neu eingerichtete Netz steht. Noch zur Info, ich benutze den Shrew Soft VPN Accessmanager.

Auf der Fritzbox habe ich nun ein Statisches Routing sowie die Portfreigaben gemacht habe und dies funktioniert auch. wenn ich beispielsweise über das https protokoll auf die dahinterliegende Zywall zugreifen möchte, funktioniert dies.

Doch eine VPN Verbindung aufzubauen funktioniert immernoch nicht. Folgende Ports werden an die Zywall durchgereicht:

ESP und GRE --> zywall
NAT 4500 --> zywall
IKEv1 500 --> zywall
HTTPS 443 --> zywall

Der Teufel liegt garantiert im Detail ^^ also an der Portweiterleitung kann dies nicht liegen face-smile
michi1983
michi1983 15.03.2016 um 13:55:43 Uhr
Goto Top
Mach mal exakt folgendes:
Kommt ganz darauf an! Je nachdem, wie der VPN Server konfiguriert ist, brauchen wir 

UDP Port 500 und IP-Protokoll ESP (Obacht: ESP hat keine Ports, es ist ein L3 Protokoll! Guggst du!)
oder
UDP Port 500 und UDP Port 4500 (Wenn ESP via NAT-T in UDP gekapselt wird)
oder
TCP Port 10.000 (Wenn IKE und ESP in TCP gekapselt werden)

Auf der sicheren Seite ist man, wenn also die Ports UDP500, UDP4500 und TCP10.000 und IP Protokoll ESP zwischen den VPN Partnern offen sind.

Das stammt aus dieser Anleitung. Damit muss das eigentlich klappen face-smile

GRE brauchst du übrigens nicht für IPSec!

Möchtest du denn ein reines IPSec machen oder L2TP over IPSec? Denn dann musst noch weitere Dinge beachten.

Gruß
simu88
simu88 15.03.2016 um 14:26:12 Uhr
Goto Top
Jep. GRE brauche ich ned.
Ich möchte reines IPSec machen. Dyndns ist auf der Fritzbox eingerichtet.

Das Netz sieht neu so aus:
Fritzbox:
Fungiert als Router ISP <--> Heimnetz
Netzwerk ID: 192.168.2.0/24
IP-Adress: 192.168.2.1
Subnetzmaske: 255.255.255.0
GW: 192.168.2.1


Hinter der Fritzbox steht die Zywall mit folgender Konfig:
Netzwerk ID: 192.168.1.0/24
IP-Adresse: 192.168.1.1
Subnetzmaske: 255.255.255.0
Gateway: 192.168.2.1

Die Fritzbox darf nicht entfernt werden, da Sie als Telefonzentrale dient.
In der Fritzbox wurde ein statisches Routing in das Zywall definiert, was so aussieht:

Netzwerk ID: 192.168.1.0
Subnetzmaske: 255.255.255.0
GW: 192.168.2.1

Eigentlich sollten doch alle Pakete auf die Zywall durchgeleitet werden, oder ist noch eine Portweiterleitung nötig, für IPSec?

Diese Anleitung funktioniert nur, wenn die zywall eine externe öffentliche IP-Adresse erhält face-smile

Gruss Simon face-wink
fa18superhornet
fa18superhornet 06.09.2016 um 20:28:49 Uhr
Goto Top
Hello Simon

Leider habe ich das gleiche oder ähnliche Problem

Bin vom Swisscom Modem zu Sunrise mit der Fritzbox 7490 gewechselt.

Beim Swisscom Modem konnte man einfach IP-Passthrough auf die Zywall USG40 einstellen und der IPSEC VPN zwischen der Zywall USG 40 im Büro nach Hause zum USG20 funktionierte problemlos.
Die USG erhielt einfach die Öffentliche IP.

Mit der Fritzbox habe ich noch keine VPN Verbindung zwischen den USGs geschaft.

Hast du eine Lösung gefunden?

Gruss
Erik