Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN über Fritzbox und Watchguard Firebox zu Siemens S7 System

Mitglied: Networks

Networks (Level 1) - Jetzt verbinden

16.07.2011, aktualisiert 18.10.2012, 10234 Aufrufe, 20 Kommentare

Hallo Leute,

wer kann mir hier Step by Step helfen?

Ich möchte eine VPN zu einem Siemens S7 System mit fester IP Adressierung realisieren.
Optimal würde eine Realisierung über die WatchGuard sein (dafür ist die Firebox ja auch da).
Danke schon mal für Eure Hilfe.

9e6633b4dfcf2a8ee2887b4953e646d7 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Networks
16.07.2011 um 19:27 Uhr
Danke

Ich möchte keinen Tunnnel nur zwischen der Fritzbox und der Firebox.
Ich möchte einen Tunnel über die Fritzbox durch die Firebox hindurch um auf das lokale Netzwerk hinter der Firebox zugreifen zu können.

Gruß
Bitte warten ..
Mitglied: aqui
17.07.2011 um 12:54 Uhr
Auch das ist kinderleicht !
Sofern du IPsec im ESP Modus verwendest als VPN Tunnelprotokoll musst du auf der Firewall lediglich die Ports:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, nicht TCP/UDP 50 !)
freigeben das diese Pakete passieren können.
Fertig ist der Lack.
Braucht man auch nicht viel mehr als 10 Sekunden zu im GUI der Firewall !
Bitte warten ..
Mitglied: Networks
21.07.2011 um 13:37 Uhr
Wenn mann es schon einmal gemacht hat, dann ja.

Die VPN steht und die Fernwartung der Fritzbox läuft.

Ich erreiche keine IP Adresse über die Fritzbox oder über die Firebox.
Müssen Routingeinträge noch vorgenommen werden?

VPN Client > Internet > Fritzbox > IP Fritzbox intern > IP Firebox extern > IP Firebox intern > IP Adresse im lokalen Netz

Was mache ich da noch falsch?
Bitte warten ..
Mitglied: aqui
21.07.2011 um 22:28 Uhr
Über die Fritzbox kannst du auch nix erreichen. Die ist ja gar nicht involviert in die VPN Kommunikation, da sie den Tunnel ja nur durchleitet.
Terminiert wird das VPN ja auf der Firebox !!
Logischerweise müssen die Client default Gateways auf die lokale IP Adresse der Firebox zeigen oder sofern die auf einen anderen Router zeigen in diesem Segment muss dort eine statische Route eingetragen sein auf das VPN Netz mit der Firebox als Gateway Adresse...logisch !
Leider sagst du recht wenig zur gesamten Topologie so das du uns hier quasi zum raten zwingst
Nicht gerade hilfreich für einen sinnvolle Hilfestellung....
Bitte warten ..
Mitglied: Networks
22.07.2011 um 11:07 Uhr
Sorry,

ich möchte gerne für eine Teststellung aus Sicherheitsgründen vorab nur die Fritzbox verwenden.
Die Endgeräte mit fester IP Adresse (z.B. 10.0.0.5) sind im lokalen Netz der Fritzbox z.B. 10.0.0.0 / 255.255.255.0 verbunden
Das GW ist die Lokale IP der Fritzbox (10.0.0.1)

Das GW der Fritzbox ist auch bereits über das Lokale Netzwerk der Firebox erreichbar was aber zur Zeit noch keine so große Rolle spielt.

Wenn doch die VPN zur Fritzbox steht, dann sollten doch die Rechner oder Endgeräte mit IP Adresse so erreichebar sein \\Endgeräte IP\Freigaben.

Oder muss die VPN Verbindung vorangestellt werden. http://Kennung über DYNDNS/Endgeräte IP/Freigaben?
Dies scheint aber nicht logisch für eine VPN, da diese wie ein lokales Netz fungiert.
Bitte warten ..
Mitglied: aqui
22.07.2011, aktualisiert 18.10.2012
Deine Beschreibung ist keineswegs hilfreich und zielführend
Oben korrigierst du uns noch mit "...Ich möchte keinen Tunnnel nur zwischen der Fritzbox und der Firebox." also das du den VPN Traffic nur durch die FB durchleiten willst und auf der Firebox zu terminieren.
Jetzt aber wieder alles umgedreht das du auf der Fritzbox terminierst....ja was denn nun ???
In der Tat funktioniert die VPN Verbindung nur mit lokalen bzw. internen IP Adressen wie ein lokaler Client. Das ist ja genau der tiefere Sinn eines VPNs.

