Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 2: Zeile 2:


{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
<!-- Anordnung beachten -->
{{:UTM/IPSec_-_Fritzbox-Exposed_Host.lang}}
{{:UTM/VPN/IPSec-Fritzbox-Multi.lang}}
{{:UTM/VPN/IPSec-Fritzbox-Multi.lang}}
{{var | neu--ESP und UDP
    | Hinweis zu [[#ESP & UDP | ESP und UDP 500/4500]]
    | Note on [[#ESP & UDP | ESP and UDP 500/4500]] }}


</div>{{Select_lang}}{{TOC2}}
</div>{{Select_lang}}{{TOC2}}
{{Header|12.5.1 <small>09.2023</small>|new=true
{{Header|12.5.2 <small>10.2023</small>|
|
* {{#var:neu--ESP und UDP}}
|  
|  
| {{Menu|VPN|IPSec}} {{#var:Admin Interface der Fritz!Box}}&nbsp;{{Menu|Internet|Freigaben|VPN (IPSec)|Anw=AVM}}
| {{Menu|VPN|IPSec}} {{#var:Admin Interface der Fritz!Box}}&nbsp;{{Menu|Internet|Freigaben|VPN (IPSec)|Anw=AVM}}
Zeile 17: Zeile 19:
----
----


=== {{#var:Voraussetzungen}} ===
=== {{#var:Voraussetzungen}} {{Hinweis-box||gr|12.5.2|status=update}} ===
<div class="einrücken">
<div class="einrücken">
* {{#var:FritzBox erforderlich}}
* {{#var:FritzBox erforderlich}}
Zeile 25: Zeile 27:
{{Hinweis-box | {{#var:Vorbemerkung statische IP-Adresse--Hinweis}} {{info|{{#var:Vorbemerkung statische IP-Adresse--info}} }} }}
{{Hinweis-box | {{#var:Vorbemerkung statische IP-Adresse--Hinweis}} {{info|{{#var:Vorbemerkung statische IP-Adresse--info}} }} }}
</li>
</li>
 
<span id="ESP & UDP"></span><li class="list--element__alert list--element__warning">{{#var:Vorbereitung FritzBox ESP}} {{Hinweis-box||gr|12.5.2|status=update}}</li>
{{Einblenden2|{{#var:Fritz!Box Exposed Host zeigen}}|{{#var:hide}}|true|bigdezent|{{:UTM/IPSec_-_Fritzbox-Exposed_Host|NOTOC=true}} }}
 
</div>
</div>



Version vom 24. Oktober 2023, 09:06 Uhr






























De.png
En.png
Fr.png








Erstellungen von IPSec-Verbindungen mit einer Fritz!Box bei mehreren Netzen von verschiedenen Securepoint Appliancen
Letzte Anpassung zur Version: 12.5.2 10.2023
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ VPN →IPSec Entweder unter https://fritz.box
Oder über die IP-Adresse der Fritz!Box
Default: http://192.168.178.1
 InternetFreigaben→ Reiter VPN (IPSec)

Folgender Wiki-Artikel beschreibt, wie eine einzelne IPSec-Verbindung einer Securepoint UTM mit einer Fritz!Box erstellt wird.





  • Hinweis
    Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
    Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
    Alle Angaben ohne Gewähr.

  • Voraussetzungen

    • Es wird eine AVM Fritz!Box benötigt
  • Es ist unerheblich, ob zuerst die Securepoint Appliance oder die Fritz!Box konfiguriert wird.
    • Die Gegenstelle, die mit einer Securepoint Appliance ausgerüstet ist, muss über eine statische IP-Adresse verfügen
  • Wenn die Gegenstelle dynamische IP-Adressen verwenden sollte, wählt die Fritz!Box VPN Funktion als Transportmodus den „Aggressive Mode“. notempty
    Der Aggressive Mode wird von den Securepoint Appliances aus Sicherheitsgründen nicht unterstützt
    Die Authentisierung der Gegenstelle wird dabei nicht verschlüsselt vorgenommen.
    Die Hashwerte des Preshared Keys werden unverschlüsselt übertragen.
    Somit ist die Sicherheit von der Stärke des Preshared Keys und vom verwendeten Hashverfahren abhängig.
    Da die meisten gemeinsamen Schlüssel aber nur die Mindestanforderungen erfüllen, wird dieser Modus nicht unterstützt.
  • Sollte vor der Securepoint Appliance ein Router (z.B: Fritz!Box oder Speedport) stehen, muss dort gewährleistet sein, dass ESP und UDP 500/ 4500 aktiv ist. Siehe Beispiel-Konfiguration mit einer Fritz!Box.

