IPSec - Fritz!Box mit mehreren UTMs

• Es wird eine AVM Fritz!Box benötigt

• Die Gegenstelle, die mit einer Securepoint Appliance ausgerüstet ist, muss über eine statische IP-Adresse verfügen

Auf der Homepage des Herstellers kann überprüft werden, ob eine neue Firmware für die Fritz!Box verfügbar ist.

Firmware Update: Details anzeigen

Einspielen einer neuen Fritz!Box-Firmware Version

Vor dem Herunterladen der neue Firmware Version von der Internetseite von AVM, ist darauf zu achten, dass nur Firmware benutzt werden kann, die für das vorhandene Produkt zugelassen ist.

• Das Interface der Fritz!Box wird im Browser aufgerufen. Werkseinstellung: https://192.168.178.1
• Auf System ➊ → Update ➋ klicken notempty
  Stammt die Fritz!Box von einem Kabelanbieter, steht diese Funktion nicht zur Verfügung!
• Im Dialog Fritz!OS-Version ➌ auf Neues Fritz!OS suchen ➍ klicken um online nach einem Update zu suchen, oder im Dialog Fritz!OS-Datei ➎ die heruntergeladene Firmware-Datei einspielen

Um einen DynDNS in der VPN Konfiguration nutzen zu können, muss diese Funktion vorher eingerichtet werden. Dies setzt voraus, dass ein Account bei einem DynDNS Dienst Anbieter vorhanden ist ( Securepoint Dynamic DNS Host verwenden ).

Aktivierung von DynDNS in der Fritz!Box

• Im Interface der Fritz!Box Internet ➊ → Freigaben ➋ aufrufen
• Zum Dialog DynDNS ➌ wechseln
• Aktivierung der Checkbox  DynDNS benutzen ➍
• Die Anmeldedaten des verwendeten DynDNS-Anbieters eintragen:

• Mit der Schaltfläche Übernehmen werden getätigte Änderungen abgespeichert.

Die Securepoint Appliances und die Fritz!Box dürfen intern nicht das gleiche IP-Netzwerk verwenden. Per Default ist dies bei denen 192.168.178.0/24.
Hinweise zur Änderung / Konfiguration der IP-Adrresse der UTM finden sich im Wiki-Artikel zu den Netzwerkschnittstellen der UTM.
Das werkseingestellte interne Netz 192.168.178.0/24 der Fritz!Box darf nach Vorgabe des Fritz!Box VPN Assistenten nicht für VPN genutzt werden.
Daher muss das interne Netz gewechselt werden.

Konfiguration des internen Netzwerks der Fritz!Box

• Im Interface der Fritz!Box Heimnetz → Netzwerk→ Reiter Netzwerkeinstellungen aufrufen
• Im Abschnitt IP-Adressen auf die Schaltfläche IPv4-Einstellungen klicken
• Unter Heimnetz lässt sich folgendes finden:

Startbildschirm der Software Fritz!Fernzugang einrichten

Die Konfiguration der VPN Verbindung wird nicht über die Konfigurationsoberfläche im Browser vorgenommen, sondern wird als Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, welche über die Internetseite des Herstellers AVM heruntergeladen wird. Die Anwendungssoftware trägt den Namen Fritz!Fernzugang einrichten.

Anleitung VPN Konfiguration erstellen anzeigen

• Die Software Fritz!Fernzugang einrichten herunterladen und installieren
• Auf das Icon Neu in der Symbolleiste klicken, um eine neue Konfigurationsdatei anzulegen. Es werden immer zwei Dateien angelegt, wovon die fritzbox_fritz_lokal.spdyn.de.cfg-Datei benötigt wird
  ‍

  Die benötigte Konfigurationsdatei beginnt immer mit fritzbox_ und dazu den eingetragenen DynDNS-Namen der Fritz!Box aus dem 2. Einrichtungsschritt in der Anwendungssoftware.