Es ist immer noch deine genaue Topologie unklar durch deine verwirrende Beschreibung wo nun das VPN terminiert wird. Oben ist die Zeichnung auch nicht wirklich hilfreich denn sowas wie "...oder auch direkt" von der Fritzbox auf die lokale Switch Infrastruktur ist nicht möglich !!
Damit hättest du ja eine Backdoor Bridge vom 10er netzwerk ins 192.168er netzwerk...ein absolutes No Go !
Wenn du nur das VPN auf der Firebox terminierst muss dein Netzwerk IP seitig so aussehen:

10a7dbaf54d79684dcdd8f68329ed521 - Klicke auf das Bild, um es zu vergrößern

Nix mit Brücken von der FB zum 192.168er Netz usw. !
Ein identisches Szenario mit einem anderen VPN protokoll findest du hier. Es beschreibt exakt und genau dein Umfeld und die To Dos was man machen muss nur die VPN Protokollports sind anders bei dir da du IPsec verwendest statt SSL wie im beispiel. Das ist aber nur kosmetisch der Unterschied.

https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: Networks
22.07.2011 um 15:15 Uhr
Du hast Recht, es ist etwas irreführend.

Die Zielsetzung ist so wie Du es erkannt hast, allerdings möchte ich im Vorfeld das 192.168... Netz nicht mit einbeziehen.

Laufen soll es erst einmal bis zur Fritzbox und div. Testclients im Netz der Fritzbox,
wenn das super und sicher läuft, werde ich die Firebox inkl. internem Netz mit einbeziehen.

step by step
Bitte warten ..
Mitglied: aqui
22.07.2011 um 18:03 Uhr
OK, dann musst du natürlich als allererstes die VPN Clients auf der Fritzbox terminieren. Wie das geht steht hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...

Ist das passiert kommt immer dieselbe Leier, dann müssen die Test Rechner die im 10.0.0.0 /24er Netz sind als default Gateway logischerweise die IP Adresse der FB haben.
Zeitens sollten deren Firewalls angepasst werden, da du ja nun von einem Fremdnetz kommst. Normalerweise blocken die FW das dann also entsprechend anpassen.
Ist das alles geschehen, dann klappt der Zugriff problemlos. Nur mit einer FB als VPN Server ist das ja ein klasssiches Banalszenario was man in 10 Minuten zum Fliegen bekommt...
Bitte warten ..
Mitglied: Networks
23.07.2011 um 08:45 Uhr
Zu den Portfreigaben habe ich jetzt folgendes in diesem Forum zusammengetragen.

Port 1723 TCP
Port 500 UDP
und wenn das ganze über IPSec laufen soll muß noch Port 50 TCP und UDP
da es sich bei dem Port nicht um ein Port handelt sonderen um ein Protokol (ESP).
PPTP: 1723/TCP + Protokoll (NICHT Port) 47 (GRE - Generic Routing Encapsulation)
L2TP: 1701/UDP + 500/UDP (ISAKMP)

Ausserdem verwendet werden für IPSec:
Protokoll 50 (NICHT Port) - ESP (Encapsulated Security Payload)
Protokoll 51 (NICHT Port) - AH (Authentication Header)
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, nicht TCP/UDP 50 !)

Welche Portfreigaben machen Sinn und welche nicht?

