Wechseln zu:Navigation, Suche
Wiki
K (Lauritzl verschob die Seite Spielwiese/UTM/IPSec - Fritzbox V11 nach UTM/IPSec - Fritzbox V11, ohne dabei eine Weiterleitung anzulegen)
(Die Konfigurationsdatei anpassen)
 
Zeile 142: Zeile 142:
 
         conn_type = conntype_lan;
 
         conn_type = conntype_lan;
 
         name = "Securepoint";              <font color=green>// {{Hinweis|!|r}} Name der Verbindung in der Konfigurationsoberfläche</font>
 
         name = "Securepoint";              <font color=green>// {{Hinweis|!|r}} Name der Verbindung in der Konfigurationsoberfläche</font>
         always_renew = no;
+
         always_renew = yes;
 
         reject_not_encrypted = no;
 
         reject_not_encrypted = no;
 
         dont_filter_netbios = yes;
 
         dont_filter_netbios = yes;
Zeile 240: Zeile 240:
 
|}
 
|}
 
----
 
----
 +
 
==== Konfigurationsdatei importieren ====
 
==== Konfigurationsdatei importieren ====
 
{{Gallery3 | fritz_config_save.png|VPN Konfiguration speichern  
 
{{Gallery3 | fritz_config_save.png|VPN Konfiguration speichern  

Aktuelle Version vom 25. März 2020, 11:14 Uhr

Erstellen einer IPSec-Verbindung mit einer Fritzbox

Letzte Änderungen: 11.2019

Neu

  • Layoutanpassung
  • Änderungen in der Config der Fritzbox
Vorbemerkung

Dieses Howto zeigt einen Weg um eine Verbindung zwischen einer Securepoint UTM und einem Fremdprodukt herzustellen. Aufgrund der Vielzahl der Geräte und Firmwareversionen können wir aber keine Garantie für einen erfolgreichen Verbindungsaufbau übernehmen.

Eine IPSec Site-to-Site Verbindung zu einer AVM Fritz!Box ist nur möglich, wenn die Securepoint Appliance über eine feste IP-Adresse verfügt. Besitzen beide Seiten nur eine dynamische IP-Adresse in Verbindung mit einem DNS Dienst für dynamische Adressverwaltung, ist eine Verbindung nicht möglich.


Voraussetzungen

Es wird eine AVM Fritz!Box benötigt die VPN Anbindungen unterstützt.

Die Gegenstelle, die mit einer Securepoint Appliance ausgerüstet ist, muss über eine statische IP-Adresse verfügen.
Wenn zwei dynamische IP-Adressen verbunden werden sollen, wählt die AVM VPN Funktion als Transportmodus den „Aggressive Mode“. Dieser wird von den Securepoint Appliances nicht unterstützt.
Im „Aggressive Mode“ wird die Authentisierung der beiden Gegenstellen nicht verschlüsselt vorgenommen. Die Hashwerte des Preshared Key werden unverschlüsselt übertragen. Somit ist die Sicherheit von der Stärke des Preshared Key und vom verwendeten Hashverfahren abhängig. Da die meisten gemeinsamen Schlüssel aber nur die Mindestanforderungen erfüllen, wird dieser Modus nicht unterstützt.


Einrichtung der Fritzbox

Ist das verwendete AVM Produkt noch nicht für den VPN Betrieb ausgelegt, kann auf der Homepage des Herstellers überprüft werden, ob eine neue Firmware diese Funktionalität zu Verfügung stellt.

Einspielen einer neuen Firmware Version

Auf Expertenansicht wechseln

Vor dem herunterladen der neue Firmware Version von der Internetseite von AVM, ist darauf zu achten, dass nur Firmware benutzt werden kann, die für das vorhandene Produkt zugelassen ist.

  • Die Konfigurationsoberfläche der Fritz!Box wird im Browser aufgerufen.
Einstellung ab Werk: 192.168.178.1
  • Die für die Konfiguration notwendige Expertenansicht ist unter den Menüpunkten EinstellungenSystemAnsicht zu erreichen.
  • Im Dialog wird die Checkbox Expertenansicht aktivieren aktiviert die Auswahl mit Übernehmen bestätigt.