Ein Assistent führt durch die Erstellung der Konfigurationsdatei:

Schritt 1

Art der Verbindung auswählen

• Im ersten Schritt auswählen, welche Geräte miteinander verbunden werden sollen
• Zwei Geräte sollen sich miteinander verbinden. Aktivierung von  Verbindung zwischen zwei FRITZ!Box-Netzwerken errichten
• Weiter

Schritt 2

spDyn Domain (oder eines anderen dynamischen DNS-Dienstes) eingeben

• Zunächst werden die Daten der lokalen Fritz!Box abgefragt
• Die eingerichtete spDyn URL des lokalen Routers angeben

In diesem Beispiel: fritz_lokal.spdyn.de

• Weiter

Schritt 3

Internes Netz eingeben

• Das interne Netz der lokalen Fritz!Box und die zugehörige Subnetzmaske eingeben

Gemeint ist das interne Netz der Fritz!Box, welches über die VPN-Verbindung zugegriffen werden soll.

• Weiter

Schritt 4

cap4 Statische IP-Adresse der Securepoint Appliance

• Danach werden die Daten der Gegenstelle abgefragt
• Die feste IP-Adresse der Securepoint Appliance angeben

In diesem Beispiel: 192.0.2.192

• Weiter

Schritt 5

Internes Netz der Securepoint Appliance

• Das interne Netz der Securepoint Appliance und die zugehörige Subnetzmaske eintragen
• Weiter

Schritt 6

Verzeichnis der Dateien anzeigen

• Die Dateneingabe ist damit beendet
• Im nächsten Schritt entscheiden, ob die Konfigurationsdateien angezeigt oder exportiert werden sollen

Hier den ersten Punkt auswählen

• Fertig stellen

Der Speicherort der Dateien wird angezeigt.

Es werden vom Assistenten zwei Dateien erstellt, lediglich eine wird in die Fritz!Box importiert. In diesem Beispiel ist dies die Datei: fritzbox_fritz_lokal.spdyn.de.cfg.

‍

Die benötigte Konfigurationsdatei beginnt immer mit fritzbox_ und dazu dem eingetragenen DynDNS-Namen der Fritz!Box aus dem 2. Einrichtungsschritt in der Anwendungssoftware.

notempty

Diese Konfigurationsdatei muss noch angepasst werden, damit eine Verbindung zur Securepoint Appliance aufgebaut werden kann.

• Diese Datei in einem beliebigem Editor öffnen

Die oben erstellte Konfigurationsdatei wird angepasst, damit die VPN-Verbindung eingerichtet werden kann.
Falls eine VPN-Verbindung einer Securepoint Appliance mit einer Fritz!Box schon vorliegt und weitere Netze mit der Fritz!Box per VPN verbunden werden sollen, dann kann die vorhandene Konfigurationsdatei als Grundlage verwendet werden.
Für jedes weitere Netz muss diesen Verbindung in die Konfigurationsdatei eingetragen werden.

Sollen beispielsweise eine UTM mit dem Netz 192.168.10.0/24 und eine zweite UTM mit dem Netz 192.168.20.0/24 mit einem Fritz!Box-Netz 192.168.100.0/24 per VPN verbunden werden, so wird in der Konfigurationsdatei innerhalb des connections-Abschnittes je Netz ein Eintrag gemacht. Im folgendem Beispiel anhand der oben erstellten Datei fritzbox_fritz_lokal.spdyn.de.cfg.
Grün markierte Einträge sind individuelle Konfigurationen.
Notwendige manuelle Änderungen sind zusätzlich mit gekennzeichnet.