  • Konfiguration der Fritz!Box

    Einspielen einer neuen Firmware Version

    Auf der Homepage des Herstellers kann überprüft werden, ob eine neue Firmware für die Fritz!Box verfügbar ist.

    notempty
    Bei älteren Fritz!Box-Firmware-Versionen werden nicht alle Verschlüsselungs-Algorithmen für IKEv1 unterstützt. Daher wird empfohlen die Firmware stets aktuell zu halten.
    Weitere Informationen dazu sind im Abschnitt Die Konfigurationsdatei anpassen zu finden.
    Einspielen einer neuen Fritz!Box-Firmware Version

    Vor dem Herunterladen der neue Firmware Version von der Internetseite von AVM, ist darauf zu achten, dass nur Firmware benutzt werden kann, die für das vorhandene Produkt zugelassen ist.

    • Das Interface der Fritz!Box wird im Browser aufgerufen. Werkseinstellung: https://192.168.178.1
    • Auf System Update klicken notempty
      Stammt die Fritz!Box von einem Kabelanbieter, steht diese Funktion nicht zur Verfügung!
    • Im Dialog Fritz!OS-Version auf Neues Fritz!OS suchen klicken um online nach einem Update zu suchen, oder im Dialog Fritz!OS-Datei die heruntergeladene Firmware-Datei einspielen


    DynDNS aktivieren

    Um einen DynDNS in der VPN Konfiguration nutzen zu können, muss diese Funktion vorher eingerichtet werden. Dies setzt voraus, dass ein Account bei einem DynDNS Dienst Anbieter vorhanden ist ( Securepoint Dynamic DNS Host verwenden ).

    Aktivierung von DynDNS in der Fritz!Box
    • Im Interface der Fritz!Box Internet Freigaben aufrufen
    • Zum Dialog DynDNS wechseln
    • Aktivierung der Checkbox  DynDNS benutzen
    • Die Anmeldedaten des verwendeten DynDNS-Anbieters eintragen:
    Beschriftung Wert Beschreibung
    Update-URL https://update.spdyn.de/ne/update?... Die Update-URL des DynDNS-Anbieters
    Domainname d-vpn.spdns.de Der Domainname für die Fritz!Box beim DynDNS-Anbieter
    Benutzername d-vpn.spdns.org Der Benutzername des Accounts
    Bei spDyn mit Reselleraccount ebenfalls der Hostname
    Kennwort **** Das Passwort des Accounts
    Bei spDyn mit Reselleraccount der Token
    • Mit der Schaltfläche Übernehmen werden getätigte Änderungen abgespeichert.


    Internes Netzwerk ändern

    notempty
    Die folgenden Änderungen müssen durchgeführt werden, wenn das Programm "Fritz!Fernzugang einrichten" verwendet wird. Siehe dazu den folgenden Abschnitt VPN Konfiguration erstellen.


    Die Securepoint Appliances und die Fritz!Box dürfen intern nicht das gleiche IP-Netzwerk verwenden. Per Default ist dies bei denen 192.168.178.0/24.
    Hinweise zur Änderung / Konfiguration der IP-Adrresse der UTM finden sich im Wiki-Artikel zu den Netzwerkschnittstellen der UTM.
    Das werkseingestellte interne Netz 192.168.178.0/24 der Fritz!Box darf nach Vorgabe des Fritz!Box VPN Assistenten nicht für VPN genutzt werden.
    Daher muss das interne Netz gewechselt werden.

    Konfiguration des internen Netzwerks der Fritz!Box
    • Im Interface der Fritz!Box HeimnetzNetzwerk→ Reiter Netzwerkeinstellungen aufrufen
    • Im Abschnitt IP-Adressen auf die Schaltfläche IPv4-Einstellungen klicken
    • Unter Heimnetz lässt sich folgendes finden:
    Beschriftung Wert Beschreibung
    IPv4-Adresse 192.168.100.1 Die neue IPv4-Adresse für die Fritz!Box
    Subnetzmaske 255.255.255.0 Die Subnetzmaske für die neue IPv4-Adresse der Fritz!Box
     DHCP-Server aktivieren wählen und Folgendes eintragen:
    von 192.168.100.20 Den Beginn der Spanne der DHCP-IPv4-Adressen
    bis 192.168.100.200 Das Ende der Spanne der DHCP-IPv4-Adressen
    Gültigkeit 10Tage Die Gültigkeit der DHCP-IPv4-Adressen
    • Mit der Schaltfläche Übernehmen werden getätigte Änderungen abgespeichert. Eine neue Anmeldung auf die neue IP-Adresse der Fritz!Box ist dann nötig


    VPN Konfiguration erstellen

    Startbildschirm der Software Fritz!Fernzugang einrichten

    Die Konfiguration der VPN Verbindung wird nicht über die Konfigurationsoberfläche im Browser vorgenommen, sondern wird als Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, welche über die Internetseite des Herstellers AVM heruntergeladen wird. Die Anwendungssoftware trägt den Namen Fritz!Fernzugang einrichten.


