Janh (Diskussion | Beiträge) |
Keine Bearbeitungszusammenfassung |
||
(2 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Archivhinweis|UTM/IPSec_-_Fritzbox}} | |||
{{Set_lang}} | {{Set_lang}} | ||
{{vardefine:headerIcon|spicon-utm}} | {{vardefine:headerIcon|spicon-utm}} | ||
{{var | 1=neu--ike_forward_rules Korrektur | |||
| 2=Syntax Korrektur in der Konfigurationsdatei bei ''ike_forward_rules'' {{Einblenden3|?|{{#var:hide}}|true|dezent }} <br>{{code|,}} statt {{code|;}} am Ende der Zeile {{code|<nowiki>ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",</nowiki> }}</div></div> | |||
| 3= }} | |||
</div>{{DISPLAYTITLE:IPSEC - Fritzbox mit UTM v.11}}{{TOC2}} | </div>{{DISPLAYTITLE:IPSEC - Fritzbox mit UTM v.11}}{{TOC2}} | ||
<p>'''Erstellen einer IPSec-Verbindung mit einer Fritzbox'''</p> | <p>'''Erstellen einer IPSec-Verbindung mit einer Fritzbox'''</p> | ||
<p> | <p>{{#var:ver-d}} 03.2021</p> | ||
</p>{{cl|Neu| | </p>{{cl|Neu| | ||
* | * {{#var:neu--ike_forward_rules Korrektur}} | ||
|w=40px }} | |w=40px }} | ||
;Vorbemerkung | ;Vorbemerkung | ||
Zeile 179: | Zeile 186: | ||
accesslist = "permit ip any 192.168.175.0 255.255.255.0"; <font color=green>//{{Hinweis|!|r}} internes Netzwerk der Securepoint</font> | accesslist = "permit ip any 192.168.175.0 255.255.255.0"; <font color=green>//{{Hinweis|!|r}} internes Netzwerk der Securepoint</font> | ||
} | } | ||
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500" | ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", | ||
"udp 0.0.0.0:4500 0.0.0.0:4500"; | "udp 0.0.0.0:4500 0.0.0.0:4500"; | ||
} | } | ||
Zeile 284: | Zeile 291: | ||
* Wechseln Sie im Dialog ''Freigaben'' auf die Registerkarte ''VPN''. | * Wechseln Sie im Dialog ''Freigaben'' auf die Registerkarte ''VPN''. | ||
* Im unteren Bereich ''VPN-Verbindungen'' ist die erstellte Verbindung zu sehen. | * Im unteren Bereich ''VPN-Verbindungen'' ist die erstellte Verbindung zu sehen. | ||
* | * In der Spalte ''Status'' wird bei einer aufgebauten Verbindung ein grüner Kreis angezeigt. |
Aktuelle Version vom 22. September 2023, 09:32 Uhr
notempty
Erstellen einer IPSec-Verbindung mit einer Fritzbox
Letzte Anpassung: 03.2021
- Neu
- Syntax Korrektur in der Konfigurationsdatei bei ike_forward_rules
, statt ; am Ende der Zeile ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
- Vorbemerkung
Dieses Howto zeigt einen Weg um eine Verbindung zwischen einer Securepoint UTM und einem Fremdprodukt herzustellen. Aufgrund der Vielzahl der Geräte und Firmwareversionen können wir aber keine Garantie für einen erfolgreichen Verbindungsaufbau übernehmen.
Eine IPSec Site-to-Site Verbindung zu einer AVM Fritz!Box ist nur möglich, wenn die Securepoint Appliance über eine feste IP-Adresse verfügt. Besitzen beide Seiten nur eine dynamische IP-Adresse in Verbindung mit einem DNS Dienst für dynamische Adressverwaltung, ist eine Verbindung nicht möglich.
Voraussetzungen
Es wird eine AVM Fritz!Box benötigt die VPN Anbindungen unterstützt.
Die Gegenstelle, die mit einer Securepoint Appliance ausgerüstet ist, muss über eine statische IP-Adresse verfügen.
