K (Weiterleitung nach UTM/IPSec - Fritzbox v12.5 erstellt) Markierung: Neue Weiterleitung |
K (Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“) |
||
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
<span id=1270></span>{{Set_lang}} | |||
{{Set_lang}} | |||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
Zeile 404: | Zeile 403: | ||
| class="Leerzeile" colspan="3" | {{#var:Paketfilter-Regel--desc}} | | class="Leerzeile" colspan="3" | {{#var:Paketfilter-Regel--desc}} | ||
|} | |} | ||
{| class="sptable2 | {| class="sptable2 Paketfilter pd5 tr--bc__white zh1 Einrücken" | ||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | | class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| |
Aktuelle Version vom 29. Mai 2024, 10:46 Uhr
- Aktualisierung zum Redesign des Webinterfaces
Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.
Vorbemerkung
- Es wird eine AVM Fritz!Box benötigt
- Die Gegenstelle, die mit einer Securepoint Appliance ausgerüstet ist, muss über eine statische IP-Adresse verfügen
Die Hashwerte des Preshared Keys werden unverschlüsselt übertragen.
Somit ist die Sicherheit von der Stärke des Preshared Keys und vom verwendeten Hashverfahren abhängig.
Da die meisten gemeinsamen Schlüssel aber nur die Mindestanforderungen erfüllen, wird dieser Modus nicht unterstützt.
Konfiguration der Fritz!Box
Einspielen einer neuen Firmware Version
Auf der Homepage des Herstellers kann überprüft werden, ob eine neue Firmware für die Fritz!Box verfügbar ist.
Weitere Informationen dazu sind im Abschnitt Die Konfigurationsdatei anpassen zu finden.
Vor dem Herunterladen der neue Firmware Version von der Internetseite von AVM, ist darauf zu achten, dass nur Firmware benutzt werden kann, die für das vorhandene Produkt zugelassen ist.
- Das Interface der Fritz!Box wird im Browser aufgerufen. Werkseinstellung: https://192.168.178.1
- Auf System ➊ → Update ➋ klicken notemptyStammt die Fritz!Box von einem Kabelanbieter, steht diese Funktion nicht zur Verfügung!
- Im Dialog Fritz!OS-Version ➌ auf ➍ klicken um online nach einem Update zu suchen, oder im Dialog Fritz!OS-Datei ➎ die heruntergeladene Firmware-Datei einspielen
DynDNS aktivieren
Um einen DynDNS in der VPN Konfiguration nutzen zu können, muss diese Funktion vorher eingerichtet werden. Dies setzt voraus, dass ein Account bei einem DynDNS Dienst Anbieter vorhanden ist ( Securepoint Dynamic DNS Host verwenden ).
- Im Interface der Fritz!Box Internet ➊ → Freigaben ➋ aufrufen
- Zum Dialog DynDNS ➌ wechseln
- Aktivierung der Checkbox DynDNS benutzen ➍
- Die Anmeldedaten des verwendeten DynDNS-Anbieters eintragen:
Beschriftung | Wert | Beschreibung |
---|---|---|
Update-URL | https://update.spdyn.de/nic/update?... | Die Update-URL des DynDNS-Anbieters |
Domainname | d-vpn.spdns.de | Der Domainname für die Fritz!Box beim DynDNS-Anbieter |
Benutzername | d-vpn.spdns.org | Der Benutzername des Accounts Bei spDyn mit Reselleraccount ebenfalls der Hostname |
Kennwort | **** | Das Passwort des Accounts Bei spDyn mit Reselleraccount der Token |
- Mit der Schaltfläche werden getätigte Änderungen abgespeichert.
Internes Netzwerk ändern
Die UTM und die Fritz!Box dürfen nicht dasselbe IP-Netzwerk verwenden.
Das werkseingestellte interne Netz 192.168.178.0/24 der Fritz!Box darf nach Vorgabe des Fritz!Box VPN Assistenten nicht für VPN genutzt werden.
Daher muss das interne Netz gewechselt werden.