    • Die Software Fritz!Fernzugang einrichten herunterladen und installieren
    • Auf das Icon Neu in der Symbolleiste klicken, um eine neue Konfigurationsdatei anzulegen. Es werden immer zwei Dateien angelegt, wovon die fritzbox_fritz_lokal.spdyn.de.cfg-Datei benötigt wird
      Die benötigte Konfigurationsdatei beginnt immer mit fritzbox_ und dazu den eingetragenen DynDNS-Namen der Fritz!Box aus dem 2. Einrichtungsschritt in der Anwendungssoftware.

    Ein Assistent führt durch die Erstellung der Konfigurationsdatei:

    Fritz ffz ass1.png
    Schritt 1
    Art der Verbindung auswählen
    • Im ersten Schritt auswählen, welche Geräte miteinander verbunden werden sollen
    • Zwei Geräte sollen sich miteinander verbinden. Aktivierung von  Verbindung zwischen zwei FRITZ!Box-Netzwerken errichten
    • Weiter
    Fritz ffz ass2.png
    Schritt 2
    spDyn Domain (oder eines anderen dynamischen DNS-Dienstes) eingeben
    • Zunächst werden die Daten der lokalen Fritz!Box abgefragt
    • Die eingerichtete spDyn URL des lokalen Routers angeben
    In diesem Beispiel: fritz_lokal.spdyn.de
    • Weiter
    Fritz ffz ass3.png
    Schritt 3
    Internes Netz eingeben
    • Das interne Netz der lokalen Fritz!Box und die zugehörige Subnetzmaske eingeben
  • Gemeint ist das interne Netz der Fritz!Box, welches über die VPN-Verbindung zugegriffen werden soll.
    • Weiter
    Fritz ffz ass4.png
    Schritt 4
    Statische IP-Adresse der Securepoint Appliance
    • Danach werden die Daten der Gegenstelle abgefragt
    • Die feste IP-Adresse der Securepoint Appliance angeben
    In diesem Beispiel: 192.0.2.192
    • Weiter
    Fritz ffz ass5.png
    Schritt 5
    Internes Netz der Securepoint Appliance
    • Das interne Netz der Securepoint Appliance und die zugehörige Subnetzmaske eintragen
    • Weiter
    Fritz ffz ass6.png
    Schritt 6
    Verzeichnis der Dateien anzeigen
    • Die Dateneingabe ist damit beendet
    • Im nächsten Schritt entscheiden, ob die Konfigurationsdateien angezeigt oder exportiert werden sollen
    Hier den ersten Punkt auswählen
    • Fertig stellen











    Der Speicherort der Dateien wird angezeigt.

    Es werden vom Assistenten zwei Dateien erstellt, lediglich eine wird in die Fritz!Box importiert. In diesem Beispiel ist dies die Datei: fritzbox_fritz_lokal.spdyn.de.cfg.
    Die benötigte Konfigurationsdatei beginnt immer mit fritzbox_ und dazu dem eingetragenen DynDNS-Namen der Fritz!Box aus dem 2. Einrichtungsschritt in der Anwendungssoftware.


    notempty
    Diese Konfigurationsdatei muss noch angepasst werden, damit eine Verbindung zur Securepoint Appliance aufgebaut werden kann.
    • Diese Datei in einem beliebigem Editor öffnen



    Die Konfigurationsdatei anpassen

    Die oben erstellte Konfigurationsdatei wird angepasst, damit die VPN-Verbindung eingerichtet werden kann.
    Falls eine VPN-Verbindung einer Securepoint Appliance mit einer Fritz!Box schon vorliegt und weitere Netze mit der Fritz!Box per VPN verbunden werden sollen, dann kann die vorhandene Konfigurationsdatei als Grundlage verwendet werden.
    Für jedes weitere Netz muss diesen Verbindung in die Konfigurationsdatei eingetragen werden.

