UTM/IPSec - Fritzbox: Unterschied zwischen den Versionen

Aktuelle Version vom 28. Februar 2025, 11:11 Uhr

Erstellen einer IPSec-Verbindung mit einer Fritz!Box

Letzte Anpassung zur Version: 12.7.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

v12.5 v11

Hinweis
Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.

Vorbemerkung

Es wird eine AVM Fritz!Box benötigt

Es ist unerheblich, ob zuerst die Securepoint Appliance oder die Fritz!Box konfiguriert wird.

Die Gegenstelle, die mit einer Securepoint Appliance ausgerüstet ist, muss über eine statische IP-Adresse verfügen

Wenn die Gegenstelle dynamische IP-Adressen verwenden sollte, wählt die Fritz!Box VPN Funktion als Transportmodus den „Aggressive Mode“. notempty

Der Aggressive Mode wird von den Securepoint Appliances aus Sicherheitsgründen nicht unterstützt

‍

Sollte vor der Securepoint Appliance ein Router (z.B: Fritz!Box oder Speedport) stehen, muss dort gewährleistet sein, dass ESP und UDP 500/ 4500 aktiv ist. Siehe Beispiel-Konfiguration mit einer Fritz!Box.

Konfiguration der Fritz!Box

Einspielen einer neuen Firmware Version

Auf der Homepage des Herstellers kann überprüft werden, ob eine neue Firmware für die Fritz!Box verfügbar ist.

notempty

Bei älteren Fritz!Box-Firmware-Versionen werden nicht alle Verschlüsselungs-Algorithmen für IKEv1 unterstützt. Daher wird empfohlen die Firmware stets aktuell zu halten.
Weitere Informationen dazu sind im Abschnitt Die Konfigurationsdatei anpassen zu finden.

Firmware Update: Details anzeigen

DynDNS aktivieren

Um einen DynDNS in der VPN Konfiguration nutzen zu können, muss diese Funktion vorher eingerichtet werden. Dies setzt voraus, dass ein Account bei einem DynDNS Dienst Anbieter vorhanden ist ( Securepoint Dynamic DNS Host verwenden ).

Aktivierung von DynDNS in der Fritz!Box

Im Interface der Fritz!Box Internet ➊ → Freigaben ➋ aufrufen
Zum Dialog DynDNS ➌ wechseln
Aktivierung der Checkbox DynDNS benutzen ➍
Die Anmeldedaten des verwendeten DynDNS-Anbieters eintragen:

Beschriftung	Wert	Beschreibung
Update-URL	https://update.spdyn.de/nic/update?...	Die Update-URL des DynDNS-Anbieters
Domainname	d-vpn.spdns.de	Der Domainname für die Fritz!Box beim DynDNS-Anbieter
Benutzername	d-vpn.spdns.org	Der Benutzername des Accounts Bei spDyn mit Reselleraccount ebenfalls der Hostname
Kennwort	****	Das Passwort des Accounts Bei spDyn mit Reselleraccount der Token

Mit der Schaltfläche Übernehmen werden getätigte Änderungen abgespeichert.

Internes Netzwerk ändern

notempty

Die folgenden Änderungen müssen durchgeführt werden, wenn das Programm Fritz!Fernzugang einrichten verwendet wird. Siehe dazu den folgenden Abschnitt VPN Konfiguration erstellen.

Die UTM und die Fritz!Box dürfen nicht dasselbe IP-Netzwerk verwenden.
Das werkseingestellte interne Netz 192.168.178.0/24 der Fritz!Box darf nach Vorgabe des Fritz!Box VPN Assistenten nicht für VPN genutzt werden.
Daher muss das interne Netz gewechselt werden.

‍

Konfiguration des internen Netzwerks der Fritz!Box

Im Interface der Fritz!Box Heimnetz → Netzwerk aufrufen und zum Dialog Netzwerkeinstellungen wechseln
Im Abschnitt IP-Adressen auf die Schaltfläche IPv4-Einstellungen klicken
Unter Heimnetz folgendes eintragen:

Beschriftung	Wert	Beschreibung
IPv4-Adresse	192.168.100.1	Die neue IPv4-Adresse für die Fritz!Box
Subnetzmaske	255.255.255.0	Die Subnetzmaske für die neue IPv4-Adresse der Fritz!Box
DHCP-Server aktivieren aktivieren und folgendes eintragen:
von	192.168.100.20	Den Beginn der Spanne der DHCP-IPv4-Adressen
bis	192.168.100.200	Das Ende der Spanne der DHCP-IPv4-Adressen
Gültigkeit	10Tage	Die Gültigkeit der DHCP-IPv4-Adressen

Mit der Schaltfläche Übernehmen werden getätigte Änderungen abgespeichert. Eine neue Anmeldung auf die neue IP-Adresse der Fritz!Box ist dann nötig

VPN Konfiguration erstellen

Startbildschirm der Software Fritz!Fernzugang einrichten

Die Konfiguration der VPN Verbindung wird nicht über die Konfigurationsoberfläche im Browser vorgenommen, sondern wird als Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, welche über die Internetseite des Herstellers AVM heruntergeladen wird. Die Anwendungssoftware trägt den Namen Fritz!Fernzugang einrichten.

Anleitung VPN Konfiguration erstellen anzeigen

Es werden vom Assistenten zwei Dateien erstellt, lediglich eine wird in die Fritz!Box importiert. In diesem Beispiel ist dies die Datei: fritzbox_fritz_lokal.spdyn.de.cfg.

‍

notempty

Diese Konfigurationsdatei muss noch angepasst werden, damit eine Verbindung zur Securepoint Appliance aufgebaut werden kann.

Diese Datei in einem beliebigem Editor öffnen

Die Konfigurationsdatei anpassen

Die oben erstellte Konfigurationsdatei wird angepasst.
Grün markierte Einträge sind individuelle Konfigurationen.
Notwendige manuelle Änderungen sind zusätzlich mit gekennzeichnet.