vpncfg {
    connections { // Beginn Netz der 1. Appliance
        enabled = yes;
        conn_type = conntype_lan;
        name = "Securepoint 1. Verbindung"; //  Name der Verbindung in der Konfigurationsoberfläche
        always_renew = yes; // auf "no" setzen, wenn die Verbindung nur bei Bedarf aufgebaut und bei Inaktivität abgebaut werden soll
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 192.0.2.10; //  statische IP-Adresse der 1. Appliance
        remote_virtualip = 0.0.0.0;
        localid {
            fqdn = "fritz_lokal.spdyn.de"; //  spdyn-DNS-Name der Fritz!Box
            //ipaddr = xxx.xxx.xxx.xxx;       // statische IP-Adresse der Fritz!Box, wenn vorhanden
        }
        remoteid {
            ipaddr = 192.0.2.10; //  statische IP-Adresse der 1. Appliance
        }
        mode = phase1_mode_idp;               //  Main-Mode
        phase1ss = "dh15/aes/sha";            //  Proposals für Phase 1 (DH15, AES, SHA)
        keytype = connkeytype_pre_shared;
        key = "<gemeinsame Passphrase>"; //  VPN Kennwort (Preshared Key)
        cert_do_server_auth = no;
        use_nat_t = no; / yes;                //  Befindet sich eine Seite hinter einem NAT Router ja = yes; nein = no; 
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = 192.168.100.0; //  internes Netz der Fritz!Box
                mask = 255.255.255.0; //  dazugehörige Netzmaske
            }
        }
        phase2remoteid {
            ipnet {
                ipaddr = 192.168.10.0; //  internes Netz der 1. Appliance
                mask = 255.255.255.0; //  dazugehörige Netzmaske
            }
        }
        phase2ss = "esp-all-all/ah-none/comp-all/pfs";              //  mit Kompression
        accesslist = "permit ip 192.168.100.0 255.255.255.0 192.168.10.0 255.255.255.0";    //  internes Netzwerk der Fritz!Box und der ersten Securepoint Appliance mit jeweiligen Netzwerkmasken
    }  // Ende Netz der 1. Appliance 
    {  // Beginn Netz der 2. Appliance 
        enabled = yes;
        conn_type = conntype_lan;
        name = "Securepoint 2. Verbindung"; //  Name der Verbindung in der Konfigurationsoberfläche
        always_renew = yes; // auf "no" setzen, wenn die Verbindung nur bei Bedarf aufgebaut und bei Inaktivität abgebaut werden soll
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 192.0.2.20; //  statische IP-Adresse der 2. Appliance
        remote_virtualip = 0.0.0.0;
        localid {
            fqdn = "fritz_lokal.spdyn.de"; //  spdyn-DNS-Name der Fritz!Box
            //ipaddr = xxx.xxx.xxx.xxx;       // statische IP-Adresse der Fritz!Box, wenn vorhanden
        }
        remoteid {
            ipaddr = 192.0.2.20; //  statische IP-Adresse der 2. Appliance
        }
        mode = phase1_mode_idp;               //  Main-Mode
        phase1ss = "dh15/aes/sha";            //  Proposals für Phase 1 (DH15, AES, SHA)
        keytype = connkeytype_pre_shared;
        key = "<gemeinsame Passphrase>; //  VPN Kennwort (Preshared Key)
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = 192.168.100.0; //  internes Netz der Fritz!Box
                mask = 255.255.255.0; //  dazugehörige Netzmaske
            }
        }
        phase2remoteid {
            ipnet {
                ipaddr = 192.168.20.0; // 
                mask = 255.255.255.0; // 
            }
        }
        phase2ss = "esp-all-all/ah-none/comp-all/pfs";              //  mit Kompression
        accesslist = "permit ip 192.168.100.0 255.255.255.0 192.168.20.0 255.255.255.0";    //  internes Netzwerk der Fritz!Box und der zweiten Securepoint Appliance mit jeweiligen Netzwerkmasken
    } // Ende Netz der 2. Appliance 
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                        "udp 0.0.0.0:4500 0.0.0.0:4500";
} //  
// EOF

Erklärung der Änderungen und Einstellungen

Folgende Parameter müssen für jede Verbindung entsprechend angepasst werden (hier am Beispiel der 1. Appliance):