    Sollen beispielsweise eine UTM mit dem Netz 192.168.10.0/24 und eine zweite UTM mit dem Netz 192.168.20.0/24 mit einem Fritz!Box-Netz 192.168.100.0/24 per VPN verbunden werden, so wird in der Konfigurationsdatei innerhalb des connections-Abschnittes je Netz ein Eintrag gemacht. Im folgendem Beispiel anhand der oben erstellten Datei fritzbox_fritz_lokal.spdyn.de.cfg.
    Grün markierte Einträge sind individuelle Konfigurationen.
    Notwendige manuelle Änderungen sind zusätzlich mit gekennzeichnet.

    vpncfg {
        connections { // Beginn Netz der 1. Appliance
            enabled = yes;
            conn_type = conntype_lan;
            name = "Securepoint 1. Verbindung"; //  Name der Verbindung in der Konfigurationsoberfläche
            always_renew = yes; // auf "no" setzen, wenn die Verbindung nur bei Bedarf aufgebaut und bei Inaktivität abgebaut werden soll
            reject_not_encrypted = no;
            dont_filter_netbios = yes;
            localip = 0.0.0.0;
            local_virtualip = 0.0.0.0;
            remoteip = 192.0.2.10; //  statische IP-Adresse der 1. Appliance
            remote_virtualip = 0.0.0.0;
            localid {
                fqdn = "fritz_lokal.spdyn.de"; //  spdyn-DNS-Name der Fritz!Box
                //ipaddr = xxx.xxx.xxx.xxx;       // statische IP-Adresse der Fritz!Box, wenn vorhanden
            }
            remoteid {
                ipaddr = 192.0.2.10; //  statische IP-Adresse der 1. Appliance
            }
            mode = phase1_mode_idp;               //  Main-Mode
            phase1ss = "dh15/aes/sha";            //  Proposals für Phase 1 (DH15, AES, SHA)
            keytype = connkeytype_pre_shared;
            key = "<gemeinsame Passphrase>"; //  VPN Kennwort (Preshared Key)
            cert_do_server_auth = no;
            use_nat_t = no; / yes;                //  Befindet sich eine Seite hinter einem NAT Router ja = yes; nein = no; 
            use_xauth = no;
            use_cfgmode = no;
            phase2localid {
                ipnet {
                    ipaddr = 192.168.100.0; //  internes Netz der Fritz!Box
                    mask = 255.255.255.0; //  dazugehörige Netzmaske
                }
            }
            phase2remoteid {
                ipnet {
                    ipaddr = 192.168.10.0; //  internes Netz der 1. Appliance
                    mask = 255.255.255.0; //  dazugehörige Netzmaske
                }
            }
            phase2ss = "esp-all-all/ah-none/comp-all/pfs";              //  mit Kompression
            accesslist = "permit ip 192.168.100.0 255.255.255.0 192.168.10.0 255.255.255.0";    //  internes Netzwerk der Fritz!Box und der ersten Securepoint Appliance mit jeweiligen Netzwerkmasken
        }  // Ende Netz der 1. Appliance 
        {  // Beginn Netz der 2. Appliance 
            enabled = yes;
            conn_type = conntype_lan;
            name = "Securepoint 2. Verbindung"; //  Name der Verbindung in der Konfigurationsoberfläche
            always_renew = yes; // auf "no" setzen, wenn die Verbindung nur bei Bedarf aufgebaut und bei Inaktivität abgebaut werden soll
            reject_not_encrypted = no;
            dont_filter_netbios = yes;
            localip = 0.0.0.0;
            local_virtualip = 0.0.0.0;
            remoteip = 192.0.2.20; //  statische IP-Adresse der 2. Appliance
            remote_virtualip = 0.0.0.0;
            localid {
                fqdn = "fritz_lokal.spdyn.de"; //  spdyn-DNS-Name der Fritz!Box
                //ipaddr = xxx.xxx.xxx.xxx;       // statische IP-Adresse der Fritz!Box, wenn vorhanden
            }
            remoteid {
                ipaddr = 192.0.2.20; //  statische IP-Adresse der 2. Appliance
            }
            mode = phase1_mode_idp;               //  Main-Mode
            phase1ss = "dh15/aes/sha";            //  Proposals für Phase 1 (DH15, AES, SHA)
            keytype = connkeytype_pre_shared;
            key = "<gemeinsame Passphrase>; //  VPN Kennwort (Preshared Key)
            cert_do_server_auth = no;
            use_nat_t = no;
            use_xauth = no;
            use_cfgmode = no;
            phase2localid {
                ipnet {
                    ipaddr = 192.168.100.0; //  internes Netz der Fritz!Box
                    mask = 255.255.255.0; //  dazugehörige Netzmaske
                }
            }
            phase2remoteid {
                ipnet {
                    ipaddr = 192.168.20.0; // 
                    mask = 255.255.255.0; // 
                }
            }
            phase2ss = "esp-all-all/ah-none/comp-all/pfs";              //  mit Kompression
            accesslist = "permit ip 192.168.100.0 255.255.255.0 192.168.20.0 255.255.255.0";    //  internes Netzwerk der Fritz!Box und der zweiten Securepoint Appliance mit jeweiligen Netzwerkmasken
        } // Ende Netz der 2. Appliance 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
    } //  
    // EOF
    


