wtwinni
Goto Top

IPSEC VPN Netgear PS UTM 50 hinter Fritzbox

Hallo liebe IT Profis,

ich brauche eure Hilfe beim einrichten einer VPN.
Ich habe in meinem Netzwerk eine Wago-Steuerung auf welche ich über IPSEC VPN gerne zugreifen möchte.
Folgendermaßen soll der Aufbau sein: Internet -> Fritzbox 7372 SL (als DSL Router) -> Netgear ProSecure UTM 50 (als VPN-Server) -> Wago-Steuerung
Als Client habe ich es bisher mit Shrew Soft VPN Client versucht.

IP Firewall WAN: 192.168.44.11
IP Firewall LAN: 10.1.44.0
Subnet: 255.255.255.0
IP VPN: 10.1.45.0

Wenn ich ein PC vor die FW hänge, kann der VPN Client eine Verbindung aufbauen.

Erstes Problem:
Von Außen kommt keine Verbindung zustande.
Folgende Ports wurden in der Fritzbox mit dem Ziel 192.168.44.11 freigegeben: 500 UDP, 4500 UDP, ESP - Testweise auch einmal Exposed Host auf die 192.168.44.11
Macht die Fritzbox hier trotz Freigabe dennoch dicht?

Zweites Problem:
Bei der Testverbindung mit einem PC vor der FW, wurde zwar eine VPN-Verbindung aufgebaut, jedoch konnte ich nicht die WAGO-Steuerung anpingen (zugreifen).

Drittes Problem:
Ist es in der FW möglich eine Regel zu hinterlegen, dass bei einer VPN Einwahl "NUR" auf die IP von der Wago-Steuerung zugegriffen werden darf?
Evtl. VPN nur Zugriff auf einen LAN-Port der FW und dann mit einem VLAN entspr. auf die WAGO.

Bitte verzeiht mir, wenn vielleicht manche Angaben zur Problemlösung fehlen. Diese liefere ich natürlich gerne nach.

Dankeschön!

Content-Key: 326764

Url: https://administrator.de/contentid/326764

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: aqui
aqui 19.01.2017 aktualisiert um 10:24:51 Uhr
Goto Top
Von Außen kommt keine Verbindung zustande.
Das ist auch kein Wunder !
Da die FB ja selber IPsec VPN Server sein kann, kann sie die IPsec Protokollports 500 UDP, 4500 UDP und ESP nicht aktiv auf die dahinter kaskadierte Firewall forwarden. Exposed Host nützt da logischerweise rein gar nichts, denn das forwardet ausschließlich nur Ports und Protokolle die NICHT auf dem Router selber in Verwendung sind oder fürs PFW deklariert sind. Hätte dir aber auch selbst einleuchten müssen.
Die FB versucht also quasi immer selber diesen Traffic für sich zu "sehen" und forwardet deshalb nicht.
Folglich kommt also an der dahinter kaskadierten IPsec Firewall erst gar kein IPsec Traffic an. Das hättest du auch ganz einfach selber sofort gesehen wenn du testeweise einmal einen Wireshark Rechner mit der NetGear IP an die FB gehängt hättest und dann nach geforwardetem IPsec Traffic gesniffert hättest.
Dort wäre mit Sicherheit nichts aufgelaufen aufgrund der o.a. Problematik. Entsprechend hat vermutlich auch das Log der NetGear Gurke keinerlei IPsec Logging ausgegeben was diese Annahme dann bestätigt. Leider hast du es ja versäumt hier mal einen Log Auszug zu posten aber wenn da nix ist kann man auch nix posten...auch klar face-wink
Fazit:
Du musst zuallererst den VPN Support auf der FB deaktivieren, damit diese dann aktiv 500 UDP, 4500 UDP, und ESP an die dahinterliegende NG forwarden kann.
Bei der Testverbindung mit einem PC vor der FW, wurde zwar eine VPN-Verbindung aufgebaut,
Logisch ! Bestätigt die o.a. Annahme das die FB eben genau den IPsec Traffic NICHT forwardet !
Ist es in der FW möglich eine Regel zu hinterlegen, dass bei einer VPN Einwahl "NUR" auf die IP von der Wago-Steuerung zugegriffen werden darf?
Ja natürlich !
Das ist eine grundlegende Funktion jeglicher Firewall ! Die erzeugen für den VPN Tunnel ein virtuelles Interface auf das du normale FW Regeln applizieren kannst, simpler Standard. Bei pFSense und allen anderen ist das so und auch normales Feature für eine Firewall ! Das sollte bei NG auch nicht anders sein.
Grundlagen zu dem Thema findest du wie immer hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software