Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN über Fritzbox und Watchguard Firebox zu Siemens S7 System

Frage Linux Linux Netzwerk

Mitglied: Networks

Networks (Level 1) - Jetzt verbinden

16.07.2011, aktualisiert 18.10.2012, 9361 Aufrufe, 20 Kommentare

Hallo Leute,

wer kann mir hier Step by Step helfen?

Ich möchte eine VPN zu einem Siemens S7 System mit fester IP Adressierung realisieren.
Optimal würde eine Realisierung über die WatchGuard sein (dafür ist die Firebox ja auch da).
Danke schon mal für Eure Hilfe.

9e6633b4dfcf2a8ee2887b4953e646d7 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Networks
16.07.2011 um 19:27 Uhr
Danke

Ich möchte keinen Tunnnel nur zwischen der Fritzbox und der Firebox.
Ich möchte einen Tunnel über die Fritzbox durch die Firebox hindurch um auf das lokale Netzwerk hinter der Firebox zugreifen zu können.

Gruß
Bitte warten ..
Mitglied: aqui
17.07.2011 um 12:54 Uhr
Auch das ist kinderleicht !
Sofern du IPsec im ESP Modus verwendest als VPN Tunnelprotokoll musst du auf der Firewall lediglich die Ports:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, nicht TCP/UDP 50 !)
freigeben das diese Pakete passieren können.
Fertig ist der Lack.
Braucht man auch nicht viel mehr als 10 Sekunden zu im GUI der Firewall !
Bitte warten ..
Mitglied: Networks
21.07.2011 um 13:37 Uhr
Wenn mann es schon einmal gemacht hat, dann ja.

Die VPN steht und die Fernwartung der Fritzbox läuft.

Ich erreiche keine IP Adresse über die Fritzbox oder über die Firebox.
Müssen Routingeinträge noch vorgenommen werden?

VPN Client > Internet > Fritzbox > IP Fritzbox intern > IP Firebox extern > IP Firebox intern > IP Adresse im lokalen Netz

Was mache ich da noch falsch?
Bitte warten ..
Mitglied: aqui
21.07.2011 um 22:28 Uhr
Über die Fritzbox kannst du auch nix erreichen. Die ist ja gar nicht involviert in die VPN Kommunikation, da sie den Tunnel ja nur durchleitet.
Terminiert wird das VPN ja auf der Firebox !!
Logischerweise müssen die Client default Gateways auf die lokale IP Adresse der Firebox zeigen oder sofern die auf einen anderen Router zeigen in diesem Segment muss dort eine statische Route eingetragen sein auf das VPN Netz mit der Firebox als Gateway Adresse...logisch !
Leider sagst du recht wenig zur gesamten Topologie so das du uns hier quasi zum raten zwingst
Nicht gerade hilfreich für einen sinnvolle Hilfestellung....
Bitte warten ..
Mitglied: Networks
22.07.2011 um 11:07 Uhr
Sorry,

ich möchte gerne für eine Teststellung aus Sicherheitsgründen vorab nur die Fritzbox verwenden.
Die Endgeräte mit fester IP Adresse (z.B. 10.0.0.5) sind im lokalen Netz der Fritzbox z.B. 10.0.0.0 / 255.255.255.0 verbunden
Das GW ist die Lokale IP der Fritzbox (10.0.0.1)

Das GW der Fritzbox ist auch bereits über das Lokale Netzwerk der Firebox erreichbar was aber zur Zeit noch keine so große Rolle spielt.

Wenn doch die VPN zur Fritzbox steht, dann sollten doch die Rechner oder Endgeräte mit IP Adresse so erreichebar sein \\Endgeräte IP\Freigaben.

Oder muss die VPN Verbindung vorangestellt werden. http://Kennung über DYNDNS/Endgeräte IP/Freigaben?
Dies scheint aber nicht logisch für eine VPN, da diese wie ein lokales Netz fungiert.
Bitte warten ..
Mitglied: aqui
22.07.2011, aktualisiert 18.10.2012
Deine Beschreibung ist keineswegs hilfreich und zielführend
Oben korrigierst du uns noch mit "...Ich möchte keinen Tunnnel nur zwischen der Fritzbox und der Firebox." also das du den VPN Traffic nur durch die FB durchleiten willst und auf der Firebox zu terminieren.
Jetzt aber wieder alles umgedreht das du auf der Fritzbox terminierst....ja was denn nun ???
In der Tat funktioniert die VPN Verbindung nur mit lokalen bzw. internen IP Adressen wie ein lokaler Client. Das ist ja genau der tiefere Sinn eines VPNs.