    Folgende Parameter müssen für jede Verbindung entsprechend angepasst werden (hier am Beispiel der 1. Appliance):

    Beschriftung Wert Beschreibung
    name = "Securepoint"; // Name der Verbindung in der Konfigurationsoberfläche
    Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberfläche der Fritz!Box angezeigt, wenn die Datei importiert wurde.
    remoteip = 192.0.2.10; // statische IP-Adresse der 1. Appliance
    Dies ist die statische IP-Adresse der Securepoint Appliance.
    Wurde bereits im Assistenten konfiguriert.
    localid{
       fqdn =

    "fritz_lokal.spdyn.de";

    // spdyn-DNS-Name der Fritz!Box
    Wurde bereits im Assistenten konfiguriert.
      //ipaddr =
    }
    xxx.xxx.xxx.xxx; // statische IP-Adresse der Fritz!Box, wenn vorhanden
    Hier kann auch eine IP-Adresse eingeben werden, wenn die Fritz!Box über eine statische IP-Adresse verfügt. Diese Angaben werden auch vom Assistenten gesetzt.
    remoteid {
       ipaddr =
    }

    192.0.2.10;

    // statische IP-Adresse der 1. Appliance

    Erneute Eingabe der statischen IP-Adresse der Securepoint Appliance.
    Wurde bereits im Assistenten konfiguriert.
    mode = phase1_mode_idp; // Main-Mode
    Der Transportmodus muss von „aggressive“ auf „main“ geändert werden, da nur dieser von der Securepoint Software unterstützt wird.
    phase1ss = "dh15/aes/sha"; // Proposals für Phase 1 (DH15, AES, SHA)
    Die Verschlüsselungsparameter für die IKE Phase 1 müssen angepasst werden. notempty
    Ältere Fritz!Box-Firmware-Versionen unterstützen ausschließlich AES 128 bits, SHA1 und DH2.

    Alternativ ist auch der Eintrag "all/all/all" möglich. Dann kann der Verbindungsaufbau etwas länger dauern.
    key = "gemeinsame Passphrase"; // VPN Kennwort (Preshared Key)
    Den Preshared Key eingeben. Der vom Assistenten generierte Preshared Key kann ebenfalls verwendet werden. Dieser muss dann auf der Securepoint Appliance hinterlegt werden.
    phase2localid {

       ipnet {
         ipaddr =
         mask =
      }
    }



    192.168.100.0;
    255.255.255.0;


    // internes Netz der Fritz!Box

    // Subnetzmaske
    Unter phase2localid muss das interne Netz der Fritz!Box angegeben sein, das mit dem entfernten Netz verbunden werden soll.

    phase2remoteid {

       ipnet {
         ipaddr =
         mask =
      }
    }



    192.168.175.0;
    255.255.255.0;


    // internes Netz der 1. Appliance
    Unter phase2remoteid muss das interne Netz der Securepoint Appliance verzeichnet sein.
    phase2ss = "esp-all-all/ah-none/comp-all/pfs" // mit Kompression
    Die Verschlüsselungsparameter für die IKE Phase 2 müssen mit der von Phase 1 identisch sein. notempty
    Ältere Fritz!Box-Firmware-Versionen unterstützen ausschließlich AES 128 bits, SHA1 und DH2.

    Wird in Phase 1 "all/all/all" eingetragen, kann dann entsprechend "esp-all-all" eingetragen werden.
    Mit "ah-none" wird kein Authentication Header erwartet und mit "comp-all" wird Kompression unterstützt.
    accesslist = "permit ip 192.168.100.0 255.255.255.0 192.168.10.0 255.255.255.0"; // internes Netzwerk der Fritz!Box und der ersten Securepoint Appliance mit jeweiligen Netzwerkmasken

    Die so modifizierte Konfigurationsdatei wird wieder als fritzbox_fritz_lokal.spdyn.de.cfg abgespeichert.