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name =  "Securepoint";              //  Name der Verbindung in der Konfigurationsoberfläche
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 192.0.2.192;               // statische IP-Adresse der Securepoint Appliance
        remote_virtualip = 0.0.0.0;
        localid {
            fqdn = "fritz_lokal.spdyn.de";    // spdyn-DNS-Name der Fritz!Box
            //ipaddr = xxx.xxx.xxx.xxx;       // statische IP-Adresse der Fritz!Box, wenn vorhanden
        }
        remoteid {
            ipaddr = 192.0.2.192;             // statische IP-Adresse der Securepoint Appliance
        } 
        mode = phase1_mode_idp;               //  Main-Mode
        phase1ss = "dh15/aes/sha";            //  Proposals für Phase 1 (DH15, AES, SHA)
        keytype = connkeytype_pre_shared;
        key = "geheim";                       //  VPN Kennwort (Preshared Key)
        cert_do_server_auth = no;
        use_nat_t = no; / yes;                //  Befindet sich eine Seite hinter einem NAT Router ja = yes; nein = no; 
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr =  192.168.100.0;      // internes Netzwerk der Fritz!Box
                mask = 255.255.255.0;
            }
        }
        phase2remoteid {
            ipnet {
                ipaddr = 192.168.175.0;       //  internes Netzwerk der Securepoint Appliance
                mask = 255.255.255.0;
            }
        }
        phase2ss =  "esp-all-all/ah-none/comp-all/pfs";              //  mit Kompression
        accesslist = "permit ip any 192.168.175.0 255.255.255.0";    //  internes Netzwerk der Securepoint Appliance
    } 
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                        "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Erklärung der Änderungen und Einstellungen

Beschriftung	Wert	Beschreibung
name =	"Securepoint";	// Name der Verbindung in der Konfigurationsoberfläche Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberfläche der Fritz!Box angezeigt, wenn die Datei importiert wurde.
remoteip =	192.0.2.192;	// statische IP-Adresse der Securepoint Appliance Dies ist die statische IP-Adresse der Securepoint Appliance. Wurde bereits im Assistenten konfiguriert.
localid{ fqdn =	"fritz_lokal.spdyn.de";	// spdyn-DNS-Name der Fritz!Box Wurde bereits im Assistenten konfiguriert.
//ipaddr = }	xxx.xxx.xxx.xxx;	// statische IP-Adresse der Fritz!Box, wenn vorhanden Hier kann auch eine IP-Adresse eingeben werden, wenn die Fritz!Box über eine statische IP-Adresse verfügt. Diese Angaben werden auch vom Assistenten gesetzt.
remoteid { ipaddr = }	192.0.2.192;	// statische IP-Adresse der Securepoint Appliance Erneute Eingabe der statischen IP-Adresse der Securepoint Appliance. Wurde bereits im Assistenten konfiguriert.
mode =	phase1_mode_idp;	// Main-Mode Der Transportmodus muss von „aggressive“ auf „main“ geändert werden, da nur dieser von der Securepoint Software unterstützt wird.
phase1ss =	"dh15/aes/sha";	// Proposals für Phase 1 (DH15, AES, SHA) Die Verschlüsselungsparameter für die IKE Phase 1 müssen angepasst werden. notempty Ältere Fritz!Box-Firmware-Versionen unterstützen ausschließlich AES 128 bits, SHA1 und DH2. Alternativ ist auch der Eintrag "all/all/all" möglich. Dann kann der Verbindungsaufbau etwas länger dauern.
key =	"geheim";	// VPN Kennwort (Preshared Key) Den Preshared Key eingeben. Der vom Assistenten generierte Preshared Key kann ebenfalls verwendet werden. Dieser muss dann auf der Securepoint Appliance hinterlegt werden.
phase2localid { ipnet { ipaddr = mask = } }	192.168.100.0; 255.255.255.0;	// internes Netzwerk der Fritz!Box // Subnetzmaske Unter phase2localid muss das interne Netz der Fritz!Box angegeben sein, das mit dem entfernten Netz verbunden werden soll.
phase2remoteid { ipnet { ipaddr = mask = } }	192.168.175.0; 255.255.255.0;	// internes Netzwerk der Securepoint Appliance Unter phase2remoteid muss das interne Netz der Securepoint Appliance verzeichnet sein.
phase2ss =	"esp-all-all/ah-none/comp-all/pfs"	// mit Kompression Die Verschlüsselungsparameter für die IKE Phase 2 müssen mit der von Phase 1 identisch sein. notempty Ältere Fritz!Box-Firmware-Versionen unterstützen ausschließlich AES 128 bits, SHA1 und DH2. Wird in Phase 1 "all/all/all" eingetragen, kann dann entsprechend "esp-all-all" eingetragen werden. Mit "ah-none" wird kein Authentication Header erwartet und mit "comp-all" wird Kompression unterstützt.
accesslist =	"permit ip any 192.168.175.0 255.255.255.0";	// internes Netzwerk der Securepoint Appliance

Die so modifizierte Konfigurationsdatei wird wieder als fritzbox_fritz_lokal.spdyn.de.cfg abgespeichert.

Weitere Netze hinzufügen

Sollen noch weitere Netzwerke der Securepoint Appliance hinzugefügt werden, so wird in der Konfigurationsdatei der Parameter accesslist entsprechend angepasst.

Beispiel 1

Die Netze 192.168.82.0/24 bis 192.168.92.0/24 sollen über VPN erreichbar sein.
So wird im Parameter accesslist lediglich die angegebene Netzwerkmaske angepasst:

accesslist = "permit ip any 192.168.82.0 255.255.240.0";

‍

Beispiel 2

Neben dem Netz 192.168.175.0/24 soll auch das Netz 192.168.82.0/24 über VPN erreichbar sein.
So wird im Parameter accesslist dieses weitere Netz hinzugefügt:

accesslist = "permit ip any 192.168.175.0 255.255.255.0", "permit ip any 192.168.82.0 255.255.255.0";

‍

Konfigurationsdatei hochladen

Hinzufügen einer VPN-Verbindung in der Fritz!Box

Im Fritz!Box-Menü Internet ➊ → Freigaben ➋ → VPN (IPSec) ➌ mit Klick auf die Schaltfläche VPN-Verbindung hinzufügen ➍ den Import-Assistenten starten.