Konfiguration Workstation = ?
Konfiguration Fritzbox = ?
Konfiguration Firewall Firebox = IPSec 50 ESP, UDP 500, UDP 4500
Bitte warten ..
Mitglied: aqui
23.07.2011 um 16:33 Uhr
Das ist Unsinn ! Port Freigaben benötigst du auf der FB nicht sofern du die VPN Clients erstmal auf der FB terminierst. Diese hängt direkt am Internet und braucht so keinerlei Port Freigaben oder Weiterleitungen.
Das wird erst relevant wenn du den VPN Tunnel ((Traffic) später wie oben angekündigt über die FB weiter zur Firebox leiten willst. Erst dann muss man das machen sonst nicht !
Deine Port Zuweisungen sind ebenso unsinnig bzw. völlig verwirrend oben da du alles wahllos zusammenwürfelst ! Richtig ist:

PPTP VPN Protokoll
1723/TCP
GRE Protokoll Nummer 47 (GRE - Generic Routing Encapsulation). Protokoll 47 (GRE) ist ein eigenes IP Protokoll !

IPsec VPN Protokoll
UDP 500 (IKE)
UDP 4500 (Nat Traversal)
ESP Protokoll Nummer 50 ,ESP (Encapsulated Security Payload) ist ein eigenes IP Protokoll !

L2TPc VPN Protokoll (nutzt IPsec ESP)
UDP 500 (IKE)
TCP 1701
ESP Protokoll Nummer 50 ,ESP (Encapsulated Security Payload) ist ein eigenes IP Protokoll !

Nur diese Port Freigaben machen Sinn je nachdem WELCHES VPN Protokoll du für deinen VPN Tunnel benutzt !!
Wie bereits bemerkt: Derzeit unsinnig wenn du den VPN Tunnel auf der FB direkt terminierst zu vorab Testen !
Bitte warten ..
Mitglied: Networks
23.07.2011 um 20:41 Uhr
Danke, genau DAS wollte ich nur wissen.
Ich habe alle Infos die ich benötige, jetzt kann es mit der Konfiguration losgehen.

Das sind doch nicht meine Portzuweisungen, Sorry.
Diese Liste ist nur ein Sammelsurium von diesem Forum bezüglich VPN Verbindungen.

"try & error" Sorry aber das ist nicht so mein Ding
Bitte warten ..
Mitglied: aqui
23.07.2011 um 22:03 Uhr
.. .try and error" ended in der IT meist fatal aber das weisst du sicher selber besser. Wiki und Dr. Google hätten dich auch auf die sichere Seite geführt statt zu raten aber nundenn. Mit dem jetzigen Werkzeugen wirst du das sicher und problemlos zum Fliegen bringen.

Wenns das denn war bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: Networks
27.07.2011 um 08:42 Uhr
Aktueller Status:

VPN auf Fritzbox steht.
Zugriffe auf alle Host der Fritzbox möglich.
IPsec und VPN Trans. auf Firebox eingerichtet.

Jetzt zu dem kleinen Problem:

Die Fritzbox vergibt beim Aufbau einer VPN dem Client eine IP Adresse des lokalen Netzwerks z.B. 10.0.0.9,
der Zugriff muss aber auf z.B. 192.168.10.90 hinter der Firebox stattfinden.
Da beide IP nicht im gleichen Netz sind, kann man über die VPN nicht auf z.B. 192.168.10.90 hinter der Firebox zugegriffen.

Jetzt macht es doch Sinn über die Firebox eine VPN aufzubauen, sodass beide IP im gleichen Netz sind, oder?

Jetzt folgende Fragen:
Wie komme ich über das Internet zur Firebox (über die Fritzbox)?
Wie richte ich eine funktionierende Weiterleitung auf der Fritzbox ein (falls nötig)?
Wie richte ich ohne div. Sicherheitslücken eine VPN über die Firebox ins lokale Netz ein?
Bitte warten ..
Mitglied: aqui
27.07.2011 um 11:05 Uhr
.Wie komme ich über das Internet zur Firebox (über die Fritzbox)?
A.: Indem du dem Client eine statische Route mitgibst die ihn auch Pakete für das 192.168.10.0 /24er Netz in den Tunnel routet. Das AVM VPN Portal sagt dir wie das geht.
Wie richte ich eine funktionierende Weiterleitung auf der Fritzbox ein (falls nötig)?
A.: HowTo hat das AVM VPN Portal
Wie richte ich ohne div. Sicherheitslücken eine VPN über die Firebox ins lokale Netz ein?
A.: Diverse Beispiele findest du hier:
http://www.lobotomo.com/products/IPSecuritas/howto/WatchGuard%20Firebox ...
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
http://www.watchguard.com/help/docs/webui/11/en-us/content/en-us/mvpn/i ...
Bitte warten ..
Mitglied: Networks
02.08.2011 um 18:31 Uhr
Die meisten Liks beinhalten einfache VPN Verbindungen Fritzbox / Firebox oder Client / Fritzbox

Sorry aber so komme ich nicht weiter!