Wenn zwei dynamische IP-Adressen verbunden werden sollen, wählt die AVM VPN Funktion als Transportmodus den „Aggressive Mode“. Dieser wird von den Securepoint Appliances nicht unterstützt.
Im „Aggressive Mode“ wird die Authentisierung der beiden Gegenstellen nicht verschlüsselt vorgenommen. Die Hashwerte des Preshared Key werden unverschlüsselt übertragen. Somit ist die Sicherheit von der Stärke des Preshared Key und vom verwendeten Hashverfahren abhängig. Da die meisten gemeinsamen Schlüssel aber
nur die Mindestanforderungen erfüllen, wird dieser Modus nicht unterstützt.
Einrichtung der Fritzbox
Ist das verwendete AVM Produkt noch nicht für den VPN Betrieb ausgelegt, kann auf der Homepage des Herstellers überprüft werden, ob eine neue Firmware diese Funktionalität zu Verfügung stellt.
Einspielen einer neuen Firmware Version
Vor dem herunterladen der neue Firmware Version von der Internetseite von AVM, ist darauf zu achten, dass nur Firmware benutzt werden kann, die für das vorhandene Produkt zugelassen ist.
- Die Konfigurationsoberfläche der Fritz!Box wird im Browser aufgerufen.
- Einstellung ab Werk: 192.168.178.1
- Die für die Konfiguration notwendige Expertenansicht ist unter den Menüpunkten Einstellungen → System → Ansicht zu erreichen.
- Im Dialog wird die Checkbox Expertenansicht aktivieren aktiviert die Auswahl mit Übernehmen bestätigt.
- Nun muss der Menüeintrag Firmware-Update angeklickt werden.
- Ein Klick auf Durchsuchen öffnet den Explorer und es kann die eben heruntergeladene aktuelle Firmware Version ausgewählt werden.
- Das Aufspielen der aktuellen Firmware startet mit dem Button Update.
- Das nächste Fenster informiert über den Vorgang der Aktualisierung.
- Der Button Zur Übersicht ist zu betätigen, wenn der Update-Vorgang abgeschlossen ist.
DynDNS aktivieren
Um einen DynDNS in der VPN Konfiguration nutzen zu können, muss diese Funktion vorher eingerichtet werden. Dies setzt natürlich voraus, dass ein Account bei einem DynDNS Dienst Anbieter vorhanden ist (z.B. SPDyn).
- In der Konfigurationsoberfläche → Einstellungen → im linken Menü → Erweiterte Einstellungen → Internet → Freigaben → Dialog: Freigaben.
- Wechseln zur Registerkarte Dynamic DNS.
- Aktivieren der Checkbox Dynamic DNS benutzen.
- Anbieter aus dem Dropdownfeld auswählen.
- Domainname: der Name, der beim Anbieter für die Domain hinterlegt ist
- Anmeldedaten zum DynDNS Anbieter in den Feldern Benutzername, Kennwort und Kennwortbestätigung eingeben.
- Klick auf Übernehmen.
Internes Netzwerk ändern
Da das ab Werk eingestellte interne Netz 192.168.178.0, nach Vorgabe des Fritz!Box VPN Assistenten, nicht für VPN genutzt werden darf, muss das interne Netz gewechselt werden.
- In der Konfigurationsoberfläche unter Einstellungen → im linken Menü Erweiterte Einstellungen → System → Netzwerkeinstellungen → Dialog Netzwerkeinstellungen.
- Schaltfläche
- Es öffnet sich die Anzeige IP-Adressen'.
- IP-Adresse die neue IP-Adresse des internen Netzes an.
- Es können alle privaten Adressbereiche verwendet werden (10.xxx.xxx.1, 192.168.xxx.1 oder 172.16.xxx.1 bis 172.31.xxx.1).
- Eingabe der Subnetzmaske, wenn diese nicht automatisch gesetzt wird.
- Wenn alle verbundene Computer im Netz automatisch eine IP-Adresse und andere Netzinformationen von der Fritz!Box zugewiesen bekommen sollen, muss die Checkbox DHCP-Server aktivieren aktiviert werden.