Auswahl der Art der VPN-Konfiguration in der Fritz!Box

In dem Fenster VPN-Verbindung wird von den vier Einrichtungsmöglichkeiten Eine VPN-Konfiguration aus einer VPN-Einstellungsdatei importieren ➎ ausgewählt.
Weiter mit Weiter ➏.

Upload der Konfigurationsdatei in der Fritz!Box

Über die Schaltfläche Durchsuchen... ➐ wird die erstellte Konfigurationsdatei ausgewählt.
Falls die Datei verschlüsselt ist, wird diese Einstellung aktiviert. Unter Kennwort wird dann das Kennwort eingetragen.
Abschließend wird auf Übernehmen ➑ geklickt.

Unter System → Ergebnisse wird der Verbindungsaufbau protokolliert.

Securepoint Appliance einrichten

Anschließend müssen die Einstellungen an der Securepoint Appliance vorgenommen werden:

Die UTM muss über eine statische öffentliche IP-Adresse verfügen

Eine Site-to-Site IPSec-Verbindung wird eingerichtet. notempty
IKE-Version 1 und den gleichen Preshared Key wie in der Konfigurationsdatei der Fritz!Box verwenden
Falls notwendig ein Netzwerkobjekt für das IPSec-VPN Netzwerk der Gegenstelle anlegen und entsprechende Firewall Regeln, wenn diese nicht vom Assistenten automatisch anlegen lassen
Die Einstellungen der Phasen der IPSec-Verbindung anpassen. notempty
Phase 2 PFS verwenden

Leider gibt es unterschiedliche Erfahrungen, welche Seite die Verbindung initiieren sollte. Daher können wir dazu keine Empfehlung geben. Nähere Informationen zur Einrichtung der Securepoint Appliance sind im Wiki-Artikel IPSec Site-to-Site zu finden.

IPSec S2S-Verbindung herstellen

Schritt 1 - Verbindungstyp Schritt 1 - Verbindungstyp
In Schritt 1 wird der Site to Site - Verbindungstyp ausgewählt.			IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Einrichtungsschritt 1
Schritt 2 - Allgemein Schritt 2 - Allgemein
Beschriftung	Wert	Beschreibung	Einrichtungsschritt 2
Name:	IPSec Fritz!Box S2S	Ein passender Namen für diese Verbindung
IKE Version:	IKE v1IKE v2	Bei der IKE Version IKE Version 1 auswählen Zum Zeitpunkt dieser Dokumentation unterstützt AVM lediglich IKEv1

Schritt 3 - Lokal Schritt 3 - Lokal
Local Gateway ID:	LAN1	Die IP-Adresse oder die Schnittstelle der Securepoint Appliance, welche die VPN-Verbindung zur Fritz!Box aufbauen soll.	Einrichtungsschritt 3
Authentifizierungsmethode	Pre-Shared Key	Pre-Shared Key auswählen
Pre-Shared Key:	**********	Den Pre-Shared Key aus der Konfigurationsdatei der Fritz!Box eintragen
Netzwerke freigeben:	»192.168.175.0/24	Das intern erreichbare Netzwerk der Securepoint Appliance, wie in der Konfigurationsdatei angegeben.

Schritt 4 - Gegenstelle Schritt 4 - Gegenstelle
Remote Gateway:	fritz_lokal.spdyn.de	Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Fritz!Box	Einrichtungsschritt 4
Remote Gateway ID:	fritz_lokal.spdyn.de	ID, die auf der Fritz!Box als lokale ID konfiguriert wurde (frei wählbare Zeichenfolge).
Netzwerke freigeben:	»192.168.100.0/24	Das lokale Netzwerk der Fritz!Box, auf das über das VPN zugegriffen werden soll, wie in der Konfigurationsdatei angegeben.

IKEv1 Phasen konfigurieren

Die Phase 1 und Phase 2 von IKEv1 sollten überprüft und gegebenenfalls angepasst werden.
notempty

Die Einstellungen müssen mit denen aus der oben erstellten Konfigurationsdatei identisch sein.

notempty

Wurde in der Konfigurationsdatei phase1ss = "all/all/all"; bzw. phase2ss = "esp-all-all/[...]"; eingetragen, so werden in der Securepoint Appliance bei IKEv1 Phase 1 bzw. bei Phase 2 die Default-Werte eingestellt.

‍

Diese Default-Werte werden von der Fritz!Box nicht unterstützt.

Der Hersteller AVM informiert welche Verschlüsselungsverfahren und Algorithmen von der Fritz!Box unterstützt werden.

IKEv1 Phase 1 konfigurieren
Unter VPN IPSec Bereich Verbindungen wird bei der erstellten IPSec S2S-Verbindung auf Phase 1 geklickt und im Dialog Phase 1 Bearbeiten auf den Reiter IKE gewechselt.
Beschriftung	Wert	Beschreibung	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Konfiguration von Phase 1 bei IKEv1
Verschlüsselung:	aes256	Als Verschlüsselung aes256 einstellen. Es kann auch eine andere gewählt werden.notempty Sollte die Fritz!Box die eingestellten Verschlüsselungen nicht unterstützen, aes128 auswählen.
Authentifizierung:	sha2_512	Als Authentifizierung sha2_512 einstellen. Es kann auch eine andere gewählt werden. notempty Sollte die Fritz!Box die eingestellten Authentifizierung nicht unterstützen, sha1 auswählen.
Diffie-Hellman Group:	modp3072	Als Diffie-Hellman Group modp3072 (DH15) einstellen. notempty Sollte die Fritz!Box die eingestellten Diffie-Hellman Group nicht unterstützen, modp1024 (DH2) auswählen.
Schwache Algorithmen anzeigen:	Aus	Wird aktiviert wenn schwächere Algorithmen benötigt werden, wie für Authentifizierung: sha1 und Diffie-Hellman Group: modp1024.
Strict:	Aus	Bei Aktivierung werden ausschließlich die konfigurierten Parameter und keine weiteren Proposals verwendet.
IKE Lifetime:	1 Stunde Default	Die IKE Lifetime kann angepasst werden.
Rekeying:	unbegrenzt (empfohlen) Default	Die Anzahl des Rekeying kann angepasst werden.
Mit der Schaltfläche Speichern werden die getätigten Änderungen übernommen.