  • Nun muss der Menüeintrag Firmware-Update angeklickt werden.
  • Ein Klick auf Durchsuchen öffnet den Explorer und es kann die eben heruntergeladene aktuelle Firmware Version ausgewählt werden.
  • Das Aufspielen der aktuellen Firmware startet mit dem Button Update.
  • Das nächste Fenster informiert über den Vorgang der Aktualisierung.
  • Der Button Zur Übersicht ist zu betätigen, wenn der Update-Vorgang abgeschlossen ist.
Fritz firmware start.png
Firmware Aktualisierung starten
Fritz firmware info.png
Information zur Firmware Aktualisierung











DynDNS aktivieren

Aktivieren der DynDNS Funktion

Um einen DynDNS in der VPN Konfiguration nutzen zu können, muss diese Funktion vorher eingerichtet werden. Dies setzt natürlich voraus, dass ein Account bei einem DynDNS Dienst Anbieter vorhanden ist (z.B. SPDyn).

  • In der Konfigurationsoberfläche → Einstellungen → im linken Menü → Erweiterte EinstellungenInternetFreigaben → Dialog: Freigaben.
  • Wechseln zur Registerkarte Dynamic DNS.
  • Aktivieren der Checkbox Dynamic DNS benutzen.
  • Anbieter aus dem Dropdownfeld auswählen.
  • Domainname: der Name, der beim Anbieter für die Domain hinterlegt ist
  • Anmeldedaten zum DynDNS Anbieter in den Feldern Benutzername, Kennwort und Kennwortbestätigung eingeben.
  • Klick auf Übernehmen.



Internes Netzwerk ändern

Aufrufen des Dialogs IP-Adressen

Da das ab Werk eingestellte interne Netz 192.168.178.0, nach Vorgabe des Fritz!Box VPN Assistenten, nicht für VPN genutzt werden darf, muss das interne Netz gewechselt werden.

  • In der Konfigurationsoberfläche unter Einstellungen → im linken Menü Erweiterte EinstellungenSystemNetzwerkeinstellungen → Dialog Netzwerkeinstellungen.
  • Schaltfläche IP-Adressen
Es öffnet sich die Anzeige IP-Adressen'.


Interns Netz ändern
  • IP-Adresse die neue IP-Adresse des internen Netzes an.
Es können alle privaten Adressbereiche verwendet werden (10.xxx.xxx.1, 192.168.xxx.1 oder 172.16.xxx.1 bis 172.31.xxx.1).
  • Eingabe der Subnetzmaske, wenn diese nicht automatisch gesetzt wird.
  • Wenn alle verbundene Computer im Netz automatisch eine IP-Adresse und andere Netzinformationen von der Fritz!Box zugewiesen bekommen sollen, muss die Checkbox DHCP-Server aktivieren aktiviert werden.
  • Eingabe IP-Adressen von/bis für die IP-Adressen des internen Netzes, die die Fritz!Box zur Zuweisung verwenden soll
  • Übernehmen
  • Danach ist eine erneute Anmeldung mit der neuen IP-Adresse an der Fritz!Box erforderlich.



VPN Konfiguration erstellen

Die Konfiguration der VPN Verbindung wird nicht über die Konfigurationsoberfläche im Browser vorgenommen, sondern wird als Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, die Sie auf der Internetseite des Herstellers AVM herunterladen können. Die Anwendungssoftware trägt den Namen Fritz!Fernzugang einrichten.

Assistenten starten
  • Laden Sie sich die Software Fritz!Fernzugang einrichten herunter und installieren Sie diese auf Ihrem Rechner.
  • Starten Sie das Programm.
  • Klicken Sie auf das Icon Neu in der Symbolleiste, um eine neue Konfigurationsdatei anzulegen. Es werden immer zwei Dateien angelegt, eine für die lokale Fritz!Box und eine für die Gegenstelle.







Ein Assistent führt Sie durch die Erstellung der Konfigurationsdatei.

Fritz ffz ass1.png
Art der Verbindung auswählen
  • Wählen Sie im ersten Schritt, welche Geräte miteinander verbunden werden sollen.
Sie möchten zwei Geräte miteinander verbinden. Markieren Sie den zweiten Radiobutton Verbindung zwischen zwei FRITZ!Box-Netzwerken errichten.
Fritz ffz ass2.png
SPDYN Domain (oder eines anderen dynamischen DNS-Dienstes) eingeben
  • Zunächst werden die Daten der lokalen Fritz!Box abgefragt.
  • Geben Sie die eingerichtete SPDyn URL des lokalen Routers an.
In diesem Beispiel: fritz_lokal.spdyn.de
  • Klicken Sie auf Weiter.
Fritz ffz ass3.png
Internes Netz eingeben
  • Geben Sie dann das interne Netz der lokalen Fritz!Box und die zugehörige Subnetzmaske ein.
  • Klicken Sie Weiter.
Fritz ffz ass4.png
Statische IP-Adresse der Securepoint Appliance
  • Danach werden die Daten der Gegenstelle abgefragt.
  • Geben Sie die feste IP-Adresse der Securepoint Appliance an.
In diesem Beispiel: 192.0.2.192
  • Klicken Sie auf Weiter.
Fritz ffz ass5.png
Internes Netz der Securepoint Appliance
  • Geben Sie dann das interne Netz der Securepoint Appliance und die zugehörige Subnetzmaske ein.
  • Klicken Sie Weiter.
Fritz ffz ass6.png
Verzeichnis der Dateien anzeigen
  • Die Dateneingabe ist damit beendet.
  • Im nächsten Schritt entscheiden Sie, ob die Konfigurationsdateien angezeigt oder exportiert werden sollen.
Wählen Sie hier den ersten Punkt.
  • Klicken Sie auf Fertig stellen.









