5
VPN auf Lancom hinter einer Securepoint und Fritz.Box
Moin moin zusammen,
ich stehe gerade vor einer interessanten Aufgabe und komme irgendwie nicht weiter.
Erstmal die Konstellation:
VPN Initiator:
Lancom hinter einer Fritte ohne öffentliche IP. Verbindung wird über Dynamisches VPN mit UDP Packeten versucht (Port 87)
Von dieser Seite aus sollte auch kein Problem auftauchen, da es mit einer LTE Fritte auch schon funktioniert hatte.
VPN Responder:
Internet -> Fritte (Portfreigaben stehen unten) -> Securepoint -> Lancom
Portfreigaben der Fritte
UDP 87
UDP 500
UDP 4500
ESP
Nun erstmal die Frage: Ist es überhaupt möglich, so verschachtelt, ein VPN zum Lancom auf der responder Seite aufzubauen?
Wenn ja, wie muss ich die Ports an der Securepoint UTM freigeben, damit das auch Funktioniert?
Derzeit sind auf der UTM die Ports wie folgt eingetragen:
Quelle Ziel Dienst NAT
internet external-interface UDP 87 -
internet external-interface ipsec (gruppe) -
Danke schonmal für eure Antwort
Mit freundlichen Grüßen
Kelevra9987
ich stehe gerade vor einer interessanten Aufgabe und komme irgendwie nicht weiter.
Erstmal die Konstellation:
VPN Initiator:
Lancom hinter einer Fritte ohne öffentliche IP. Verbindung wird über Dynamisches VPN mit UDP Packeten versucht (Port 87)
Von dieser Seite aus sollte auch kein Problem auftauchen, da es mit einer LTE Fritte auch schon funktioniert hatte.
VPN Responder:
Internet -> Fritte (Portfreigaben stehen unten) -> Securepoint -> Lancom
Portfreigaben der Fritte
UDP 87
UDP 500
UDP 4500
ESP
Nun erstmal die Frage: Ist es überhaupt möglich, so verschachtelt, ein VPN zum Lancom auf der responder Seite aufzubauen?
Wenn ja, wie muss ich die Ports an der Securepoint UTM freigeben, damit das auch Funktioniert?
Derzeit sind auf der UTM die Ports wie folgt eingetragen:
Quelle Ziel Dienst NAT
internet external-interface UDP 87 -
internet external-interface ipsec (gruppe) -
Danke schonmal für eure Antwort
Mit freundlichen Grüßen
Kelevra9987
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 518939
Url: https://administrator.de/contentid/518939
Printed on: April 19, 2024 at 12:04 o'clock
5 Comments
Latest comment
Du musst dafür sorgen, dass Fritzbox und SecurePoint IPSec-Verbindungen ignorieren, anstatt diese anzunehmen.
Wenn das nicht realisierbar ist, könntest du noch über IPSec-over-HTTPS gehen, was LANCOM beherrscht. Erwarte dann aber keine Hurra-Erlebnisse bei der Performance, da die Daten dann dreimal verschachtelt werden (Nutzdaten in IPSec in NAT-T-UDP in HTTPS).
Wenn das nicht realisierbar ist, könntest du noch über IPSec-over-HTTPS gehen, was LANCOM beherrscht. Erwarte dann aber keine Hurra-Erlebnisse bei der Performance, da die Daten dann dreimal verschachtelt werden (Nutzdaten in IPSec in NAT-T-UDP in HTTPS).
Hallo,
grundsätzlich: ja, aber häufig funktionieren ipsec oder l2tp hinter NAT nicht/richtig/gut.
Kann der Lancom OpenVPN? Das wäre nur ein TCP Port.
Stefan
grundsätzlich: ja, aber häufig funktionieren ipsec oder l2tp hinter NAT nicht/richtig/gut.
Kann der Lancom OpenVPN? Das wäre nur ein TCP Port.
Stefan
UDP 1194 im Standard
@TE
Hat die Konstellation, dass erst 2 Mal genattet werden muss, bevor die Lancom-Box dran ist, einen Grund? Anonsten sind VPN-Gateways immer die ersten in der Reihe (mit dem A im Internet).
Ziel kann ja nicht das externe Interface der Securepoint sein, wenn der Lancom nach deinem Schema am internen Interface hängt. Dementsprechend das NAT von Quelle external auf Ziel internal umbauen, den Lancom als Objekt anlegen und Portforward auf das Objekt aktivieren.
@TE
Hat die Konstellation, dass erst 2 Mal genattet werden muss, bevor die Lancom-Box dran ist, einen Grund? Anonsten sind VPN-Gateways immer die ersten in der Reihe (mit dem A im Internet).
Quelle Ziel Dienst NAT
internet external-interface UDP 87 -
internet external-interface ipsec (gruppe) -
internet external-interface UDP 87 -
internet external-interface ipsec (gruppe) -
Ziel kann ja nicht das externe Interface der Securepoint sein, wenn der Lancom nach deinem Schema am internen Interface hängt. Dementsprechend das NAT von Quelle external auf Ziel internal umbauen, den Lancom als Objekt anlegen und Portforward auf das Objekt aktivieren.
Oder man verwendet gleich IPv6... 
Kein NAT = Kein Problem
Zu den Ports kommt noch das Problem, dass jeder Router bei UDP seine eigenen Timeouts annimmt. Wenn da also irgendwann die Verbindung unterbricht, weißt du nie, wer das war.
Kein NAT = Kein Problem
Zu den Ports kommt noch das Problem, dass jeder Router bei UDP seine eigenen Timeouts annimmt. Wenn da also irgendwann die Verbindung unterbricht, weißt du nie, wer das war.
Moin Moin,
erstmal Sorry für die verspätete Antwort. Es sind einige Projekte dazwischen gekommen.
Klar das zwei mal Natten ist, gelinde gesagt, unschön. Mir ist aber auf die schnelle nichts besseres eingefallen.
Gewollt ist ja, das mehrere Filialen über VPN zur Zentrale ins Internet gehen. Soweit funktioniert das ja auch schon. Nur jetzt soll die Securepoint als Webfilter mit AD-Authentifizierung den gesamten Traffic überwachen.
Also würde eine Route vereinfacht dargestellt ungefähr so aussehen:
PC-Filiale -> Lancom Filiale ->VPN -> Lancom Zentrale -> Securepoint -> Internet der Zentrale
Wenn es nun Wege gibt, um das schöner und/oder einfacher zu gestalten, wäre ich für Hilfe natürlich äußerst Dankbar.
PS: Das VPN muss zwingend über IPSec / IKEv1 laufen. Fragt mich nicht warum, ist so vorgegeben.
Grüße
erstmal Sorry für die verspätete Antwort. Es sind einige Projekte dazwischen gekommen.
Klar das zwei mal Natten ist, gelinde gesagt, unschön. Mir ist aber auf die schnelle nichts besseres eingefallen.
Gewollt ist ja, das mehrere Filialen über VPN zur Zentrale ins Internet gehen. Soweit funktioniert das ja auch schon. Nur jetzt soll die Securepoint als Webfilter mit AD-Authentifizierung den gesamten Traffic überwachen.
Also würde eine Route vereinfacht dargestellt ungefähr so aussehen:
PC-Filiale -> Lancom Filiale ->VPN -> Lancom Zentrale -> Securepoint -> Internet der Zentrale
Wenn es nun Wege gibt, um das schöner und/oder einfacher zu gestalten, wäre ich für Hilfe natürlich äußerst Dankbar.
PS: Das VPN muss zwingend über IPSec / IKEv1 laufen. Fragt mich nicht warum, ist so vorgegeben.
Grüße