IKEv1 Phase 2 konfigurieren
Unter → VPN →IPSecReiter Verbindungen wird bei der erstellten IPSec S2S-Verbindung auf Phase 2 geklickt. notempty Die eingestellten Parameter müssen identisch mit denen von Phase 1 sein.
Beschriftung	Wert	Beschreibung		Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Konfiguration von Phase 2 bei IKEv1
Verschlüsselung:	aes256	Als Verschlüsselung aes256 einstellen. Es kann auch eine andere gewählt werden.notempty Sollte die Fritz!Box die eingestellten Verschlüsselungen nicht unterstützen, aes128 auswählen.
Authentifizierung:	sha2_512	Als Authentifizierung sha2_512 einstellen. Es kann auch eine andere gewählt werden. notempty Sollte die Fritz!Box die eingestellten Authentifizierung nicht unterstützen, sha1 auswählen.
Diffie-Hellman Group:	modp3072	Als Diffie-Hellman Group modp3072 (DH15) einstellen. notempty Sollte die Fritz!Box die eingestellten Diffie-Hellman Group nicht unterstützen, modp1024 (DH2) auswählen.
Schwache Algorithmen anzeigen:	Aus	Wird aktiviert wenn schwächere Algorithmen benötigt werden, wie für Authentifizierung: sha1 und Diffie-Hellman Group: modp1024.
Schlüssel-Lebensdauer:	8 Stunden Default	Die Schlüssel-Lebensdauer kann angepasst werden.
Neustart nach Abbruch:	Aus	Bei Aktivierung wird die Verbindung wiederhergestellt bei einem unerwartetem Abbruch.
DHCP:	Aus	Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz. Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
Mit der Schaltfläche Speichern werden die getätigten Änderungen übernommen.

Firewall-Regel

Die Paketfilterregeln der Firewall müssen noch angepasst werden, falls diese nicht durch den Assistenten automatisch erzeugt werden.
Implizite Regeln
Über Firewall Implizite Regeln Bereich VPN müssen folgende Regeln aktiv sein
Aktiv	Regel		Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Aktivierung der benötigten VPN-Regeln
Ein	IPSec IKE
Ein	IPSec ESP
Ein	IPSec NAT Traversal
Bei Aktivierung der Impliziten Regel-Gruppe VPN werden alle dazugehörigen Regeln aktiviert. notempty Grundsätzlich gilt: Ausschließlich das freigeben, was benötigt wird für Denjenigen, der dies braucht.

Paketfilter-Regel
Bevor eine entsprechende Paketfilter-Regel erstellt werden kann, muss ein Netzwerkobjekt für das Fritz!Box-Netzwerk erstellt werden. Unter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen wird dieses Netzwerkobjekt erstellt
Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Erstellung des Fritz!Box-Netzwerkobjekts
Name:	IPSec-Fritz!Box	Frei wählbarer Name für dieses Netzwerkobjekt
Typ:	VPN-Netzwerk	VPN-Netzwerk auswählen
Adresse:	192.168.100.0/24	Das interne Netzwerk der Fritz!Box
Zone:	vpn-ipsec	vpn-ipsec auswählen
Gruppen:		Das Netzwerkobjekt kann einer oder mehreren Gruppen zugewiesen werden

Unter Firewall Paketfilter Schaltfläche Regel hinzufügen werden zwei Paketfilter-Regeln erstellt. Eine Regel von der Securepoint Appliance internal-network zum internen Netz der Fritz!Box IPSec-Fritz!Box mit dem Dienst ms-rdp Dabei wird der NAT-Typ Hidenat-Exclude mit dem Netzwerkobjekt external-interface ausgewählt Eine zweite Regel vom internen Netz der Fritz!Box IPSec-Fritz!Box zur Securepoint Appliance internal-network mit dem Dienst ms-rdp

#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
	internal-network	IPSec-Fritz!Box	ms-rdp	HNE	ACCEPT	Ein
	IPSec-Fritz!Box	internal-network	ms-rdp		ACCEPT	Ein

IPSec-Verbindung initiieren

Nur für interne Prüfzwecke

UTM v12.7.0 IPSec-Fritzbox IPSec initiieren.png

Abb.1

Nachdem die Securepoint Appliance und die Fritz!Box konfiguriert worden sind, wird die IPSec-Verbindung aufgebaut.
Die Verbindung von der Securepoint Appliance aus herstellen:

Auf VPN IPSec Bereich Verbindungen wechseln
Bei der eben erstellten Verbindung auf die Schaltfläche Laden ➊ klicken, um die Verbindungsdaten zu laden
Zum Starten der Verbindung auf die Schaltfläche Initiieren ➋ klicken

Die Verbindung zur Fritz!Box wird aufgebaut.

Abb.2

Um den Status der Verbindung auf der Fritz!Box einzusehen, im Interface der Fritz!Box auf Internet ➌ → Freigaben ➍ gehen
Auf den Dialog VPN (IPSec) ➎ wechseln
Im unteren Bereich VPN-Verbindungen ist die erstellte Verbindung zu sehen
In der Spalte Status wird bei einer aufgebauten Verbindung ein grüner Kreis ➏ angezeigt

notempty

Es kann dennoch vorkommen, dass keine IPSec-Verbindung aufgebaut wird, weder von Seiten der Securepoint Appliance noch von der Fritz!Box, trotz richtiger Konfiguration der Securepoint Appliance, der Fritz!Box und der Konfigurationsdatei.
Dann kann unter Umständen ein Downgrade der Fritz!Box-Firmware-Version, Konfiguration der Fritz!Box ohne 2-Faktor-Authentifizierung und erneutes Update der Fritz!Box-Firmware helfen.
Dennoch sollten zuerst die getätigten Einstellungen, speziell bei IKEv1, überprüft werden.

