demetz
Goto Top

Telekom Digitalisierungsbox mit WatchGuard Firewall

Hallo,

folgendes Problem besteht im Moment und vielleicht hat einer diese Konfiguration bereits erfolgreich installiert bekommen.

Telekom Digitalisierungsbox Smart stellt die Internetverbindung sowie die Telefonie her. (Funktioniert ohne Probleme)
Die WatchGuard Firewall T50W hängt am LAN1 Port und soll das Unternehmens-Netzwerk abbilden.

Nun bin ich nach der Anleitung der Telekom (s. folgender Link: https://www.telekom.de/hilfe/downloads/konfigurationsanleitung-exposed-h ..)
vorgegangen und habe alle Parameter so angepasst.

IP Adresse Telekom Box Smart: 192.168.2.1

WatchGuard Firewall External Interface: 192.168.2.2
WatchGuard Firewall Trusted Netz: 10.10.10.0/24
WatchGuard Firewall Trusted IP Adresse: 10.10.10.254

Nach der kompletten Konfiguration (auch nach Anleitung der Telekom) kann ich aus dem Firmen-Netzwerk komplett ins Internet.

Die statische IP Adresse der Telekom (wurde zugewiesen) lässt sich von extern nicht an pingen, somit ist auch kein IPSec über die WatchGuard Firewall möglich.
Eine Abfrage (www.wieistmeineip.de) von einem Server in dem Firmen Netzwerk (10.10.10.251) zeigt jedoch die richtige statische IP Adresse die seitens der Telekom zugewiesen wurde.

Mache ich hier etwas falsch, bzw. habe ich etwas vergessen?

Vielen Dank!

Content-Key: 321065

Url: https://administrator.de/contentid/321065

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 15.11.2016 aktualisiert um 21:32:28 Uhr
Goto Top
Moin,

ich tippe schwer drauf, das ICMP Standardmäßig geblockt wird.
IPSec korrekt konfiguriert?

Zudem läuft hier doch ein doppel NAT??
Mitglied: Kalle2013
Kalle2013 15.11.2016 um 23:54:16 Uhr
Goto Top
Damit die DigiBox auf den ping reagiert, muss dieser über den Menupunkt "Administrativer Zugriff" freigegeben werden.
Mitglied: demetz
demetz 16.11.2016 um 08:33:26 Uhr
Goto Top
Hallo zusammen,

über den Menüpunkt "Administrativer Zugriff" ist die Option freigegeben jedoch ohne Erfolgt.

Siehe Screenshot...
bildschirmfoto 2016-11-16 um 08.28.55
Mitglied: demetz
demetz 16.11.2016 um 08:37:18 Uhr
Goto Top
Wo läuft denn hier ein doppel NAT?
Diese Lösung funktioniert genau so in einigen Installation mit einer FritzBox ...
Bei der FritzBox muss in diesem Fall nur unter Internet - Freigaben - Portfreigaben, der Exposed Host Eintrag gesetzt werden.

Danke...
Mitglied: aqui
aqui 16.11.2016 aktualisiert um 14:25:58 Uhr
Goto Top
lässt sich von extern nicht an pingen, somit ist auch kein IPSec über die WatchGuard Firewall möglich.
Das ist natürlich Blödsinn, denn das eine hat mit dem anderen nichts zu tun !
Ping ist ICMP und auf Business Anschlüssen bzw. deren Router ist in der Regel ICMP aus Sicherheitsgründen geblockt um Port Scan Attacken und andere Angriffe wenigstens etwas zu minimieren.
IPsec aber nutzt UDP 500, 4500 und das ESP Protokoll, hat also mit ICMP (Ping) überhaupt nichts zu tun.

So oder so musst du aber zwingend auf dem Telelom Router diese 3 Ports bzw. 2 Protokolle auf die Watchguard per Port Forwarding weiterleiten ansonsten wird IPsec VPN auf der Watchguard eh nicht funktionieren.

Wo läuft denn hier ein doppel NAT?
Eins rennt auf alle Fälle auf dem Telekom Router, was man ja an der RFC 1918 IP Adresse an dessen LAN Segment erkennt.
Ob NAT auch auf der Watchguard auf dem 192.168.2er Port aktiviert ist kann man nr raten, da du dazu nichts sagst ober das Setup gepostet hast. In der Regel ist bei Firewalls aber in der Default Konfig NAT auf dem WAN Port aktiviert.
Da du hier ja quasi eine Router Kaskade betreibst kann man davon ausgehen das du vermutlich doppeltes NAT machst also einmal Watchguard und dann Telekom Router. Zumindest was die Watchguard anbetrifft ist das aber nur angenommen.
Generell sind solche Kaskaden nicht optimal. Technisch besser wäre es ohne Telekom Billigrouter und mit einem reinen Modem zu arbeiten und nur mit der Watchguard.
Es geht aber natürlich auch in einer Kaskade.
Mitglied: demetz
demetz 16.11.2016 um 14:13:14 Uhr
Goto Top
Hallo,

also Ping ist definitiv aktiviert wie der Screenshot im Anhang bestätigt.
Ich habe nun auch Port 4500 noch konfiguriert und es ist immer noch keine VPN Verbindung in das Netzwerk via IPSec von außen möglich.

Leider muss der Telekom Router bleiben, da die Telefonie hierüber benutzt wird.