Es ist immer noch deine genaue Topologie unklar durch deine verwirrende Beschreibung wo nun das VPN terminiert wird. Oben ist die Zeichnung auch nicht wirklich hilfreich denn sowas wie "...oder auch direkt" von der Fritzbox auf die lokale Switch Infrastruktur ist nicht möglich !!
Damit hättest du ja eine Backdoor Bridge vom 10er netzwerk ins 192.168er netzwerk...ein absolutes No Go !
Wenn du nur das VPN auf der Firebox terminierst muss dein Netzwerk IP seitig so aussehen:

10a7dbaf54d79684dcdd8f68329ed521 - Klicke auf das Bild, um es zu vergrößern

Nix mit Brücken von der FB zum 192.168er Netz usw. !
Ein identisches Szenario mit einem anderen VPN protokoll findest du hier. Es beschreibt exakt und genau dein Umfeld und die To Dos was man machen muss nur die VPN Protokollports sind anders bei dir da du IPsec verwendest statt SSL wie im beispiel. Das ist aber nur kosmetisch der Unterschied.

http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: Networks
22.07.2011 um 15:15 Uhr
Du hast Recht, es ist etwas irreführend.

Die Zielsetzung ist so wie Du es erkannt hast, allerdings möchte ich im Vorfeld das 192.168... Netz nicht mit einbeziehen.

Laufen soll es erst einmal bis zur Fritzbox und div. Testclients im Netz der Fritzbox,
wenn das super und sicher läuft, werde ich die Firebox inkl. internem Netz mit einbeziehen.

step by step
Bitte warten ..
Mitglied: aqui
22.07.2011 um 18:03 Uhr
OK, dann musst du natürlich als allererstes die VPN Clients auf der Fritzbox terminieren. Wie das geht steht hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...

Ist das passiert kommt immer dieselbe Leier, dann müssen die Test Rechner die im 10.0.0.0 /24er Netz sind als default Gateway logischerweise die IP Adresse der FB haben.
Zeitens sollten deren Firewalls angepasst werden, da du ja nun von einem Fremdnetz kommst. Normalerweise blocken die FW das dann also entsprechend anpassen.
Ist das alles geschehen, dann klappt der Zugriff problemlos. Nur mit einer FB als VPN Server ist das ja ein klasssiches Banalszenario was man in 10 Minuten zum Fliegen bekommt...
Bitte warten ..
Mitglied: Networks
23.07.2011 um 08:45 Uhr
Zu den Portfreigaben habe ich jetzt folgendes in diesem Forum zusammengetragen.

Port 1723 TCP
Port 500 UDP
und wenn das ganze über IPSec laufen soll muß noch Port 50 TCP und UDP
da es sich bei dem Port nicht um ein Port handelt sonderen um ein Protokol (ESP).
PPTP: 1723/TCP + Protokoll (NICHT Port) 47 (GRE - Generic Routing Encapsulation)
L2TP: 1701/UDP + 500/UDP (ISAKMP)

Ausserdem verwendet werden für IPSec:
Protokoll 50 (NICHT Port) - ESP (Encapsulated Security Payload)
Protokoll 51 (NICHT Port) - AH (Authentication Header)
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, nicht TCP/UDP 50 !)

Welche Portfreigaben machen Sinn und welche nicht?

Konfiguration Workstation = ?
Konfiguration Fritzbox = ?
Konfiguration Firewall Firebox = IPSec 50 ESP, UDP 500, UDP 4500
Bitte warten ..
Mitglied: aqui
23.07.2011 um 16:33 Uhr
Das ist Unsinn ! Port Freigaben benötigst du auf der FB nicht sofern du die VPN Clients erstmal auf der FB terminierst. Diese hängt direkt am Internet und braucht so keinerlei Port Freigaben oder Weiterleitungen.
Das wird erst relevant wenn du den VPN Tunnel ((Traffic) später wie oben angekündigt über die FB weiter zur Firebox leiten willst. Erst dann muss man das machen sonst nicht !
Deine Port Zuweisungen sind ebenso unsinnig bzw. völlig verwirrend oben da du alles wahllos zusammenwürfelst ! Richtig ist:

PPTP VPN Protokoll
1723/TCP
GRE Protokoll Nummer 47 (GRE - Generic Routing Encapsulation). Protokoll 47 (GRE) ist ein eigenes IP Protokoll !