@@ Zeile 1: / Zeile 1: @@
-<span id=1270></span>{{Set_lang}}
+{{Set_lang}}
 {{#vardefine:headerIcon|spicon-utm}}
@@ Zeile 15: / Zeile 15: @@
 ----
-=== {{#var:Vorbemerkung}} {{Hinweis-box||gr|12.5.2|status=update}} ===
+=== {{#var:Vorbemerkung}} ===
 <div class="einrücken">
 * {{#var:FritzBox erforderlich}}
 <li class="list--element__alert list--element__positiv">{{#var:Vorbemerkung Reihenfolge}}</li>
@@ Zeile 24: / Zeile 23: @@
 {{Hinweis-box | {{#var:Vorbemerkung statische IP-Adresse--Hinweis}} {{info|{{#var:Vorbemerkung statische IP-Adresse--info}} }} }}
 </li>
-<span id="ESP & UDP"></span><li class="list--element__alert list--element__warning">{{#var:Vorbereitung FritzBox ESP}} {{Hinweis-box||gr|12.5.2|status=update}}</li>
+<span id="ESP & UDP"></span><li class="list--element__alert list--element__warning">{{#var:Vorbereitung FritzBox ESP}}</li>
 </div>
+----
-----
-=== {{#var:Konfiguration der Fritz!Box}} {{Hinweis-box||gr|12.5.1|status=update}} ===
+=== {{#var:Konfiguration der Fritz!Box}} ===
-<div class="einrücken">
 ==== {{#var:Einspielen einer neuen Firmware Version}} ====
 <div class="einrücken">
@@ Zeile 40: / Zeile 39: @@
 {{#var:Einspielen einer neuen Firmware Version--desc}}
 </div></div>
-<br clear=all>
+<br clear=all></div>
-</div>
 ==== {{#var:DynDNS aktivieren}} ====
@@ Zeile 48: / Zeile 47: @@
 {{pt3|{{#var:DynDNS aktivieren--Bild}}|{{#var:DynDNS aktivieren--cap}} }}
 {{#var:DynDNS aktivieren--list}}
-{| class="sptable2 pd5 zh1"
+</div>
+{| class="sptable2 pd5 zh1 Einrücken"
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
 |-
-| {{#var:Update-URL}} || {{ic|https://update.spdyn.de/nic/update?...|class=available}} || {{#var:Update-URL--desc}}
+| Update-URL || {{ic|https://update.spdyn.de/nic/update?...|class=available}} || {{#var:Update-URL--desc}}
 |-
-| {{#var:Domainname}} || {{ic|d-vpn.spdns.de|class=available}} || {{#var:Domainname--desc}}
+| Domainname || {{ic|d-vpn.spdns.de|class=available}} || {{#var:Domainname--desc}}
 |-
 | {{#var:Benutzername}} || {{ic|d-vpn.spdns.org|class=available}} || {{#var:Benutzername--desc}}
@@ Zeile 62: / Zeile 63: @@
 |
 |}
-{{#var:DynDNS aktivieren Übernehmen}}
+<div class="einrücken">
-</div>
+* {{#var:DynDNS aktivieren Übernehmen}}
-<br clear=all>
+</div><br clear=all>
 ==== {{#var:Internes Netzwerk ändern}} ====
@@ Zeile 73: / Zeile 75: @@
 {{pt3|{{#var:Internes Netzwerk ändern--Bild}}|{{#var:Internes Netzwerk ändern--cap}} }}
 {{#var:Internes Netzwerk ändern--list}}
-{| class="sptable2 pd5 zh1"
+</div>
+{| class="sptable2 pd5 zh1 Einrücken"
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
@@ Zeile 80: / Zeile 84: @@
 |-
 | {{#var:Subnetzmaske}} || {{ic|255}}.{{ic|255}}.{{ic|255}}.{{ic|0}} || {{#var:Subnetzmaske--desc}}
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3"| {{#var:Internes Netzwerk ändern DHCP}}
+| colspan="3" | {{#var:Internes Netzwerk ändern DHCP}}
 |-
 | {{#var:DHCP von}} || {{ic|192}}.{{ic|168}}.{{ic|100}}.{{ic|20}} || {{#var:DHCP von--desc}}
@@ Zeile 91: / Zeile 95: @@
 |
 |}
-{{#var:Internes Netzwerk ändern Übernehmen}}
+<div class="einrücken">
+* {{#var:Internes Netzwerk ändern Übernehmen}}
 </div>
-<br clear=all>
 ==== {{#var:VPN Konfiguration erstellen}} ====
@@ Zeile 116: / Zeile 121: @@
 <br clear=all>
 </div>
+----
-</div>
-----
+=== {{#var:Die Konfigurationsdatei anpassen}} ===
-=== {{#var:Die Konfigurationsdatei anpassen}} {{Hinweis-box||gr|12.5.1|status=update}} ===
 <div class="einrücken">
 {{#var:Die Konfigurationsdatei anpassen--desc}}
@@ Zeile 130: / Zeile 133: @@
           enabled = yes;
           conn_type = conntype_lan;
-          name =  <font color=green>'''''"Securepoint";              // {{#var:vpncfg name}}'''''</font>
+          name =  <font color=green>'''''"Securepoint";              // {{Alert}} {{#var:vpncfg name}}'''''</font>
           always_renew = yes;
           reject_not_encrypted = no;
@@ Zeile 145: / Zeile 148: @@
               ipaddr = <font color=green>'''''192.0.2.192;             // {{#var:vpncfg remoteid ipaddr}}'''''</font>
           }
-          mode = <font color=green>'''''phase1_mode_idp;               // {{#var:vpncfg mode}}'''''</font>
+          mode = <font color=green>'''''phase1_mode_idp;               // {{Alert}} Main-Mode'''''</font>
           phase1ss = <font color=green>'''''"dh15/aes/sha";            // {{#var:vpncfg phase1ss}}'''''</font>
