Comments on: Site2Site VPN with Sophos UTM and FritzBox

By: Phillip

Phillip — Thu, 01 Oct 2020 18:02:59 +0000

Hallo Sebastian, das sollte gehen. In der cfg Datei aus dem Beispiel schreibst du statt remoteip = 11.22.33.44; -> remoteip = 0.0.0.0; (Unsere Ziel IP ist ja unbekannt).
localid {
fqdn = “myhome.dyndns.org”; }
remoteid {
fqdn = “Gegenstelle.dyndns.org”; }
Dein Netz welches über den Tunnel erreichbar sein soll stellst du unter Site-to-Site/IPSec/Verbindungen ein. Dann gehst du bei der VPN Verbindung zur Fritzbox auf Bearbeiten und trägst das Netz unter lokale Netzwerke ein. Wenn man will kann man noch die Automatische Firewall Regel einschalten oder eine eigene erstellen. Aber nicht vergessen eins von beiden zu tun sonst wird der Traffic durch die UTM verworfen.

Gute Quelle für Fritzbox cfg Datei: https://www.bluestonedesign.de/faq/16-server-administration/183-fritzbox-cfg-datei

Phillip

By: Sebastian Kaisee

Sebastian Kaisee — Thu, 01 Oct 2020 10:37:43 +0000

Hallo,

Danke für die super Anleitung.

Ist es mit der Config möglich einen VPN aufzubauen ohne statische IP auf beiden Seiten wenn ich DynDNS nehme?
Und wo bestimmt ich nochmal mein Netzwerk, das getunnelt werden soll. Habe 4 IP Netze daheim, wovon nur 1 Netz über den Tunnel erreichbar sein soll.

Danke.
LG
Sebastian

By: Alex

Alex — Sun, 28 Oct 2018 21:36:04 +0000

Hy, Fritzbox ist bei UnityMedia, UTM hat FesteIP.
Hab schon auf Antworten gestellt, trotzdem keine VPN
Fritze hat im Log VPN-Fehler: Sophos UTM, IKE-Error 0x2027

UTM 9 – Site-to-Site-VPN – IPsec – Richtlinie:
Name: AVM Fritz!BOX policy
IKE: AES 256 – SHA1 – 3600 – Group2: MODP 1024
IPsec: AES 256 – SHA1 – 3600 – Group2: MODP 1024

UTM 9 – Site-to-Site-VPN – IPsec – entfernte Gateways:
Name: AVM Fritz!BOX GW
Gateway-Typ: nur antworten
Auth.-Methode: Verteilter Schlüssel
Schlüssel: xxxx
Wiederholen: xxxx
Entfernte Netzwerke:

Name: AVM Fritz!BOX Netzwerk
Typ: Netzwerk
IPv4-Adresse: 192.168.178.0
Netzmaske: /24 255.255.255.0
Kommentar: AVM Standard 192.168.178.0/24

UTM 9 – Site-to-Site-VPN – IPsec – Verbindungen:
Name: AVM Fritz!BOX Incoming
Entferntes Gateway: AVM Fritz!BOX GW
Lokale Schnittstelle: Internal
Richtlinie: AVM Fritz!BOX policy
Lokale Netzwerke:

Internal (Network)

Automatische Firewallregeln: ja
Striktes Routing : nein
Tunnel an lokale Schnittstelle binden: nein

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = “Sophos UTM”;
always_renew = yes;
keepalive_ip = 192.168.2.252; //UTM im Internen Netz
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = “IP UTM”;
localid {
fqdn = “IP AVM”;
}
remoteid {
fqdn = “IP UTM”;
}
mode = phase1_mode_idp;
phase1ss = “all/all/all”;
keytype = connkeytype_pre_shared;
key = “xxxxxx”;
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;

phase2localid {
ipnet {
ipaddr = 192.168.178.0; //internes Netz AVM
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0; //internes Netz UTM
mask = 255.255.255.0;
}
}
phase2ss = “esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs”;
accesslist = “permit ip any 192.168.2.0 255.255.255.0”;
}
ike_forward_rules = “udp 0.0.0.0:500 0.0.0.0:500”,
“udp 0.0.0.0:4500 0.0.0.0:4500”;
}

By: Michel

Michel — Sun, 28 Oct 2018 16:08:05 +0000

In reply to Alex. Hi Alex, kommt die Fritzbox von einer dynamischen IP? Ansonsten mal in der UTM auf "nur antworten" stellen.

By: Alex

Alex — Sun, 28 Oct 2018 15:33:40 +0000

HI, hab ne Frage. Hab eine Fritzbox 6340, hab es nach der Anleitung eingerichtet und die conf datei hochgeladen, der Log in der UTM sag bei der Verbindung
“öffentlicheIPderFritzbox:500 failed in main_outI1. Errno 1: Operation not permitted ”

was ist der Fehler, hab schonmehrmals alles kontroliert

By: Michel

Michel — Mon, 14 May 2018 11:24:34 +0000

In reply to PeterHerzog. Also wenn eine dedizierte Leitung angesprochen werden soll, dann würde ich direkt die öffentliche WAN-IP eingeben. Man braucht dann keinen Hostnamen. Ein Keepalive brauchen Sie nicht konfigurieren, der Tunnel sollte eigentlich 24/7 live sein.

By: PeterHerzog

PeterHerzog — Sun, 13 May 2018 08:48:08 +0000

sorry erstmal danke, danke, danke für die schnelle hilfe.
habe quer recherchiert und einige offenen punkte.
anstatt remoteip = 11.22.33.44 >> remoteip = 0.0.0.0
der paramter remotehostname = “utm.company.com”; wirft fragen auf.
wenn die utm mehrere externe schnittstellen hat (z.B. telekom, und kabel-deutschland), und nur eine auf die utm.company.com weist, die aber nicht in der vpn verwendet werden soll, muss dann die schnittstelle für das vpn im dns des providers registriert sein um die dns aufzulösen oder reicht, dass die utm über die utm.company.com lediglich erreichbar ist?
oft findet sich ab v9.3 ein hinweis auf keepalive_ip auf eine 192.168.1.1 bei der die verbindung bei unterbrechung neu aufgebaut werden soll. ist das hier notwendig und wenn ja an welcher stelle mit welcher ip sollte das bei dir eingefügt werden?

By: Michel

Michel — Sat, 12 May 2018 10:22:34 +0000

In reply to PeterHerzog. Genau, in der UTM die WAN IP der Fritzbox.

By: PeterHerzog

PeterHerzog — Fri, 11 May 2018 15:07:02 +0000

Meinem Verständnis nach, sollte unter ip4 die feste öffentliche Addresse der Fritzbox eingetragen werden?
Alle anderen DNS und DHCP-Einträge sollte leerbleiben?

By: Michel

Michel — Fri, 11 May 2018 14:59:33 +0000

In reply to PeterHerzog.

Guten Tag! Das Gateway ist ein Host Eintrag, man kann natürlich auch einen DNS-Host eingeben bei DynDNS Einsatz.

Bis dann
Michel