Beispiel für eine Einrichtung VPN Verbindung / Client > Internet > Fritzbox > Firebox > Host:

A ) Konfiguration Fitzbox

1. Melde dich an der Fritzbox an
2. Gehe in Menü die oder das
2. Um eine Weiterleitung oder XYZ einzurichten mach dies und das und jenes
3. Teste die Verbindung mit dem Tool XYZ

B) VPN Verbindung Firebox

1. Anmeldung an die Firebox und gehe in das Menü XYZ
2. Richte jetzt mit dem Tool XYZ die VPN Verbindung ein mit dies und das und jenes
3. Damit alles richtig läuft beachte dies und das und jenes
4. usw, usw

C) Einrichtung Client

1. Nimm diese oder jenes Tool
2. Importiere jenes File
3. Stelle noch Port XYZ um
4. Verbindungstest

So kann man einfach und sicher arbeiten und die Links können dann ergänzend sein.
Alles andere sind Experimente und unklare Definitionen.

Gruß
Bitte warten ..
Mitglied: aqui
05.08.2011 um 11:52 Uhr
Das ist so nicht möglich ! Beim VPN musst du dich fest entscheiden WO du den VPN Tunnel terminierst. Entweder Fritz- oder Firebox. beides, mit Weiterleitung usw. , ist technisch nicht möglich !!
Deshalb gibt es für das o.a. Ansinnen auch keine Lösung.
Bitte warten ..
Mitglied: Networks
05.08.2011 um 14:38 Uhr
Ich habe bereits eine Portweiterleitung auf der Fritzbox installiert.

Wo muss die feste IP Adresse (DYNDNS / selfhost ) nun laufen.
Wenn die Fritzbox die Ports weiterletet, reichtes doch aus, wenn dieser Dienst (DYNDNS, selfhost) auf der Fritzbox läuft, oder?.

UDP 500
UDP 4500

Die VPN soll jetzt über die Firbox aufgebaut werden.

Wie gebe ich der VPN / Clientverbindung die IP`S mit?

Gruß
Bitte warten ..
Mitglied: aqui
05.08.2011 um 19:43 Uhr
Die DynDNS Adresse bzw. der Client MUSS auf dem gerät laufen was die öffentliche IP hält. Laut deiner Zeichnung oben ist das die Fritzbox.
Deren öffentliche IP wird dann bei DynDNS zu deinem Hostnamen bekannt gemacht wie es sein soll.
Dann müssen auf der FB die relevanten VPN Ports zu deinem verwendeten VPN Protokoll auf den WAN Port bzw. IP Adresse der Firebox per Port Weiterleitung einbgerichtet sein. Da du IPsec verwendest ist das bei der Fritzbox dann:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, Achtung NICHT UDP oder TCP 50 !)
Sinnvollerweise sollte die Firebox bzw. deren WAN port dann eine feste statische IP haben !
Der VPN Server ist dann auf der Firebox und terminiert die VPN Tunnel...fertig !
So würde das klappen und ist auch ein Standardszenario obwohl ein nur Modem statt eines Routers am WAN Port der Firebox erheblich sinnvoller sein würde. Die Kaskadierung eines weiteren NAT Routers vor der Firebox die selber wiederum NAT macht ist in solchen VPN Szenarien immer sehr nachteilig und kontraproduktiv, da sie so gut wie immer mit Problemen verbunden ist da man zwangsweise die NAT Firewall davor überwinden muss, was eigentlich bei Verwendung eines NUR Modems sinnvollerweise entfällt !!
Falls man die FB als Modem konfigurieren kann (PPPoE Passthrough Modus) solltest du das immer vorziehen !
Bitte warten ..
Mitglied: Networks
14.09.2011 um 09:53 Uhr
Die VPN steht und wurde wie folgt realisiert.