           keytype = connkeytype_pre_shared;
@@ Zeile 175: / Zeile 178: @@
 <br>
 {{Einblenden|{{#var:Erklärung der Änderungen und Einstellungen}}|{{#var:hide}}|dezent}}
-{| class="sptable2 pd5 zh1"
+{| class="sptable2 pd5 zh1 Einrücken"
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
 |-
-| <font face=courier>name = </font> || <font face=courier>"Securepoint";</font> ||  <font color=green>// {{#var:vpncfg name}}</font><br>{{#var:vpncfg name--desc}}
+| <font face=courier>name = </font> || <font face=courier>"Securepoint";</font> ||  <font color=green>// {{Alert}} {{#var:vpncfg name}}</font><br>{{#var:vpncfg name--desc}}
 |-
 | <font face=courier>remoteip = </font> || <font face=courier>192.0.2.192;</font>|| <font color=green>// {{#var:vpncfg remoteip}}</font><br>{{#var:vpncfg remoteip--desc}}
@@ Zeile 189: / Zeile 193: @@
 | <font face=courier>remoteid {<br>&emsp;&emsp; ipaddr =<br>}</font> || <font face=courier><br>192.0.2.192;</font>|| <font color=green><br>// {{#var:vpncfg remoteid ipaddr}}</font><br>{{#var:vpncfg remoteid ipaddr--desc}}
 |-
-| <font face=courier>mode = </font> || <font face=courier>phase1_mode_idp;</font>|| <font color=green>// {{#var:vpncfg mode}}</font><br>{{#var:vpncfg mode--desc}}
+| <font face=courier>mode = </font> || <font face=courier>phase1_mode_idp;</font>|| <font color=green>// {{Alert}} Main-Mode</font><br>{{#var:vpncfg mode--desc}}
 |-
 |<font face=courier>phase1ss = </font> || <font face=courier>"dh15/aes/sha";</font>|| <font color=green>// {{#var:vpncfg phase1ss}}</font><br>{{#var:vpncfg phase1ss--desc}}
@@ Zeile 218: / Zeile 222: @@
 </div></div>
 {{#var:Konfigurationsdatei abspeichern}}
 ==== {{#var:Weitere Netze hinzufügen}} ====
@@ Zeile 229: / Zeile 234: @@
 <div class="einrücken">
 {{#var:Weitere Netze hinzufügen Beispiel2--desc}}{{info|{{#var:Weitere Netze hinzufügen Beispiel2--info}} }}
-</div>
+</div></div>
-</div>
-==== {{#var:Konfigurationsdatei hochladen}} {{Hinweis-box||gr|12.5.1|status=update}} ====
+==== {{#var:Konfigurationsdatei hochladen}} ====
 <div class="einrücken">
 {{pt3|{{#var:Konfigurationsdatei hochladen--Bild}}|{{#var:Konfigurationsdatei hochladen--cap}} }}
@@ Zeile 243: / Zeile 248: @@
 {{#var:Konfigurationsdatei hochladen Datei}}
 <p>{{#var:Konfigurationsdatei hochladen Ergebnisse}}</p>
-</div>
+</div><br clear=all></div>
-<br clear=all>
+----
-</div>
-----
 === {{#var:Securepoint Appliance einrichten}} ===
 <div class="einrücken">
 {{#var:Securepoint Appliance einrichten--desc}}
+</div>
 ==== {{#var:IPSec S2S-Verbindung herstellen}} ====
 {| class="sptable2 pd5 zh1 einrücken"
+|- class="Leerzeile"
+| colspan="3" | {{h-5|{{#var:Schritt 1 - Verbindungstyp}}|{{#var:Schritt 1 - Verbindungstyp}} }}
 |-
-| class="Leerzeile" colspan="3" | {{h-5|{{#var:Schritt 1 - Verbindungstyp}}|{{#var:Schritt 1 - Verbindungstyp}} }}
+| class="Leerzeile" colspan="3" | {{#var: Schritt 1 UTM Fritz!Box--desc}}
-|-
-| class="Leerzeile" colspan="3"| {{#var: Schritt 1 UTM Fritz!Box--desc}}
 | class="Bild" | {{Bild| {{#var:Schritt 1 UTM Fritz!Box--Bild}} | {{#var:Schritt 1 UTM Fritz!Box--cap}}||{{#var:IPSec Verbindung hinzufügen}}|VPN|IPSec}}
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3" | {{h-5|{{#var:Schritt 2 - Allgemein}}|{{#var:Schritt 2 - Allgemein}} }}
+| colspan="3"  | {{h-5|{{#var:Schritt 2 - Allgemein}}|{{#var:Schritt 2 - Allgemein}} }}
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="4"| {{Bild| {{#var:Schritt 2 UTM Fritz!Box--Bild}} | {{#var:Schritt 2 UTM Fritz!Box--cap}} }}
+| class="Bild" rowspan="4"| {{Bild| {{#var:Schritt 2 UTM Fritz!Box--Bild}} |{{#var:Schritt 2 UTM Fritz!Box--cap}} }}
 |-
-| {{b|{{#var:Name}} }} || {{ic|IPSec Fritz!Box S2S|class=available}} || {{#var:Name--desc}}
+| {{b|Name:}} || {{ic|IPSec Fritz!Box S2S|class=available}} || {{#var:Name--desc}}
 |-
-| {{b|{{#var:IKE Version}} }} || class=mw12 | {{Button|IKE v1|class=aktiv}}{{Button|IKE v2}} || {{#var:IKE Version--desc}}<li class="list--element__alert list--element__warning small">{{#var:Hinweis IKEv1-AVM}}</li>
+| {{b|IKE Version:}} || class=mw12 | {{Button|IKE v1|class=aktiv}}{{Button|IKE v2}} || {{#var:IKE Version--desc}}<li class="list--element__alert list--element__warning small">{{#var:Hinweis IKEv1-AVM}}</li>
 |- class="Leerzeile"
 |