Konfigurationsdatei für die lokale Fritz!Box

Der Speicherort der Dateien wird angezeigt.
Es wurden von dem Assistenten zwei Dateien erstellt, die in der lokalen und der entfernten Fritz!Box importiert werden sollen. Da in diesem Fall aber die Verbindung zu einer Securepoint Appliance hergestellt werden soll, wird nur die Datei für die lokale Fritz!Box benötigt. Diese hat im Dateinamen die spdyn URL.

  • Diese Konfigurationsdatei muss noch angepasst werden, damit eine Verbindung zur Securepoint Appliance aufgebaut werden kann.
  • Öffnen Sie dazu die Datei in einem Editor (z. B. MS Editor).



Die Konfigurationsdatei anpassen

Im nächsten Abschnitt sehen Sie die angepasste Konfigurationsdatei.
Grün markierte Einträge sind individuelle Konfigurationen.
Notwendige manuelle Änderungen sind zusätzlich mit gekennzeichnet.
Die Datei muss zum Abschluss gespeichert werden!

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Securepoint";               // 									 Name der Verbindung in der Konfigurationsoberfläche
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 192.0.2.192;               // statische IP-Adresse der Securepoint
        remote_virtualip = 0.0.0.0;
        localid {
            fqdn = "fritz_lokal.spdyn.de";    // spdyn-DNS-Name der Fritz!Box
            //ipaddr = xxx.xxx.xxx.xxx;       // statische IP-Adresse der Fritz!Box, wenn vorhanden
        }
        remoteid {
            ipaddr = 192.0.2.192;             // statische IP-Adresse der Securepoint Appliance
        } 
        mode = phase1_mode_idp;               //									 Main-Mode
        phase1ss = "dh14/aes/sha";            //									 Proposals für Phase 1 (DH14, AES, SHA)
        keytype = connkeytype_pre_shared;
        key = "geheim";                       //									 VPN Kennwort (Preshared Key)
        cert_do_server_auth = no;
        use_nat_t = no; yes
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = 192.168.100.0;       // internes Netzwerk der Fritz!Box
                mask = 255.255.255.0;
            }
        }
        phase2remoteid {
            ipnet {
                ipaddr = 192.168.175.0;       //									 internes Netzwerk der Securepoint
                mask = 255.255.255.0;
            }
        }
        phase2ss = "esp-all-all/ah-none/comp-all/pfs";               //									 mit Kompression
        accesslist = "permit ip any 192.168.175.0 255.255.255.0";    //									 internes Netzwerk der Securepoint
    } 
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500";
                        "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF


Parameter geänderter Wert Beschreibung
name = "Securepoint"; // Name der Verbindung in der Konfigurationsoberfläche

Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberfläche der Fritz!Box angezeigt, wenn die Datei importiert wurde.

remoteip = 192.0.2.192; //statische IP-Adresse der Securepoint

Dies ist die statische IP-Adresse der Securepoint Appliance.
Wurde bereits im Assistenten konfiguriert.

localid{
   fqdn =

"fritz_lokal.spdyn.de";

// spdyn-Name der Fritz!Box
Wurde bereits im Assistenten konfiguriert.
  //ipaddr =
}
xxx.xxx.xxx.xxx; //statische IP-Adresse der Fritz!Box, wenn vorhanden

Sie können hier auch eine IP-Adresse eingeben, wenn die Fritz!Box über eine statische IP-Adresse verfügt. Diese Angaben werden auch vom Assistenten gesetzt.

remoteid {
   ipaddr =
}

192.0.2.192;

//statische IP-Adresse der Securepoint

Wiederholung der statischen IP-Adresse der Securepoint Appliance.
Wurde bereits im Assistenten konfiguriert.

mode = phase1_mode_idp; // Main-Mode

Der Transportmodus muss von „aggressive“ auf „main“ geändert werden, da nur dieser von der Securepoint Software unterstützt wird.