Beschriftung	Wert	Beschreibung
name =	"Securepoint";	// Name der Verbindung in der Konfigurationsoberfläche Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberfläche der Fritz!Box angezeigt, wenn die Datei importiert wurde.
remoteip =	192.0.2.10;	// statische IP-Adresse der 1. Appliance Dies ist die statische IP-Adresse der Securepoint Appliance. Wurde bereits im Assistenten konfiguriert.
localid{    fqdn =	"fritz_lokal.spdyn.de";	// spdyn-DNS-Name der Fritz!Box Wurde bereits im Assistenten konfiguriert.
//ipaddr = }	xxx.xxx.xxx.xxx;	// statische IP-Adresse der Fritz!Box, wenn vorhanden Hier kann auch eine IP-Adresse eingeben werden, wenn die Fritz!Box über eine statische IP-Adresse verfügt. Diese Angaben werden auch vom Assistenten gesetzt.
remoteid {    ipaddr = }	192.0.2.10;	// statische IP-Adresse der 1. Appliance Erneute Eingabe der statischen IP-Adresse der Securepoint Appliance. Wurde bereits im Assistenten konfiguriert.
mode =	phase1_mode_idp;	// Main-Mode Der Transportmodus muss von „aggressive“ auf „main“ geändert werden, da nur dieser von der Securepoint Software unterstützt wird.
phase1ss =	"dh15/aes/sha";	// Proposals für Phase 1 (DH15, AES, SHA) Die Verschlüsselungsparameter für die IKE Phase 1 müssen angepasst werden. notempty Ältere Fritz!Box-Firmware-Versionen unterstützen ausschließlich AES 128 bits, SHA1 und DH2. Alternativ ist auch der Eintrag "all/all/all" möglich. Dann kann der Verbindungsaufbau etwas länger dauern.
key =	"gemeinsame Passphrase";	// VPN Kennwort (Preshared Key) Den Preshared Key eingeben. Der vom Assistenten generierte Preshared Key kann ebenfalls verwendet werden. Dieser muss dann auf der Securepoint Appliance hinterlegt werden.
phase2localid {    ipnet {      ipaddr =      mask =   } }	192.168.100.0; 255.255.255.0;	// internes Netz der Fritz!Box // Subnetzmaske Unter phase2localid muss das interne Netz der Fritz!Box angegeben sein, das mit dem entfernten Netz verbunden werden soll.
phase2remoteid {    ipnet {      ipaddr =      mask =   } }	192.168.175.0; 255.255.255.0;	// internes Netz der 1. Appliance Unter phase2remoteid muss das interne Netz der Securepoint Appliance verzeichnet sein.
phase2ss =	"esp-all-all/ah-none/comp-all/pfs"	// mit Kompression Die Verschlüsselungsparameter für die IKE Phase 2 müssen mit der von Phase 1 identisch sein. notempty Ältere Fritz!Box-Firmware-Versionen unterstützen ausschließlich AES 128 bits, SHA1 und DH2. Wird in Phase 1 "all/all/all" eingetragen, kann dann entsprechend "esp-all-all" eingetragen werden. Mit "ah-none" wird kein Authentication Header erwartet und mit "comp-all" wird Kompression unterstützt.
accesslist =	"permit ip 192.168.100.0 255.255.255.0 192.168.10.0 255.255.255.0";	// internes Netzwerk der Fritz!Box und der ersten Securepoint Appliance mit jeweiligen Netzwerkmasken

Die so modifizierte Konfigurationsdatei wird wieder als fritzbox_fritz_lokal.spdyn.de.cfg abgespeichert.

Weitere Netze hinzufügen

Sollen noch weitere Netzwerke der Securepoint Appliance hinzugefügt werden, so wird in der Konfigurationsdatei der Parameter accesslist entsprechend angepasst.

Beispiel 1

Beispiel 1

Die Netze 192.168.82.0/24 bis 192.168.92.0/24 sollen über VPN erreichbar sein.
So wird im Parameter accesslist lediglich die angegebene Netzwerkmaske angepasst:

accesslist = "permit ip any 192.168.82.0 255.255.240.0";

‍

Dadurch werden die Netze 192.168.80.0/24 bis 192.168.95.0/24 freigegeben.

Beispiel 2

Beispiel 2

Neben dem Netz 192.168.175.0/24 soll auch das Netz 192.168.82.0/24 über VPN erreichbar sein.
So wird im Parameter accesslist dieses weitere Netz hinzugefügt:

accesslist = "permit ip any 192.168.175.0 255.255.255.0", "permit ip any 192.168.82.0 255.255.255.0";

‍

Diese Einträge mit einem Komma trennen und mit einem Semikolon beenden.

Konfigurationsdatei hochladen

Hinzufügen einer VPN-Verbindung in der Fritz!Box

Im eingeloggten Fritz!Box-Interface wird über Internet ➊ → Freigaben ➋ → VPN (IPSec) ➌ auf die Schaltfläche VPN-Verbindung hinzufügen ➍ geklickt.