Hat den jemand diese Lösung so komplett bereits im Einsatz?

Vielen Dank!
bildschirmfoto 2016-11-16 um 13.33.35
Mitglied: aqui
aqui 16.11.2016 aktualisiert um 14:27:17 Uhr
Goto Top
Oha und auch die Schnüffelschnittstelle TR-069 aktiviert ! Böses Faul. Verantwortungsvolle Netzwerker unterbinden sowas sofort.
Wenn Ping aktiviert ist auf dem Router WAN Port der direkt zum Provider geht, dann muss die öffentliche IP Adresse an diesem Port auch anpingbar sein von außen.
Sollte das dennoch nicht gehen ist irgendwas Grundlegendes falsch !!
Ich habe nun auch Port 4500 noch konfiguriert
Was denn UDP oder TCP ?? Bei IPsec muss das UDP sein.
Es muss UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50 im Port Forwarding eingetragen sein. Also 3 Protokollkomponenten bei IPsec.
Achtung ESP ist ein eigenes IP Protokoll das ist nicht UDP oder TCP 50 ! Bedenke das !

Die Watchguard muss natürlich an ihrem WAN Port auch inbound diese 3 Protokolle erlauben mit einer entsprechenden Regel. Hast du das beachtet ?

Mach einen ganz einfachen Test.
Klemme temporär die Watchguard einmal ab und klemme einen Laptop stattdessen an mit der gleichen WAN IP Adresse .2
Auf diesem Laptop lässt du einen Wireshark Sniffer laufen und protokollierst die eingehenden Pakete mit.
Jetzt machst du von außen einen IPsec VPN Zugriff und checkst den Wireshark Trace.
Kannst du hier eingehende UDP 500 Pakete (IKE, ISAKMP) und auch UDP 4500 (NAT Traversal) sehen dann forwardet der davor kaskadierte Router die IPsec Protokolel fehlerfrei.
Wenn nicht stimmt irgendwas an den Port Forwarding oder Firewall Regeln nicht.

Zusätzlich wäre das Watchguard Log hier sehr hilfreich, was das mitprotokolliert bei einer eingehenden IPsec VPN Anforderung !!
Auch das sgt schon sehr genau WO der Fehler liegt !
Mitglied: demetz
demetz 16.11.2016 um 14:33:13 Uhr
Goto Top
Hallo noch mal.

Also ja es sind alle Ports so konfiguriert, auch die Watchguard Firewall hat alles so richtig hinterlegt.

Fehlermeldung des IPSec Tools VPN Tracker 365 "VPN Gateway antwortet nicht, Phase 1". Auf der WatchGuard Firewall
kommt nichts im Log an! (Ja logging ist aktiviert für die IPSEC Regeln)

Was kann ich noch machen das die Box von extern erreichbar ist, nach meiner Meinung kann das nicht an der Box mehr liegen...

Vielen Dank!
Mitglied: demetz
demetz 16.11.2016 um 15:52:53 Uhr
Goto Top
Hallo zusammen,

nach der Wiederherstellung der Firewall Einstellungen der Digi Box Smart und erneuter identischer Konfiguration klappt es nun ohne Probleme. (sehr komisch)

Was jedoch jetzt nur nicht klappt ist der Ping, jemand dazu noch eine Idee?

Vielen Dank!
Mitglied: aqui
aqui 16.11.2016 aktualisiert um 15:58:17 Uhr
Goto Top
Auf der WatchGuard Firewall kommt nichts im Log an!
OK, dann ist die Sache klar, dann ist kein, oder ein fehlerhaftes Port Forwarding für die IPsec Protokollkomponenten im davorliegenden Telekom Router konfiguriert worden.
Wenn der nichts forwardet dann kann natürlich an der Watchguard auch nix ankommen, das ist klar !
Wir gehen jetzt mal davon aus das die Watchguard am WAN Port der im 192.168.2er Netz des Telekom Routers hängt wirklich entsprechende Inbound Regeln konfiguriert sind die IPsec dort passieren lassen ?!
Auch das kannst du einfach und schnell testen wenn du ins 192.168.2er Netz mal einen Laptop mit einem IPsec Client steckst und einfach mal eine VPN Verbindung auf die Watchguard aufmachst.
Dann sollten dort in jedem Falle IKE Log Messages zu sehen sein und das zeigt dann das die Inbound Regel funktioniert.

Checke also nochmal akribisch das Port Forwarding im Telekom Router (ggf. Screenshot hier) und ggf. die Inbound Regel am Watchguard WAN Port !

Was jedoch jetzt nur nicht klappt ist der Ping, jemand dazu noch eine Idee?
Das kann ja nur ein Firmware Bug im Router sein ! Wenn der anzeigt das der Ping auf die öffentliche Provider IP aktiviert ist es aber dennoch nicht geht ist das ein Bug !
Ist das Router Image auf die aktuellste Firmware Version geflasht ?!
Mitglied: demetz
demetz 16.11.2016 um 16:15:46 Uhr
Goto Top
Noch mal Danke für die Info, klappt jetzt ohne Probleme VPN IPSec sowie SSL funktionieren ohne Probleme, auch im Log der WatchGuard wird alles gezeigt.

Die DIGI Box Smart hat im Moment die folgende Firmware installiert:

V.10.1.7.109
Mitglied: aqui
aqui 17.11.2016 um 11:51:59 Uhr
Goto Top