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3" | {{h-5|{{#var:Schritt 3 - Lokal}}|{{#var:Schritt 3 - Lokal}} }}
+| colspan="3" | {{h-5|{{#var:Schritt 3 - Lokal}}|{{#var:Schritt 3 - Lokal}} }}
 |-
 | {{b|Local Gateway ID: }} || {{ic|LAN1|dr|class=available}} || {{#var:Local Gateway ID--desc}}
-| class="Bild" rowspan="5"| {{Bild| {{#var:Schritt 3 UTM Fritz!Box--Bild}} | {{#var:Schritt 3 UTM Fritz!Box--cap}} }}
+| class="Bild" rowspan="5" | {{Bild| {{#var:Schritt 3 UTM Fritz!Box--Bild}} |{{#var:Schritt 3 UTM Fritz!Box--cap}} }}
 |-
 | {{b|{{#var:Authentifizierungsmethode}} }} || {{button|Pre-Shared Key|dr|class=available}} || {{#var:Authentifizierungsmethode--desc}}
@@ Zeile 283: / Zeile 290: @@
 |- class="Leerzeile"
 |
+|- class="Leerzeile"
+| colspan="3" | {{h-5|{{#var:Schritt 4 - Gegenstelle}}|{{#var:Schritt 4 - Gegenstelle}} }}
 |-
-| class="Leerzeile" colspan="3" |<br>
+| {{b|Remote Gateway:}} || {{ic|fritz_lokal.spdyn.de|dr|class=available}} || {{#var:Remote Gateway--desc}}
-{{h-5|{{#var:Schritt 4 - Gegenstelle}}|{{#var:Schritt 4 - Gegenstelle}} }}
-|-
-| {{b|Remote Gateway: }} || {{ic|fritz_lokal.spdyn.de|dr|class=available}} || {{#var:Remote Gateway--desc}}
 | class="Bild" rowspan="4"| {{Bild| {{#var:Schritt 4 UTM Fritz!Box--Bild}} | {{#var:Schritt 4 UTM Fritz!Box--cap}} }}
 |-
@@ Zeile 297: / Zeile 303: @@
 |}
-==== {{#var:IKEv1 Phasen konfigurieren}} {{Hinweis-box||gr|12.5.1|status=neu}} ====
+==== {{#var:IKEv1 Phasen konfigurieren}} ====
 <div class="einrücken">
 {{#var:IKEv1 Phasen konfigurieren--desc}}
 <br>
 {{Hinweis-box|{{#var:IKEv1 Phasen konfigurieren Default-Werte}}|g|fs__icon=em2}}
+</div>
 {| class="sptable2 pd5 zh1 einrücken"
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="4"|
+| colspan="4" |
 ===== {{#var:IKEv1 Phase 1 konfigurieren}} =====
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="4"| {{#var:IKEv1 Phase 1 konfigurieren--desc}}
+| colspan="4" | {{#var:IKEv1 Phase 1 konfigurieren--desc}}
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="10"| {{Bild|{{#var:IKEv1 Phase 1 konfigurieren--Bild}}|{{#var:IKEv1 Phase 1 konfigurieren--cap}}||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
+| class="Bild" rowspan="10" | {{Bild| {{#var:IKEv1 Phase 1 konfigurieren--Bild}} |{{#var:IKEv1 Phase 1 konfigurieren--cap}}||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 |-
 | {{b|{{#var:Verschlüsselung}} }} || {{button|aes256|dr|class=available}} || {{#var:Verschlüsselung--desc}}
@@ Zeile 316: / Zeile 324: @@
 | {{b|{{#var:Authentifizierung}} }} || {{button|sha2_512|dr|class=available}} || {{#var:Authentifizierung--desc}}
 |-
-| {{b|{{#var:Diffie-Hellman Group}} }} || {{button|modp3072|dr|class=available}} || {{#var:Diffie-Hellman Group--desc}}
+| {{b|Diffie-Hellman Group:}} || {{button|modp3072|dr|class=available}} || {{#var:Diffie-Hellman Group--desc}}
 |-
 | {{b|{{#var:Schwache Algorithmen anzeigen}} }} || {{buttonAus|{{#var:aus}} }} || {{#var:Schwache Algorithmen anzeigen--desc}}
 |-
-| {{b|{{#var:Strict}} }} || {{buttonAus|{{#var:aus}} }} || {{#var:Strict--desc}}
+| {{b|Strict:}} || {{buttonAus|{{#var:aus}} }} || {{#var:Strict--desc}}
 |-
-| {{b|{{#var:IKE Lifetime}} }} || {{button|{{#var:IKE Lifetime--val}}|dr|class=available}}<br><small>'''Default'''</small> || {{#var:IKE Lifetime--desc}}
+| {{b|IKE Lifetime:}} || {{button|{{#var:IKE Lifetime--val}}|dr|class=available}}<br><small>'''Default'''</small> || {{#var:IKE Lifetime--desc}}
 |-
-| {{b|{{#var:Rekeying}} }} || {{button|{{#var:Rekeying--val}}|dr|class=available}}<br><small>'''Default'''</small> || {{#var:Rekeying--desc}}
+| {{b|Rekeying:}} || {{button|{{#var:Rekeying--val}}|dr|class=available}}<br><small>'''Default'''</small> || {{#var:Rekeying--desc}}
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="4"| {{#var:Speichern--desc}}
+| colspan="4" | {{#var:Speichern--desc}}
 |- class="Leerzeile"
 |
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="4"|
+| colspan="4" |
 ===== {{#var:IKEv1 Phase 2 konfigurieren}} =====
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="4"| {{#var:IKEv1 Phase 2 konfigurieren--desc}}
+| colspan="4" | {{#var:IKEv1 Phase 2 konfigurieren--desc}}
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="10"| {{Bild|{{#var:IKEv1 Phase 2 konfigurieren--Bild}}|{{#var:IKEv1 Phase 2 konfigurieren--cap}}||{{#var:Phase 2 bearbeiten}}|VPN|IPSec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