    Weitere Netze hinzufügen

    Sollen noch weitere Netzwerke der Securepoint Appliance hinzugefügt werden, so wird in der Konfigurationsdatei der Parameter accesslist entsprechend angepasst.

    Beispiel 1
    Beispiel 1

    Die Netze 192.168.82.0/24 bis 192.168.92.0/24 sollen über VPN erreichbar sein.
    So wird im Parameter accesslist lediglich die angegebene Netzwerkmaske angepasst:


    accesslist = "permit ip any 192.168.82.0 255.255.240.0";
    Dadurch werden die Netze 192.168.80.0/24 bis 192.168.95.0/24 freigegeben.
    Beispiel 2
    Beispiel 2

    Neben dem Netz 192.168.175.0/24 soll auch das Netz 192.168.82.0/24 über VPN erreichbar sein.
    So wird im Parameter accesslist dieses weitere Netz hinzugefügt:


    accesslist = "permit ip any 192.168.175.0 255.255.255.0", "permit ip any 192.168.82.0 255.255.255.0";
    Diese Einträge mit einem Komma trennen und mit einem Semikolon beenden.

    Konfigurationsdatei hochladen

    Hinzufügen einer VPN-Verbindung in der Fritz!Box

    Im eingeloggten Fritz!Box-Interface wird über Internet Freigaben VPN (IPSec) auf die Schaltfläche VPN-Verbindung hinzufügen geklickt.

    Auswahl der Art der VPN-Konfiguration in der Fritz!Box

    In dem Fenster VPN-Verbindung wird von den vier Einrichtungsmöglichkeiten  Eine VPN-Konfiguration aus einer VPN-Einstellungsdatei importieren ausgewählt.
    Weiter mit Weiter .

    Upload der Konfigurationsdatei in der Fritz!Box

    Über die Schaltfläche Durchsuchen... wird die erstellte Konfigurationsdatei ausgewählt.
    Falls die Datei verschlüsselt ist, wird diese Einstellung aktiviert. Unter Kennwort wird dann das Kennwort eingetragen.
    Abschließend wird auf Übernehmen geklickt.
    Unter SystemErgebnisse wird der Verbindungsaufbau protokolliert.



    Securepoint Appliance einrichten

    Anschließend müssen die Einstellungen an der Securepoint Appliance vorgenommen werden:

  • Die UTM muss über eine statische öffentliche IP-Adresse verfügen
    • Eine Site-to-Site IPSec-Verbindung wird eingerichtet. notempty
      IKE-Version 1 und den gleichen Preshared Key wie in der Konfigurationsdatei der Fritz!Box verwenden
    • Falls notwendig ein Netzwerkobjekt für das IPSec-VPN Netzwerk der Gegenstelle anlegen und entsprechende Firewall Regeln, wenn diese nicht vom Assistenten automatisch anlegen lassen
    • Die Einstellungen der Phasen der IPSec-Verbindung anpassen. notempty
      Phase 2 PFS verwenden
    Leider gibt es unterschiedliche Erfahrungen, welche Seite die Verbindung initiieren sollte. Daher können wir dazu keine Empfehlung geben. Nähere Informationen zur Einrichtung der Securepoint Appliance sind im Wiki-Artikel IPSec Site-to-Site zu finden.

    IPSec S2S-Verbindung herstellen

    Schritt 1 - Verbindungstyp
    Schritt 1 - Verbindungstyp
    In Schritt 1 wird der Site to Site - Verbindungstyp ausgewählt. UTM v12.7.0 IPSec-Fritzbox Multi S2S Verbindung Schritt 1.png
    Einrichtungsschritt 1
    Schritt 2 - Allgemein
    Schritt 2 - Allgemein
    Beschriftung Wert Beschreibung UTM v12.7.0 IPSec-Fritzbox Multi S2S Verbindung Schritt 2.png
    Einrichtungsschritt 2
    Name: IPSec Fritz!Box S2S Ein passender Name für diese Verbindung
    IKE Version: IKE v1 Bei der IKE Version IKE Version 1 auswählen
    Schritt 3 - Lokal
    Schritt 3 - Lokal
    Local Gateway ID: LAN1 Die IP-Adresse oder die Schnittstelle der Securepoint Appliance, welche die VPN-Verbindung zur Fritz!Box aufbauen soll. UTM v12.7.0 IPSec-Fritzbox Multi S2S Verbindung Schritt 3.png
    Einrichtungsschritt 3
    Authentifizierungsmethode Pre-Shared Key Pre-Shared Key auswählen
    Pre-Shared Key: ********** Den Pre-Shared Key aus der Konfigurationsdatei der Fritz!Box eintragen.
    Netzwerke freigeben: »192.168.175.0/24 Das intern erreichbare Netzwerk der Securepoint Appliance, wie in der Konfigurationsdatei angegeben.