Auswahl der Art der VPN-Konfiguration in der Fritz!Box

In dem Fenster VPN-Verbindung wird von den vier Einrichtungsmöglichkeiten  Eine VPN-Konfiguration aus einer VPN-Einstellungsdatei importieren ➎ ausgewählt.
Weiter mit Weiter ➏.

Upload der Konfigurationsdatei in der Fritz!Box

Über die Schaltfläche Durchsuchen... ➐ wird die erstellte Konfigurationsdatei ausgewählt.
Falls die Datei verschlüsselt ist, wird diese Einstellung aktiviert. Unter Kennwort wird dann das Kennwort eingetragen.
Abschließend wird auf Übernehmen ➑ geklickt.
Unter System → Ergebnisse wird der Verbindungsaufbau protokolliert.

---

Securepoint Appliance einrichten

Anschließend müssen die Einstellungen an der Securepoint Appliance vorgenommen werden:

Die UTM muss über eine statische öffentliche IP-Adresse verfügen

• Eine Site-to-Site IPSec-Verbindung wird eingerichtet. notempty
  IKE-Version 1 und den gleichen Preshared Key wie in der Konfigurationsdatei der Fritz!Box verwenden
• Falls notwendig ein Netzwerkobjekt für das IPSec-VPN Netzwerk der Gegenstelle anlegen und entsprechende Firewall Regeln, wenn diese nicht vom Assistenten automatisch anlegen lassen
• Die Einstellungen der Phasen der IPSec-Verbindung anpassen. notempty
  Phase 2 PFS verwenden

Leider gibt es unterschiedliche Erfahrungen, welche Seite die Verbindung initiieren sollte. Daher können wir dazu keine Empfehlung geben.
Nähere Informationen zur Einrichtung der Securepoint Appliance sind im Wiki-Artikel IPSec Site-to-Site zu finden.

IPSec S2S-Verbindung herstellen

Schritt 1 - Verbindungstyp Schritt 1 - Verbindungstyp
In Schritt 1 wird der Site to Site - Verbindungstyp ausgewählt.			IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Einrichtungsschritt 1
Schritt 2 - Allgemein Schritt 2 - Allgemein
Beschriftung	Wert	Beschreibung	Einrichtungsschritt 2
Name:	IPSec Fritz!Box S2S	Ein passender Name für diese Verbindung
IKE Version:	IKE v1IKE v2	Bei der IKE Version IKE Version 1 auswählen Zum Zeitpunkt dieser Dokumentation unterstützt AVM lediglich IKEv1
Schritt 3 - Lokal Schritt 3 - Lokal
Local Gateway ID:	LAN1	Die IP-Adresse oder die Schnittstelle der Securepoint Appliance, welche die VPN-Verbindung zur Fritz!Box aufbauen soll.	Einrichtungsschritt 3
Authentifizierungsmethode	Pre-Shared Key	Pre-Shared Key auswählen
Pre-Shared Key:	**********	Den Pre-Shared Key aus der Konfigurationsdatei der Fritz!Box eintragen.
Netzwerke freigeben:	»192.168.175.0/24	Das intern erreichbare Netzwerk der Securepoint Appliance, wie in der Konfigurationsdatei angegeben.
Schritt 4 - Gegenstelle Schritt 4 - Gegenstelle
Remote Gateway:	fritz_lokal.spdyn.de	Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Fritz!Box	Einrichtungsschritt 4
Remote Gateway ID:	fritz_lokal.spdyn.de	ID, die auf der Fritz!Box als lokale ID konfiguriert wurde (frei wählbare Zeichenfolge).
Netzwerke freigeben:	»192.168.100.0/24	Das lokale Netzwerk der Fritz!Box auf das über das VPN zugegriffen werden soll, wie in der Konfigurationsdatei angegeben.

IKEv1 Phasen konfigurieren

Die Phase 1 und Phase 2 von IKEv1 sollten überprüft und gegebenenfalls angepasst werden.
notempty

Die Einstellungen müssen mit denen aus der oben erstellten Konfigurationsdatei identisch sein.

notempty

Wurde in der Konfigurationsdatei phase1ss = "all/all/all"; bzw. phase2ss = "esp-all-all/[...]"; eingetragen, so werden in der Securepoint Appliance bei IKEv1 Phase 1 bzw. bei Phase 2 die Default-Werte eingestellt.