- Im Interface der Fritz!Box Heimnetz → Netzwerk aufrufen und zum Dialog Netzwerkeinstellungen wechseln
- Im Abschnitt IP-Adressen auf die Schaltfläche klicken
- Unter Heimnetz folgendes eintragen:
Beschriftung | Wert | Beschreibung |
---|---|---|
IPv4-Adresse | 192.168.100.1 | Die neue IPv4-Adresse für die Fritz!Box |
Subnetzmaske | 255.255.255.0 | Die Subnetzmaske für die neue IPv4-Adresse der Fritz!Box |
DHCP-Server aktivieren aktivieren und folgendes eintragen: | ||
von | 192.168.100.20 | Den Beginn der Spanne der DHCP-IPv4-Adressen |
bis | 192.168.100.200 | Das Ende der Spanne der DHCP-IPv4-Adressen |
Gültigkeit | 10Tage | Die Gültigkeit der DHCP-IPv4-Adressen |
- Mit der Schaltfläche werden getätigte Änderungen abgespeichert. Eine neue Anmeldung auf die neue IP-Adresse der Fritz!Box ist dann nötig
VPN Konfiguration erstellen
Die Konfiguration der VPN Verbindung wird nicht über die Konfigurationsoberfläche im Browser vorgenommen, sondern wird als Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, welche über die Internetseite des Herstellers AVM heruntergeladen wird. Die Anwendungssoftware trägt den Namen Fritz!Fernzugang einrichten.
- Die Software Fritz!Fernzugang einrichten herunterladen und installieren
- Auf das Icon Neu in der Symbolleiste klicken, um eine neue Konfigurationsdatei anzulegen. Es werden immer zwei Dateien angelegt, wovon die fritzbox_fritz_lokal.spdyn.de.cfg-Datei benötigt wird Die benötigte Konfigurationsdatei beginnt immer mit fritzbox_ und dazu den eingetragenen DynDNS-Namen der Fritz!Box aus dem 2. Einrichtungsschritt in der Anwendungssoftware.
Ein Assistent führt durch die Erstellung der Konfigurationsdatei:
Der Speicherort der Dateien wird angezeigt.
- Diese Datei in einem beliebigem Editor öffnen
Die Konfigurationsdatei anpassen
Die oben erstellte Konfigurationsdatei wird angepasst.
Grün markierte Einträge sind individuelle Konfigurationen.
Notwendige manuelle Änderungen sind zusätzlich mit gekennzeichnet.
vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "Securepoint"; // Name der Verbindung in der Konfigurationsoberfläche always_renew = yes; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 192.0.2.192; // statische IP-Adresse der Securepoint Appliance remote_virtualip = 0.0.0.0; localid { fqdn = "fritz_lokal.spdyn.de"; // spdyn-DNS-Name der Fritz!Box //ipaddr = xxx.xxx.xxx.xxx; // statische IP-Adresse der Fritz!Box, wenn vorhanden } remoteid { ipaddr = 192.0.2.192; // statische IP-Adresse der Securepoint Appliance } mode = phase1_mode_idp; // Main-Mode phase1ss = "dh15/aes/sha"; // Proposals für Phase 1 (DH15, AES, SHA) keytype = connkeytype_pre_shared; key = "geheim"; // VPN Kennwort (Preshared Key) cert_do_server_auth = no; use_nat_t = no; / yes; // Befindet sich eine Seite hinter einem NAT Router ja = yes; nein = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.100.0; // internes Netzwerk der Fritz!Box mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.175.0; // internes Netzwerk der Securepoint Appliance mask = 255.255.255.0; } } phase2ss = "esp-all-all/ah-none/comp-all/pfs"; // mit Kompression accesslist = "permit ip any 192.168.175.0 255.255.255.0"; // internes Netzwerk der Securepoint Appliance } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500"; } // EOF
Beschriftung | Wert | Beschreibung |
---|---|---|
name = | "Securepoint"; | // Name der Verbindung in der Konfigurationsoberfläche Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberfläche der Fritz!Box angezeigt, wenn die Datei importiert wurde. |
remoteip = | 192.0.2.192; | // statische IP-Adresse der Securepoint Appliance Dies ist die statische IP-Adresse der Securepoint Appliance. Wurde bereits im Assistenten konfiguriert. |
localid{ fqdn = |
"fritz_lokal.spdyn.de"; |
// spdyn-DNS-Name der Fritz!Box Wurde bereits im Assistenten konfiguriert. |
//ipaddr = } |
xxx.xxx.xxx.xxx; | // statische IP-Adresse der Fritz!Box, wenn vorhanden Hier kann auch eine IP-Adresse eingeben werden, wenn die Fritz!Box über eine statische IP-Adresse verfügt. Diese Angaben werden auch vom Assistenten gesetzt. |