    Schritt 4 - Gegenstelle
    Schritt 4 - Gegenstelle
    Remote Gateway: fritz_lokal.spdyn.de Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Fritz!Box UTM v12.7.0 IPSec-Fritzbox Multi S2S Verbindung Schritt 4.png
    Einrichtungsschritt 4
    Remote Gateway ID: fritz_lokal.spdyn.de ID, die auf der Fritz!Box als lokale ID konfiguriert wurde (frei wählbare Zeichenfolge).
    Netzwerke freigeben: »192.168.100.0/24 Das lokale Netzwerk der Fritz!Box auf das über das VPN zugegriffen werden soll, wie in der Konfigurationsdatei angegeben.

    IKEv1 Phasen konfigurieren

    Die Phase 1 und Phase 2 von IKEv1 sollten überprüft und gegebenenfalls angepasst werden.
    notempty
    Die Einstellungen müssen mit denen aus der oben erstellten Konfigurationsdatei identisch sein.


    notempty
    Wurde in der Konfigurationsdatei phase1ss = "all/all/all"; bzw. phase2ss = "esp-all-all/[...]"; eingetragen, so werden in der Securepoint Appliance bei IKEv1 Phase 1 bzw. bei Phase 2 die Default-Werte eingestellt.
    Siehe dazu den Wiki-Artikel IPSec Site-to-Site.


    Diese Default-Werte werden von der Fritz!Box nicht unterstützt.


    Der Hersteller AVM informiert welche Verschlüsselungsverfahren und Algorithmen von der Fritz!Box unterstützt werden.
    notempty
    Dieser Vorgang muss für jede Securepoint Appliance durchgegangen werden.
    IKEv1 Phase 1 konfigurieren
    Unter VPN IPSec  Bereich Verbindungen wird bei der erstellten IPSec S2S-Verbindung auf Phase 1 geklickt und im Dialog Phase 1 bearbeiten auf den Reiter IKE gewechselt.
    Beschriftung Wert Beschreibung UTM v12.7.0 IPSec-Fritzbox Multi IPSec Phase 1 IKE.png
    Konfiguration von Phase 1 bei IKEv1
    Verschlüsselung: aes256 Als Verschlüsselung aes256 einstellen. Es kann auch eine andere gewählt werden.notempty
    Sollte die Fritz!Box die eingestellten Verschlüsselungen nicht unterstützen, aes128 auswählen.
    Authentifizierung: sha2_512 Als Authentifizierung sha2_512 einstellen. Es kann auch eine andere gewählt werden. notempty
    Sollte die Fritz!Box die eingestellten Authentifizierung nicht unterstützen, sha1 auswählen.
    Diffie-Hellman Group: modp3072 Als Diffie-Hellman Group modp3072 (DH15) einstellen. notempty
    Sollte die Fritz!Box die eingestellten Diffie-Hellman Group nicht unterstützen, modp1024 (DH2) auswählen.
    Schwache Algorithmen anzeigen: Aus Wird aktiviert Ein, wenn schwächere Algorithmen benötigt werden, wie für Authentifizierung: sha1 und Diffie-Hellman Group: modp1024.
    Strict: Aus Bei Aktivierung Ein werden ausschließlich die konfigurierten Parameter und keine weiteren Proposals verwendet.
    IKE Lifetime: 1 Stunde
    Default
    Die IKE Lifetime kann angepasst werden.
    Rekeying: unbegrenzt (empfohlen)
    Default
    Die Anzahl des Rekeying kann angepasst werden.
    Mit der Schaltfläche Speichern werden die getätigten Änderungen übernommen.
    IKEv1 Phase 2 konfigurieren
    Unter VPN IPSec  Bereich Verbindungen wird bei der erstellten IPSec S2S-Verbindung auf Phase 2 geklickt.
    notempty
    Die eingestellten Parameter müssen identisch mit der von Phase 1 sein.
    Beschriftung Wert Beschreibung UTM v12.7.0 IPSec-Fritzbox Multi IPSec Phase 2 Allgemein.png
    Konfiguration von Phase 2 bei IKEv1
    Verschlüsselung: aes256 Als Verschlüsselung aes256 einstellen. Es kann auch eine andere gewählt werden.notempty
    Sollte die Fritz!Box die eingestellten Verschlüsselungen nicht unterstützen, aes128 auswählen.
    Authentifizierung: sha2_512 Als Authentifizierung sha2_512 einstellen. Es kann auch eine andere gewählt werden. notempty
    Sollte die Fritz!Box die eingestellten Authentifizierung nicht unterstützen, sha1 auswählen.
    Diffie-Hellman Group: modp3072 Als Diffie-Hellman Group modp3072 (DH15) einstellen. notempty
    Sollte die Fritz!Box die eingestellten Diffie-Hellman Group nicht unterstützen, modp1024 (DH2) auswählen.
    Schwache Algorithmen anzeigen: Aus Wird aktiviert Ein, wenn schwächere Algorithmen benötigt werden, wie für Authentifizierung: sha1 und Diffie-Hellman Group: modp1024.
    Schlüssel-Lebensdauer: 8 Stunden
    Default
    Die Schlüssel-Lebensdauer kann angepasst werden.
    Neustart nach Abbruch: Aus Bei Aktivierung Ein wird die Verbindung wiederhergestellt bei einem unerwartetem Abbruch.
    DHCP: Aus Bei Aktivierung Ein erhalten die Clients IP-Adressen aus einem lokalen Netz.
    Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
    Mit der Schaltfläche Speichern werden die getätigten Änderungen übernommen.