‍

Siehe dazu den Wiki-Artikel IPSec Site-to-Site.

Diese Default-Werte werden von der Fritz!Box nicht unterstützt.

Der Hersteller AVM informiert welche Verschlüsselungsverfahren und Algorithmen von der Fritz!Box unterstützt werden.

notempty

Dieser Vorgang muss für jede Securepoint Appliance durchgegangen werden.

IKEv1 Phase 1 konfigurieren
Unter VPN IPSec  Bereich Verbindungen wird bei der erstellten IPSec S2S-Verbindung auf Phase 1 geklickt und im Dialog Phase 1 bearbeiten auf den Reiter IKE gewechselt.
Beschriftung	Wert	Beschreibung	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Konfiguration von Phase 1 bei IKEv1
Verschlüsselung:	aes256	Als Verschlüsselung aes256 einstellen. Es kann auch eine andere gewählt werden.notempty Sollte die Fritz!Box die eingestellten Verschlüsselungen nicht unterstützen, aes128 auswählen.
Authentifizierung:	sha2_512	Als Authentifizierung sha2_512 einstellen. Es kann auch eine andere gewählt werden. notempty Sollte die Fritz!Box die eingestellten Authentifizierung nicht unterstützen, sha1 auswählen.
Diffie-Hellman Group:	modp3072	Als Diffie-Hellman Group modp3072 (DH15) einstellen. notempty Sollte die Fritz!Box die eingestellten Diffie-Hellman Group nicht unterstützen, modp1024 (DH2) auswählen.
Schwache Algorithmen anzeigen:	Aus	Wird aktiviert Ein, wenn schwächere Algorithmen benötigt werden, wie für Authentifizierung: sha1 und Diffie-Hellman Group: modp1024.
Strict:	Aus	Bei Aktivierung werden ausschließlich die konfigurierten Parameter und keine weiteren Proposals verwendet.
IKE Lifetime:	1 Stunde Default	Die IKE Lifetime kann angepasst werden.
Rekeying:	unbegrenzt (empfohlen) Default	Die Anzahl des Rekeying kann angepasst werden.
Mit der Schaltfläche Speichern werden die getätigten Änderungen übernommen.
IKEv1 Phase 2 konfigurieren
Unter VPN IPSec  Bereich Verbindungen wird bei der erstellten IPSec S2S-Verbindung auf Phase 2 geklickt. notempty Die eingestellten Parameter müssen identisch mit der von Phase 1 sein.
Beschriftung	Wert	Beschreibung	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Konfiguration von Phase 2 bei IKEv1
Verschlüsselung:	aes256	Als Verschlüsselung aes256 einstellen. Es kann auch eine andere gewählt werden.notempty Sollte die Fritz!Box die eingestellten Verschlüsselungen nicht unterstützen, aes128 auswählen.
Authentifizierung:	sha2_512	Als Authentifizierung sha2_512 einstellen. Es kann auch eine andere gewählt werden. notempty Sollte die Fritz!Box die eingestellten Authentifizierung nicht unterstützen, sha1 auswählen.
Diffie-Hellman Group:	modp3072	Als Diffie-Hellman Group modp3072 (DH15) einstellen. notempty Sollte die Fritz!Box die eingestellten Diffie-Hellman Group nicht unterstützen, modp1024 (DH2) auswählen.
Schwache Algorithmen anzeigen:	Aus	Wird aktiviert Ein, wenn schwächere Algorithmen benötigt werden, wie für Authentifizierung: sha1 und Diffie-Hellman Group: modp1024.
Schlüssel-Lebensdauer:	8 Stunden Default	Die Schlüssel-Lebensdauer kann angepasst werden.
Neustart nach Abbruch:	Aus	Bei Aktivierung wird die Verbindung wiederhergestellt bei einem unerwartetem Abbruch.
DHCP:	Aus	Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz. Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
Mit der Schaltfläche Speichern werden die getätigten Änderungen übernommen.