- Eingabe IP-Adressen von/bis für die IP-Adressen des internen Netzes, die die Fritz!Box zur Zuweisung verwenden soll
- Danach ist eine erneute Anmeldung mit der neuen IP-Adresse an der Fritz!Box erforderlich.
VPN Konfiguration erstellen
Die Konfiguration der VPN Verbindung wird nicht über die Konfigurationsoberfläche im Browser vorgenommen, sondern wird als Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, die Sie auf der Internetseite des Herstellers AVM herunterladen können. Die Anwendungssoftware trägt den Namen Fritz!Fernzugang einrichten.
- Laden Sie sich die Software Fritz!Fernzugang einrichten herunter und installieren Sie diese auf Ihrem Rechner.
- Starten Sie das Programm.
- Klicken Sie auf das Icon Neu in der Symbolleiste, um eine neue Konfigurationsdatei anzulegen. Es werden immer zwei Dateien angelegt, eine für die lokale Fritz!Box und eine für die Gegenstelle.
Ein Assistent führt Sie durch die Erstellung der Konfigurationsdatei.
Der Speicherort der Dateien wird angezeigt.
Es wurden von dem Assistenten zwei Dateien erstellt, die in der lokalen und der entfernten Fritz!Box importiert werden sollen. Da in diesem Fall aber die Verbindung zu einer Securepoint Appliance hergestellt werden soll, wird nur die Datei für die lokale Fritz!Box benötigt. Diese hat im Dateinamen die spdyn URL.
- Diese Konfigurationsdatei muss noch angepasst werden, damit eine Verbindung zur Securepoint Appliance aufgebaut werden kann.
- Öffnen Sie dazu die Datei in einem Editor (z. B. MS Editor).
Die Konfigurationsdatei anpassen
Im nächsten Abschnitt sehen Sie die angepasste Konfigurationsdatei.
Grün markierte Einträge sind individuelle Konfigurationen.
Notwendige manuelle Änderungen sind zusätzlich mit gekennzeichnet.
Die Datei muss zum Abschluss gespeichert werden!
vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "Securepoint"; // Name der Verbindung in der Konfigurationsoberfläche always_renew = yes; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 192.0.2.192; // statische IP-Adresse der Securepoint remote_virtualip = 0.0.0.0; localid { fqdn = "fritz_lokal.spdyn.de"; // spdyn-DNS-Name der Fritz!Box //ipaddr = xxx.xxx.xxx.xxx; // statische IP-Adresse der Fritz!Box, wenn vorhanden } remoteid { ipaddr = 192.0.2.192; // statische IP-Adresse der Securepoint Appliance } mode = phase1_mode_idp; // Main-Mode phase1ss = "dh14/aes/sha"; // Proposals für Phase 1 (DH14, AES, SHA) keytype = connkeytype_pre_shared; key = "geheim"; // VPN Kennwort (Preshared Key) cert_do_server_auth = no; use_nat_t = no; / yes; // Befindet sich eine Seite hinter einem NAT Router ja = yes; nein = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.100.0; // internes Netzwerk der Fritz!Box mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.175.0; // internes Netzwerk der Securepoint mask = 255.255.255.0; } } phase2ss = "esp-all-all/ah-none/comp-all/pfs"; // mit Kompression accesslist = "permit ip any 192.168.175.0 255.255.255.0"; // internes Netzwerk der Securepoint } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500"; } // EOF
Parameter | geänderter Wert | Beschreibung |
---|---|---|
name = | "Securepoint"; | // Name der Verbindung in der Konfigurationsoberfläche Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberfläche der Fritz!Box angezeigt, wenn die Datei importiert wurde. |
remoteip = | 192.0.2.192; | //statische IP-Adresse der Securepoint Dies ist die statische IP-Adresse der Securepoint Appliance.