    Firewall-Regel

    Die Paketfilterregeln der Firewall müssen noch angepasst werden, falls diese nicht durch den Assistenten automatisch erzeugt werden.
    Implizite Regeln
    Über Firewall Implizite Regeln  Bereich Regeln müssen folgende Regeln aktiv sein
    Aktiv Regel UTM v12.7.0 IPSec-Fritzbox Multi Implizite Regeln.png
    Aktivierung der benötigten VPN-Regeln
    Ein IPSec IKE
    Ein IPSec ESP
    Ein IPSec NAT Traversal
    Bei Aktivierung Ein der Impliziten Regel-Gruppe VPN werden alle dazugehörigen Regeln aktiviert.
    notempty
    Grundsätzlich gilt: Ausschließlich das freigeben, was benötigt wird für denjenigen, der dies braucht.
    Beschriftung Wert Beschreibung [[Datei:]]
    Name: IPSec-Fritz!Box Frei wählbarer Name für dieses Netzwerkobjekt
    Typ: VPN-Netzwerk VPN-Netzwerk auswählen
    Adresse: 192.168.100.0/24 Das interne Netzwerk der Fritz!Box
    Zone: vpn-ipsec vpn-ipsec auswählen
    Gruppen:     Das Netzwerkobjekt kann einer oder mehreren Gruppen zugewiesen werden
    [[Datei:]]

    IPSec-Verbindung initiieren

    UTM v12.7.0 IPSec-Fritzbox Multi IPSec initiieren.png
    Abb.1
    Nachdem die Securepoint Appliances und die Fritz!Box konfiguriert worden sind, wird die IPSec-Verbindung aufgebaut.
    Die Verbindung von der Securepoint Appliance aus herstellen:
    • Auf VPN IPSec  Bereich Verbindungen wechseln
    • Bei der eben erstellten Verbindung auf die Schaltfläche Laden klicken, um die Verbindungsdaten zu laden
    • Zum Starten der Verbindung auf die Schaltfläche Initiieren klicken
    Die Verbindung zur Fritz!Box wird aufgebaut.
    Fritz Internet Freigaben VPN(IPSec).png
    Abb.2
    • Um den Status der Verbindung auf der Fritz!Box einzusehen, im Interface der Fritz!Box auf Internet Freigaben gehen
    • Auf den Dialog VPN (IPSec) wechseln
    • Im unteren Bereich VPN-Verbindungen ist die erstellte Verbindung zu sehen
    • In der Spalte Status wird bei einer aufgebauten Verbindung ein grüner Kreis angezeigt













    notempty
    Es kann dennoch vorkommen, dass keine IPSec-Verbindung aufgebaut wird, weder von Seiten der Securepoint Appliance noch von der Fritz!Box, trotz richtiger Konfiguration der Securepoint Appliance, der Fritz!Box und der Konfigurationsdatei.
    Dann kann unter Umständen ein Downgrade der Fritz!Box-Firmware-Version, Konfiguration der Fritz!Box ohne 2-Faktor-Authentifizierung und erneutes Update der Fritz!Box-Firmware helfen.
    Dennoch sollte zuerst die getätigten Einstellungen, speziell bei IKEv1, überprüft werden.