remoteid { ipaddr = } |
192.0.2.192; |
// statische IP-Adresse der Securepoint Appliance Erneute Eingabe der statischen IP-Adresse der Securepoint Appliance. Wurde bereits im Assistenten konfiguriert. |
mode = | phase1_mode_idp; | // Main-Mode Der Transportmodus muss von „aggressive“ auf „main“ geändert werden, da nur dieser von der Securepoint Software unterstützt wird. |
phase1ss = | "dh15/aes/sha"; | // Proposals für Phase 1 (DH15, AES, SHA) Die Verschlüsselungsparameter für die IKE Phase 1 müssen angepasst werden. notempty Ältere Fritz!Box-Firmware-Versionen unterstützen ausschließlich AES 128 bits, SHA1 und DH2. Alternativ ist auch der Eintrag "all/all/all" möglich. Dann kann der Verbindungsaufbau etwas länger dauern. |
key = | "geheim"; | // VPN Kennwort (Preshared Key) Den Preshared Key eingeben. Der vom Assistenten generierte Preshared Key kann ebenfalls verwendet werden. Dieser muss dann auf der Securepoint Appliance hinterlegt werden. |
phase2localid { ipnet { |
192.168.100.0; 255.255.255.0; |
// internes Netzwerk der Fritz!Box // Subnetzmaske |
phase2remoteid { ipnet { |
192.168.175.0; 255.255.255.0; |
// internes Netzwerk der Securepoint Appliance Unter phase2remoteid muss das interne Netz der Securepoint Appliance verzeichnet sein. |
phase2ss = | "esp-all-all/ah-none/comp-all/pfs" | // mit Kompression Die Verschlüsselungsparameter für die IKE Phase 2 müssen mit der von Phase 1 identisch sein. notempty Ältere Fritz!Box-Firmware-Versionen unterstützen ausschließlich AES 128 bits, SHA1 und DH2. Wird in Phase 1 "all/all/all" eingetragen, kann dann entsprechend "esp-all-all" eingetragen werden. Mit "ah-none" wird kein Authentication Header erwartet und mit "comp-all" wird Kompression unterstützt. |
accesslist = | "permit ip any 192.168.175.0 255.255.255.0"; | // internes Netzwerk der Securepoint Appliance |
Die so modifizierte Konfigurationsdatei wird wieder als fritzbox_fritz_lokal.spdyn.de.cfg abgespeichert.
Weitere Netze hinzufügen
Sollen noch weitere Netzwerke der Securepoint Appliance hinzugefügt werden, so wird in der Konfigurationsdatei der Parameter accesslist entsprechend angepasst.
Die Netze 192.168.82.0/24 bis 192.168.92.0/24 sollen über VPN erreichbar sein.
So wird im Parameter accesslist lediglich die angegebene Netzwerkmaske angepasst:
accesslist = "permit ip any 192.168.82.0 255.255.240.0";
Neben dem Netz 192.168.175.0/24 soll auch das Netz 192.168.82.0/24 über VPN erreichbar sein.
So wird im Parameter accesslist dieses weitere Netz hinzugefügt:
accesslist = "permit ip any 192.168.175.0 255.255.255.0", "permit ip any 192.168.82.0 255.255.255.0";
Konfigurationsdatei hochladen
Im Fritz!Box-Menü Internet ➊ → Freigaben ➋ → VPN (IPSec) ➌ mit Klick auf die Schaltfläche ➍ den Import-Assistenten starten.
In dem Fenster VPN-Verbindung wird von den vier Einrichtungsmöglichkeiten Eine VPN-Konfiguration aus einer VPN-Einstellungsdatei importieren ➎ ausgewählt.
Weiter mit Weiter ➏.
Über die Schaltfläche ➐ wird die erstellte Konfigurationsdatei ausgewählt.
Falls die Datei verschlüsselt ist, wird diese Einstellung aktiviert. Unter Kennwort wird dann das Kennwort eingetragen.
Abschließend wird auf Übernehmen ➑ geklickt.
Unter System → Ergebnisse wird der Verbindungsaufbau protokolliert.
Securepoint Appliance einrichten
Anschließend müssen die Einstellungen an der Securepoint Appliance vorgenommen werden:
- Eine Site-to-Site IPSec-Verbindung wird eingerichtet. notemptyIKE-Version 1 und den gleichen Preshared Key wie in der Konfigurationsdatei der Fritz!Box verwenden
- Falls notwendig ein Netzwerkobjekt für das IPSec-VPN Netzwerk der Gegenstelle anlegen und entsprechende Firewall Regeln, wenn diese nicht vom Assistenten automatisch anlegen lassen
- Die Einstellungen der Phasen der IPSec-Verbindung anpassen. notemptyPhase 2 PFS verwenden
IPSec S2S-Verbindung herstellen
IKEv1 Phasen konfigurieren
notempty
Diese Default-Werte werden von der Fritz!Box nicht unterstützt.