IPsec VPN Protokoll
UDP 500 (IKE)
UDP 4500 (Nat Traversal)
ESP Protokoll Nummer 50 ,ESP (Encapsulated Security Payload) ist ein eigenes IP Protokoll !

L2TPc VPN Protokoll (nutzt IPsec ESP)
UDP 500 (IKE)
TCP 1701
ESP Protokoll Nummer 50 ,ESP (Encapsulated Security Payload) ist ein eigenes IP Protokoll !

Nur diese Port Freigaben machen Sinn je nachdem WELCHES VPN Protokoll du für deinen VPN Tunnel benutzt !!
Wie bereits bemerkt: Derzeit unsinnig wenn du den VPN Tunnel auf der FB direkt terminierst zu vorab Testen !
Bitte warten ..
Mitglied: Networks
23.07.2011 um 20:41 Uhr
Danke, genau DAS wollte ich nur wissen.
Ich habe alle Infos die ich benötige, jetzt kann es mit der Konfiguration losgehen.

Das sind doch nicht meine Portzuweisungen, Sorry.
Diese Liste ist nur ein Sammelsurium von diesem Forum bezüglich VPN Verbindungen.

"try & error" Sorry aber das ist nicht so mein Ding
Bitte warten ..
Mitglied: aqui
23.07.2011 um 22:03 Uhr
.. .try and error" ended in der IT meist fatal aber das weisst du sicher selber besser. Wiki und Dr. Google hätten dich auch auf die sichere Seite geführt statt zu raten aber nundenn. Mit dem jetzigen Werkzeugen wirst du das sicher und problemlos zum Fliegen bringen.

Wenns das denn war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: Networks
27.07.2011 um 08:42 Uhr
Aktueller Status:

VPN auf Fritzbox steht.
Zugriffe auf alle Host der Fritzbox möglich.
IPsec und VPN Trans. auf Firebox eingerichtet.

Jetzt zu dem kleinen Problem:

Die Fritzbox vergibt beim Aufbau einer VPN dem Client eine IP Adresse des lokalen Netzwerks z.B. 10.0.0.9,
der Zugriff muss aber auf z.B. 192.168.10.90 hinter der Firebox stattfinden.
Da beide IP nicht im gleichen Netz sind, kann man über die VPN nicht auf z.B. 192.168.10.90 hinter der Firebox zugegriffen.

Jetzt macht es doch Sinn über die Firebox eine VPN aufzubauen, sodass beide IP im gleichen Netz sind, oder?

Jetzt folgende Fragen:
Wie komme ich über das Internet zur Firebox (über die Fritzbox)?
Wie richte ich eine funktionierende Weiterleitung auf der Fritzbox ein (falls nötig)?
Wie richte ich ohne div. Sicherheitslücken eine VPN über die Firebox ins lokale Netz ein?
Bitte warten ..
Mitglied: aqui
27.07.2011 um 11:05 Uhr
.Wie komme ich über das Internet zur Firebox (über die Fritzbox)?
A.: Indem du dem Client eine statische Route mitgibst die ihn auch Pakete für das 192.168.10.0 /24er Netz in den Tunnel routet. Das AVM VPN Portal sagt dir wie das geht.
Wie richte ich eine funktionierende Weiterleitung auf der Fritzbox ein (falls nötig)?
A.: HowTo hat das AVM VPN Portal
Wie richte ich ohne div. Sicherheitslücken eine VPN über die Firebox ins lokale Netz ein?
A.: Diverse Beispiele findest du hier:
http://www.lobotomo.com/products/IPSecuritas/howto/WatchGuard%20Firebox ...
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
http://www.watchguard.com/help/docs/webui/11/en-us/content/en-us/mvpn/i ...
Bitte warten ..
Mitglied: Networks
02.08.2011 um 18:31 Uhr
Die meisten Liks beinhalten einfache VPN Verbindungen Fritzbox / Firebox oder Client / Fritzbox

Sorry aber so komme ich nicht weiter!

Beispiel für eine Einrichtung VPN Verbindung / Client > Internet > Fritzbox > Firebox > Host:

A ) Konfiguration Fitzbox

1. Melde dich an der Fritzbox an
2. Gehe in Menü die oder das
2. Um eine Weiterleitung oder XYZ einzurichten mach dies und das und jenes
3. Teste die Verbindung mit dem Tool XYZ

B) VPN Verbindung Firebox

1. Anmeldung an die Firebox und gehe in das Menü XYZ
2. Richte jetzt mit dem Tool XYZ die VPN Verbindung ein mit dies und das und jenes
3. Damit alles richtig läuft beachte dies und das und jenes
4. usw, usw

C) Einrichtung Client

1. Nimm diese oder jenes Tool
2. Importiere jenes File
3. Stelle noch Port XYZ um
4. Verbindungstest

So kann man einfach und sicher arbeiten und die Links können dann ergänzend sein.
Alles andere sind Experimente und unklare Definitionen.