+| class="Bild" rowspan="10" | {{Bild| {{#var:IKEv1 Phase 2 konfigurieren--Bild}} |{{#var:IKEv1 Phase 2 konfigurieren--cap}}||{{#var:Phase 2 bearbeiten}}|VPN|IPSec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 |-
 | {{b|{{#var:Verschlüsselung}} }} || {{button|aes256|dr|class=available}} || {{#var:Verschlüsselung--desc}}
@@ Zeile 342: / Zeile 350: @@
 | {{b|{{#var:Authentifizierung}} }} || {{button|sha2_512|dr|class=available}} || {{#var:Authentifizierung--desc}}
 |-
-| {{b|{{#var:Diffie-Hellman Group}} }} || {{button|modp3072|dr|class=available}} || {{#var:Diffie-Hellman Group--desc}}
+| {{b|Diffie-Hellman Group:}} || {{button|modp3072|dr|class=available}} || {{#var:Diffie-Hellman Group--desc}}
 |-
 | {{b|{{#var:Schwache Algorithmen anzeigen}} }} || {{buttonAus|{{#var:aus}} }} || {{#var:Schwache Algorithmen anzeigen--desc}}
@@ Zeile 350: / Zeile 358: @@
 | {{b|{{#var:Neustart nach Abbruch}} }} || {{buttonAus|{{#var:aus}} }} || {{#var:Neustart nach Abbruch--desc}}
 |-
-| {{b|{{#var:DHCP}} }} || {{buttonAus|{{#var:aus}} }} || {{#var:DHCP--desc}}
+| {{b|DHCP:}} || {{buttonAus|{{#var:aus}} }} || {{#var:DHCP--desc}}
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="4"| {{#var:Speichern--desc}}
+| colspan="4" | {{#var:Speichern--desc}}
 |- class="Leerzeile"
 |
 |}
-</div>
-==== {{#var:Firewall-Regel}} {{Hinweis-box||gr|12.5.1|status=neu}} ====
+==== {{#var:Firewall-Regel}} ====
 {| class="sptable2 pd5 zh1 einrücken"
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="4"| {{#var:Firewall-Regel--desc}}
+| colspan="4" | {{#var:Firewall-Regel--desc}}
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="4"|
+| colspan="4" |
 ===== {{#var:Implizite Regeln}} =====
+|- class="Leerzeile"
+| colspan="3" | {{#var:Implizite Regeln--desc}}
 |-
-| class="Leerzeile" colspan="3"| {{#var:Implizite Regeln--desc}}
+! {{#var:Aktiv}} !! colspan="2" | {{#var:Regel}}
+| class="Bild" rowspan="6" | {{Bild| {{#var:Implizite Regeln--Bild}} |{{#var:Implizite Regeln--cap}}||{{#var:Implizite Regeln}}|Firewall|icon=fa-save}}
 |-
-! {{#var:Aktiv}} !! colspan="2"| {{#var:Regel}}
+| {{ButtonAn|{{#var:ein}} }} || colspan="2" | {{b|IPSec IKE}}
-| class="Bild" rowspan="6"| {{Bild|{{#var:Implizite Regeln--Bild}}|{{#var:Implizite Regeln--cap}}||{{#var:Implizite Regeln}}|Firewall|icon=fa-save}}
 |-
-| {{ButtonAn|{{#var:ein}} }} || colspan="2"| {{b|IPSec IKE}}
+| {{ButtonAn|{{#var:ein}} }} || colspan="2" | {{b|IPSec ESP}}
 |-
-| {{ButtonAn|{{#var:ein}} }} || colspan="2"| {{b|IPSec ESP}}
+| {{ButtonAn|{{#var:ein}} }} || colspan="2" | {{b|IPSec NAT Traversal}}
-|-
+|- class="Leerzeile"
-| {{ButtonAn|{{#var:ein}} }} || colspan="2"| {{b|IPSec NAT Traversal}}
+| colspan="3" | {{#var:Implizite Regeln VPN Gruppe}}<br> {{Hinweis-box|{{#var:Implizite Regeln--Hinweis}} }}
-|-
-| class="Leerzeile" colspan="3"| {{#var:Implizite Regeln VPN Gruppe}}<br>{{Hinweis-box|{{#var:Implizite Regeln--Hinweis}} }}
 |- class="Leerzeile"
 |
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="4"|
+| colspan="4" |
 ===== {{#var:Paketfilter-Regel}} =====
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="4"| {{#var:Paketfilter-Regel Netzwerkobjekt}}
+| colspan="4"| {{#var:Paketfilter-Regel Netzwerkobjekt}}
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="7"| {{Bild|{{#var:Paketfilter-Regel Netzwerkobjekt--Bild}}|{{#var:Paketfilter-Regel Netzwerkobjekt--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
+| class="Bild" rowspan="7" | {{Bild| {{#var:Paketfilter-Regel Netzwerkobjekt--Bild}} |{{#var:Paketfilter-Regel Netzwerkobjekt--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
 |-
 | {{b|Name:}} || {{ic|IPSec-Fritz!Box|class=available}} || {{#var:Name Regel--desc}}
@@ Zeile 400: / Zeile 409: @@
 |- class="Leerzeile"
 |
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3" | {{#var:Paketfilter-Regel--desc}}
+| colspan="3" | {{#var:Paketfilter-Regel--desc}}
 |}
 {| class="sptable2 Paketfilter pd5 tr--bc__white zh1 Einrücken"
@@ Zeile 411: / Zeile 420: @@
 | class="bc__default" | || {{spc|drag|o|-}} || || {{spc|vpn-network|o|-}} IPSec-Fritz!Box || {{spc|network|o|-}} internal-network || {{spc|tcp|o|-}} ms-rdp ||  || {{Kasten|ACCEPT|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}{{Button||copy|fs=14}}
 |}
+----
-</div>
-----
 === {{#var:IPSec-Verbindung initiieren}} ===