|
localid{ fqdn = |
"fritz_lokal.spdyn.de"; |
// spdyn-Name der Fritz!Box Wurde bereits im Assistenten konfiguriert. |
//ipaddr = } |
xxx.xxx.xxx.xxx; | //statische IP-Adresse der Fritz!Box, wenn vorhanden Sie können hier auch eine IP-Adresse eingeben, wenn die Fritz!Box über eine statische IP-Adresse verfügt. Diese Angaben werden auch vom Assistenten gesetzt. |
remoteid { ipaddr = } |
192.0.2.192; |
//statische IP-Adresse der Securepoint Wiederholung der statischen IP-Adresse der Securepoint Appliance. |
mode = | phase1_mode_idp; | // Main-Mode Der Transportmodus muss von „aggressive“ auf „main“ geändert werden, da nur dieser von der Securepoint Software unterstützt wird. |
phase1ss = | "dh14/aes/sha"; | // Proposals für Phase 1 (DH14, AES, SHA) Die Verschlüsselungsparameter für die IKE Phase 1 müssen angepasst werden. |
key = | "geheim"; | // VPN Kennwort (Preshared Key) Geben Sie hier den Preshared Key ein. Sie können auch den vom Assistenten generierten beibehalten, dieser muss dann auch auf der Securepoint hinterlegt werden. |
phase2localid { ipnet { |
192.168.100.0; 255.255.255.0; |
// internes Netzwerk der Fritz!Box //Subnetzmaske |
phase2remoteid { ipnet { |
192.168.175.0; 255.255.255.0; |
// internes Netzwerk der Securepoint Appliance Unter phase2remoteid muss das interne Netz der Securepoint Appliance verzeichnet sein. |
phase2ss = | "esp-all-all/ah-none/comp-all/pfs" | // mit Kompression Da die Securepoint keinen Authentication Header erwartet aber seit Version 11 die Kompression unterstützt, ändern Sie die Einstellungen der Phase 2 auf ah-none und comp-all. |
accesslist = | "permit ip any 192.168.175.0 255.255.255.0"; | // internes Netzwerk der Securepoint Appliance |
Konfigurationsdatei importieren
Securepoint Appliance einrichten
Nun müssen Sie die Einstellungen an der Securepoint wie gewohnt vornehmen.
- Legen Sie ein IPSec VPN Verbindung mit Hilfe des IPSec-Assistenten an. Achten Sie darauf, die IKE-Version 1 zu benutzen und den gleichen Preshared Key einzusetzen.
- Erstellen Sie ggf. ein Netzwerkobjekt für die IPSec-VPN Netzwerk der Gegenstelle und Firewall Regeln, wenn Sie diese nicht vom Assistenten automatisch anlegen lassen.
- Passen Sie die Einstellungen der Phasen der IPSec-Verbindung an. Achten Sie darauf in Phase 2 PFS zu verwenden.
Leider gibt es unterschiedliche Erfahrungen, welche Seite die Verbindung initiieren sollte. Daher können wir dazu keine Empfehlung geben.
Nähere Informationen zur Einrichtung der Securepoint Appliance entnehmen Sie bitte dem Howto IPSec_Site_to_Site_v11.
Verbindung herstellen
Stellen Sie die Verbindung von der Securepoint Appliance aus her.
- Gehen Sie in der Navigationsleiste auf den Punkt VPN und klicken Sie im Dropdownmenu auf den Eintrag IPSec Verbindungen.
- Der Dialog IPSec Verbindungen erscheint.
- Klicken Sie in der Zeile der eben erstellten Verbindung auf den Button Lade, um die Verbindungsdaten zu laden.
- Zum Starten der Verbindung klicken Sie auf den Button Initiiere.
- Die Verbindung zur Fritz!Box wird aufgebaut.
- Um den Status der Verbindung auf der Fritz!Box einzusehen, gehen Sie in der Konfigurationsoberfläche in der Navigationsleiste auf Erweiterte Einstellungen → Internet → Freigaben.
- Wechseln Sie im Dialog Freigaben auf die Registerkarte VPN.
- Im unteren Bereich VPN-Verbindungen ist die erstellte Verbindung zu sehen.
- In der Spalte Status wird bei einer aufgebauten Verbindung ein grüner Kreis angezeigt.