phase1ss = "dh14/aes/sha"; // Proposals für Phase 1 (DH14, AES, SHA)

Die Verschlüsselungsparameter für die IKE Phase 1 müssen angepasst werden.

key = "geheim"; // VPN Kennwort (Preshared Key)

Geben Sie hier den Preshared Key ein. Sie können auch den vom Assistenten generierten beibehalten, dieser muss dann auch auf der Securepoint hinterlegt werden.

phase2localid {

   ipnet {
     ipaddr =
     mask =
  }
}



192.168.100.0;
255.255.255.0;


// internes Netzwerk der Fritz!Box

//Subnetzmaske
Unter phase2localid muss das interne Netz der Fritz!Box angegeben sein, das mit dem entfernten Netz verbunden werden soll.

phase2remoteid {

   ipnet {
     ipaddr =
     mask =
  }
}



192.168.175.0;
255.255.255.0;


// internes Netzwerk der Securepoint Appliance

Unter phase2remoteid muss das interne Netz der Securepoint Appliance verzeichnet sein.

phase2ss = "esp-all-all/ah-none/comp-all/pfs" // mit Kompression

Da die Securepoint keinen Authentication Header erwartet aber seit Version 11 die Kompression unterstützt, ändern Sie die Einstellungen der Phase 2 auf ah-none und comp-all.

accesslist = "permit ip any 192.168.175.0 255.255.255.0"; // internes Netzwerk der Securepoint Appliance

Konfigurationsdatei importieren

Fritz config save.png
VPN Konfiguration speichern
  • Gehen Sie In der Konfigurationsoberfläche auf Einstellungen und navigieren Sie im linken Menü über die Einträge Erweiterte EinstellungenInternetFreigaben zum Dialog Freigaben.
  • Wechseln Sie hier zur Registerkarte VPN.
  • Benutzen Sie den Button Durchsuchen, um die Konfigurationsdatei in Ihrem System auszuwählen.
Diese wird in Windows unter dem Pfad
C:/Dokumente und Einstellungen/Benutzer/Anwendungsdaten/AVM/Fritz!Fernzugang/Hostname oder IP/*.cfg gespeichert.
  • Klicken Sie dann auf den Button VPN-Einstellungen importieren.
Fritz config set.png
VPN Verbindung ist eingerichtet
  • Wenn Sie nach dem Import auf die Registerkarte gehen, wird die Verbindung im Abschnitt VPN-Verbindungen aufgeführt.













Securepoint Appliance einrichten

Nun müssen Sie die Einstellungen an der Securepoint wie gewohnt vornehmen.

  • Legen Sie ein IPSec VPN Verbindung mit Hilfe des IPSec-Assistenten an. Achten Sie darauf, die IKE-Version 1 zu benutzen und den gleichen Preshared Key einzusetzen.
  • Erstellen Sie ggf. ein Netzwerkobjekt für die IPSec-VPN Netzwerk der Gegenstelle und Firewall Regeln, wenn Sie diese nicht vom Assistenten automatisch anlegen lassen.
  • Passen Sie die Einstellungen der Phasen der IPSec-Verbindung an. Achten Sie darauf in Phase 2 PFS zu verwenden.

Leider gibt es unterschiedliche Erfahrungen, welche Seite die Verbindung initiieren sollte. Daher können wir dazu keine Empfehlung geben.

Nähere Informationen zur Einrichtung der Securepoint Appliance entnehmen Sie bitte dem Howto IPSec_Site_to_Site_v11.

Verbindung herstellen

Stellen Sie die Verbindung von der Securepoint Appliance aus her.

  • Gehen Sie in der Navigationsleiste auf den Punkt VPN und klicken Sie im Dropdownmenu auf den Eintrag IPSec Verbindungen.
Der Dialog IPSec Verbindungen erscheint.
  • Klicken Sie in der Zeile der eben erstellten Verbindung auf den Button Lade, um die Verbindungsdaten zu laden.
  • Zum Starten der Verbindung klicken Sie auf den Button Initiiere.
Die Verbindung zur Fritz!Box wird aufgebaut.


Verbindungsstatus einsehen
  • Um den Status der Verbindung auf der Fritz!Box einzusehen, gehen Sie in der Konfigurationsoberfläche in der Navigationsleiste auf Erweiterte EinstellungenInternetFreigaben.
  • Wechseln Sie im Dialog Freigaben auf die Registerkarte VPN.
  • Im unteren Bereich VPN-Verbindungen ist die erstellte Verbindung zu sehen.
  • I n der Spalte Status wird bei einer aufgebauten Verbindung ein grüner Kreis angezeigt.