Firewall-Regel

Die Paketfilterregeln der Firewall müssen noch angepasst werden, falls diese nicht durch den Assistenten automatisch erzeugt werden.
Implizite Regeln
Über Firewall Implizite Regeln  Bereich Regeln müssen folgende Regeln aktiv sein
Aktiv	Regel		Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Aktivierung der benötigten VPN-Regeln
Ein	IPSec IKE
Ein	IPSec ESP
Ein	IPSec NAT Traversal
Bei Aktivierung der Impliziten Regel-Gruppe VPN werden alle dazugehörigen Regeln aktiviert. notempty Grundsätzlich gilt: Ausschließlich das freigeben, was benötigt wird für denjenigen, der dies braucht.
Paketfilter-Regel
Bevor eine entsprechende Paketfilter-Regel erstellt werden kann, muss ein Netzwerkobjekt für das Fritz!Box-Netzwerk erstellt werden. Unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen wird dieses Netzwerkobjekt erstellt
Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewall Erstellung des Fritz!Box-Netzwerkobjekts
Name:	IPSec-Fritz!Box	Frei wählbarer Name für dieses Netzwerkobjekt
Typ:	VPN-Netzwerk	VPN-Netzwerk auswählen
Adresse:	192.168.100.0/24	Das interne Netzwerk der Fritz!Box
Zone:	vpn-ipsec	vpn-ipsec auswählen
Gruppen:		Das Netzwerkobjekt kann einer oder mehreren Gruppen zugewiesen werden
Unter Firewall Paketfilter  Schaltfläche Regel hinzufügen werden zwei Paketfilter-Regeln erstellt. Eine Regel von der Securepoint Appliance  internal-network zum internen Netz der Fritz!Box  IPSec-Fritz!Box mit dem Dienst  ms-rdp Dabei wird der NAT-Typ Hidenat-Exclude mit dem Netzwerkobjekt  external-interface ausgewählt Eine zweite Regel vom internen Netz der Fritz!Box  IPSec-Fritz!Box zur Securepoint Appliance  internal-network mit dem Dienst  ms-rdp

		#				NAT		Aktiv
			internal-network	IPSec-Fritz!Box	ms-rdp	HNE	ACCEPT	Ein
			IPSec-Fritz!Box	internal-network	ms-rdp		ACCEPT	Ein

---

IPSec-Verbindung initiieren

IPSec UTMbenutzer@firewall.name.fqdnVPN IPSec Log Speichern und neustarten Nur für interne Prüfzwecke

Abb.1

Nachdem die Securepoint Appliances und die Fritz!Box konfiguriert worden sind, wird die IPSec-Verbindung aufgebaut.
Die Verbindung von der Securepoint Appliance aus herstellen:

• Auf VPN IPSec  Bereich Verbindungen wechseln
• Bei der eben erstellten Verbindung auf die Schaltfläche Laden ➊ klicken, um die Verbindungsdaten zu laden
• Zum Starten der Verbindung auf die Schaltfläche Initiieren ➋ klicken

Die Verbindung zur Fritz!Box wird aufgebaut.

Abb.2

• Um den Status der Verbindung auf der Fritz!Box einzusehen, im Interface der Fritz!Box auf Internet ➌ → Freigaben ➍ gehen
• Auf den Dialog VPN (IPSec) ➎ wechseln
• Im unteren Bereich VPN-Verbindungen ist die erstellte Verbindung zu sehen
• In der Spalte Status wird bei einer aufgebauten Verbindung ein grüner Kreis ➏ angezeigt

notempty

Es kann dennoch vorkommen, dass keine IPSec-Verbindung aufgebaut wird, weder von Seiten der Securepoint Appliance noch von der Fritz!Box, trotz richtiger Konfiguration der Securepoint Appliance, der Fritz!Box und der Konfigurationsdatei.
Dann kann unter Umständen ein Downgrade der Fritz!Box-Firmware-Version, Konfiguration der Fritz!Box ohne 2-Faktor-Authentifizierung und erneutes Update der Fritz!Box-Firmware helfen.
Dennoch sollte zuerst die getätigten Einstellungen, speziell bei IKEv1, überprüft werden.