Gruß
Bitte warten ..
Mitglied: aqui
05.08.2011 um 11:52 Uhr
Das ist so nicht möglich ! Beim VPN musst du dich fest entscheiden WO du den VPN Tunnel terminierst. Entweder Fritz- oder Firebox. beides, mit Weiterleitung usw. , ist technisch nicht möglich !!
Deshalb gibt es für das o.a. Ansinnen auch keine Lösung.
Bitte warten ..
Mitglied: Networks
05.08.2011 um 14:38 Uhr
Ich habe bereits eine Portweiterleitung auf der Fritzbox installiert.

Wo muss die feste IP Adresse (DYNDNS / selfhost ) nun laufen.
Wenn die Fritzbox die Ports weiterletet, reichtes doch aus, wenn dieser Dienst (DYNDNS, selfhost) auf der Fritzbox läuft, oder?.

UDP 500
UDP 4500

Die VPN soll jetzt über die Firbox aufgebaut werden.

Wie gebe ich der VPN / Clientverbindung die IP`S mit?

Gruß
Bitte warten ..
Mitglied: aqui
05.08.2011 um 19:43 Uhr
Die DynDNS Adresse bzw. der Client MUSS auf dem gerät laufen was die öffentliche IP hält. Laut deiner Zeichnung oben ist das die Fritzbox.
Deren öffentliche IP wird dann bei DynDNS zu deinem Hostnamen bekannt gemacht wie es sein soll.
Dann müssen auf der FB die relevanten VPN Ports zu deinem verwendeten VPN Protokoll auf den WAN Port bzw. IP Adresse der Firebox per Port Weiterleitung einbgerichtet sein. Da du IPsec verwendest ist das bei der Fritzbox dann:
UDP 500
UDP 4500
ESP Protokoll (IP Protokoll Nummer 50, Achtung NICHT UDP oder TCP 50 !)
Sinnvollerweise sollte die Firebox bzw. deren WAN port dann eine feste statische IP haben !
Der VPN Server ist dann auf der Firebox und terminiert die VPN Tunnel...fertig !
So würde das klappen und ist auch ein Standardszenario obwohl ein nur Modem statt eines Routers am WAN Port der Firebox erheblich sinnvoller sein würde. Die Kaskadierung eines weiteren NAT Routers vor der Firebox die selber wiederum NAT macht ist in solchen VPN Szenarien immer sehr nachteilig und kontraproduktiv, da sie so gut wie immer mit Problemen verbunden ist da man zwangsweise die NAT Firewall davor überwinden muss, was eigentlich bei Verwendung eines NUR Modems sinnvollerweise entfällt !!
Falls man die FB als Modem konfigurieren kann (PPPoE Passthrough Modus) solltest du das immer vorziehen !
Bitte warten ..
Mitglied: Networks
14.09.2011 um 09:53 Uhr
Die VPN steht und wurde wie folgt realisiert.

Weiterleitungen auf der Fritzbox:

Fernwartung FB
FB Manager: TCP 10.0.0.1 / 4105 > 10.0.0.2 / 4105
FB Manager: TCP 10.0.0.1 / 4117 > 10.0.0.2 / 4117
FB Manager: TCP 10.0.0.1 / 4118 > 10.0.0.2 / 4118

VPN
IPSEC: UDP 500 / 10.0.0.1 > UDP 500 / 10.0.0.2
IPSEC: UDP 4500 / 10.0.0.1 > UDP 4500 / 10.0.0.2
IPSEC: ESP / 10.0.0.1 > ESP / 10.0.0.2

Tools:
Watchguard System Manager = WSM11_4_2s.exe
Watchguard VPN Client = vpn-client-2.1.7-release.zip

Danke!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
VPN Fritzbox mit Draytek LAN-to-LAN (1)

Frage von macjolo zum Thema Router & Routing ...

Windows Netzwerk
gelöst Netzwerkkonzept mit neuer Firewall Watchguard Firebox M200 (11)

Frage von mario87 zum Thema Windows Netzwerk ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...