Weiterleitungen auf der Fritzbox:

Fernwartung FB
FB Manager: TCP 10.0.0.1 / 4105 > 10.0.0.2 / 4105
FB Manager: TCP 10.0.0.1 / 4117 > 10.0.0.2 / 4117
FB Manager: TCP 10.0.0.1 / 4118 > 10.0.0.2 / 4118

VPN
IPSEC: UDP 500 / 10.0.0.1 > UDP 500 / 10.0.0.2
IPSEC: UDP 4500 / 10.0.0.1 > UDP 4500 / 10.0.0.2
IPSEC: ESP / 10.0.0.1 > ESP / 10.0.0.2

Tools:
Watchguard System Manager = WSM11_4_2s.exe
Watchguard VPN Client = vpn-client-2.1.7-release.zip

Danke!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
WatchGuard Firebox X700
Frage von amgm2006Router & Routing8 Kommentare

Hallo, uns ist ein Rechner agbeschmiert, wo die Firebox X700 Konfiguriert wurde. Jetzt finden wir die Passende Software nicht ...

Router & Routing

Watchguard Firebox T15 hinter Speedport Hybrid

gelöst Frage von greatmgmRouter & Routing7 Kommentare

Hallo zusammen, geht sowas irgendwie oder gibt es ein HowTo für. Das Speedport selber lässt sich ja weder als ...

Router & Routing

VPN: Verbindung von FritzBox (7390) über SSL zum Firmennetzwerk (Watchguard)

gelöst Frage von rrobbyyRouter & Routing4 Kommentare

Hallo zusammen, derzeit loggen sich einige Anwender manuell über die Watchguard-VPN-Software mit SSL in unser Netzwerk ein. Dies funktioniert ...

DSL, VDSL

WatchGuard Firebox T15 mit Allnet ALL-MC115VDSL Modem

gelöst Frage von thomasjayDSL, VDSL12 Kommentare

Hallo zusammen, wir möchten gerne über die WatchGuard Firebox T15 ins Internet via (Netcologne VDSL) und einem Allnet ALL-MC115VDSL ...

Neue Wissensbeiträge
Administrator.de Feedback
Unsere Datenbank wurde umgestellt
Information von Frank vor 1 StundeAdministrator.de Feedback

Hallo User, ich habe in der Nacht unsere Datenbank umgestellt. D.h. neue Version (MySQL 8) und andere Örtlichkeit. Sollte ...

Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 2 TagenSonstige Systeme5 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 2 TagenDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 2 TagenWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Heiß diskutierte Inhalte
Windows 10
Programm unter Windows 10 automatisch mit administrativen Rechten starten
Frage von GrafmulderWindows 1016 Kommentare

Hallo zusammen! Zur Situation: Ich benutze Windows 10 Pro für Workstations (Build 1803) mit zwei Konten. Einem Administratorkonto und ...

Windows Server
Cisco Annyconnect Secure Mobility Client - Windows2003 Server unable to connect
Frage von novregenWindows Server11 Kommentare

Von einem Windows 2003 Server soll eine Verbindung über Cisco Anyconnect Mobility Client zu einer Gegenstelle aufgebaut werden. Die ...

LAN, WAN, Wireless
Empfehlung Powerline Adapter
Frage von AgilolfingerLAN, WAN, Wireless9 Kommentare

Hallo Zusammen, ich brauche eine Empfehlung von euch. Ich möchte in einem privaten Haushalt eine Powerline Lösung einrichten. Allerdings ...

Microsoft
Schulungs-Microsoft-Konten zentral verwalten
Frage von thejarneMicrosoft9 Kommentare

Hallo zusammen, wir haben bei uns in der Firma 12 Computer-Arbeitsplätze für EDV-Schulungen, wo u.A. auch Computer-Basics-Kurse (wie verwende ...