Der Hersteller AVM informiert welche Verschlüsselungsverfahren und Algorithmen von der Fritz!Box unterstützt werden.
IKEv1 Phase 1 konfigurieren | |||
Unter Verbindungen wird bei der erstellten IPSec S2S-Verbindung auf geklickt und im Dialog Phase 1 Bearbeiten auf den Reiter IKE gewechselt. | Bereich|||
Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnVPNIPSec |
---|---|---|---|
Verschlüsselung: | Als Verschlüsselung aes256 einstellen. Es kann auch eine andere gewählt werden.notempty Sollte die Fritz!Box die eingestellten Verschlüsselungen nicht unterstützen, aes128 auswählen.
| ||
Authentifizierung: | Als Authentifizierung sha2_512 einstellen. Es kann auch eine andere gewählt werden. notempty Sollte die Fritz!Box die eingestellten Authentifizierung nicht unterstützen, sha1 auswählen.
| ||
Diffie-Hellman Group: | Als Diffie-Hellman Group modp3072 (DH15) einstellen. notempty Sollte die Fritz!Box die eingestellten Diffie-Hellman Group nicht unterstützen, modp1024 (DH2) auswählen.
| ||
Schwache Algorithmen anzeigen: | Aus | Wird aktiviert Ein wenn schwächere Algorithmen benötigt werden, wie für Authentifizierung: und Diffie-Hellman Group: . | |
Strict: | Aus | Bei Aktivierung Ein werden ausschließlich die konfigurierten Parameter und keine weiteren Proposals verwendet. | |
IKE Lifetime: | Default |
Die IKE Lifetime kann angepasst werden. | |
Rekeying: | Default |
Die Anzahl des Rekeying kann angepasst werden. | |
Mit der Schaltfläche | werden die getätigten Änderungen übernommen.|||
IKEv1 Phase 2 konfigurieren | |||
Unter Verbindungen wird bei der erstellten IPSec S2S-Verbindung auf geklickt. notempty Die eingestellten Parameter müssen identisch mit denen von Phase 1 sein.
| Reiter |||
Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnVPNIPSec |
Verschlüsselung: | Als Verschlüsselung aes256 einstellen. Es kann auch eine andere gewählt werden.notempty Sollte die Fritz!Box die eingestellten Verschlüsselungen nicht unterstützen, aes128 auswählen.
| ||
Authentifizierung: | Als Authentifizierung sha2_512 einstellen. Es kann auch eine andere gewählt werden. notempty Sollte die Fritz!Box die eingestellten Authentifizierung nicht unterstützen, sha1 auswählen.
| ||
Diffie-Hellman Group: | Als Diffie-Hellman Group modp3072 (DH15) einstellen. notempty Sollte die Fritz!Box die eingestellten Diffie-Hellman Group nicht unterstützen, modp1024 (DH2) auswählen.
| ||
Schwache Algorithmen anzeigen: | Aus | Wird aktiviert Ein wenn schwächere Algorithmen benötigt werden, wie für Authentifizierung: und Diffie-Hellman Group: . | |
Schlüssel-Lebensdauer: | Default |
Die Schlüssel-Lebensdauer kann angepasst werden. | |
Neustart nach Abbruch: | Aus | Bei Aktivierung Ein wird die Verbindung wiederhergestellt bei einem unerwartetem Abbruch. | |
DHCP: | Aus | Bei Aktivierung Ein erhalten die Clients IP-Adressen aus einem lokalen Netz. Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec. | |
Mit der Schaltfläche | werden die getätigten Änderungen übernommen.|||
Firewall-Regel
# | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
internal-network | IPSec-Fritz!Box | ms-rdp | HNE | ACCEPT | Ein | ||||
IPSec-Fritz!Box | internal-network | ms-rdp | ACCEPT | Ein |
IPSec-Verbindung initiieren
Dann kann unter Umständen ein Downgrade der Fritz!Box-Firmware-Version, Konfiguration der Fritz!Box ohne 2-Faktor-Authentifizierung und erneutes Update der Fritz!Box-Firmware helfen.
Dennoch sollten zuerst die getätigten Einstellungen, speziell bei IKEv1, überprüft werden.