Site-to-Stie VPN Verbindung hinter FritzBox

[ewert_thomas]

Guten Abend,

zur Zeit versuche ich testweise eine Site-to-Site VPN-Verbindung mit einer USG20 von Zyxel und einer RV320 von Cisco herzustellen. Ich kann zwar feststellen, dass auf beiden Seiten versucht wird eine Verbindung aufzubauen, diese jedoch nicht zustande kommt.
Die Zyxel und Cisco Boxen hängen auf beiden Seiten hinter einer FritzBox. Auf jeder FritzBox ist die Firewall als Exposed Host eingerichtet.
Könnte es trotzdem daran liegen, dass die Firewall nicht auf beiden Seiten hinter einer FritzBox hängen darf?

 

[Madman1209]

Hi,

ja, ich kenne es z.B. bei Unifi so, dass die Site-to-Site Komponenten eine öffentliche IP brauchen - bekommst du aber bei der Fritze auch als exposed host nicht.

Modem holen.

VG,
Mad

 

[error]

Moin,
wer ist denn der Hub und wer der Spoke?
Und ohne öffentliche Ip des Hubs wirst du nicht weit kommen. Dem Spoke ist es egal ob er hinter einer Fritzbox oder einem Router sitzt.

gruß

 

[till69]

IPsec Passthrough sollte eigentlich möglich sein:

Exposed Host aus
VPN der Fritzbox deaktivieren (also keine Einträge)
UDP Ports 500/4500 UND Protocol ESP weiterleiten

 

[Datax]

Vermute jetzt einfach mal, dass du von einer IPsec-Site2Site-Verbindung sprichst.

Das ist auf jeden Fall machbar, solange beide Seiten NAT-Traversal unterstützen und auch aktiviert haben
und auf den beiden FritzBoxen jeweils die UDP-Ports 500 + 4500 per DNAT-Regel an die entsprechende Firewall durchgereicht werden.

Das ESP-Protokoll muss hier nicht durchgereicht werden, da es durch die NAT-Traversal-Funktion über Port 4500 in UDP-Pakete gekapselt übertragen wird. Das ESP-Protokoll ist erst nach dem "Auspacken" des UDP-4500-Traffics durch die betreffende Firewall "sichtbar", die diesen Traffic empfängt (also erst hinter der FritzBox).

Der Verbindungsaufbau kann weiterhin noch an der Überprüfung der Identität der Gegenstelle (VPN ID) scheitern. Falls du z.B. als "VPN ID Type" die IP-Adresse der Gegenstelle zur Überprüfung heranziehst, so musst du jeweils die (private) IP-Adresse der Netzwerkschnittstelle angeben, über die die jeweilige Gegenstelle den VPN-Tunnel aufbaut.

Unter Beachtung obiger Punkte bekommst du Site2Site-Tunnel hergestellt, wenn auf einer oder sogar auf beiden Seiten genattet wird. Hat bei mir bisher immer wunderbar funktioniert (Sophos UTM, MikroTik).

 

[DerGast]

Welche Meldung gibt es denn auf den Seiten?
Es kann von einer fehlenden Antwort auf "Ping" bis hin zu inkompatiblen Einstellungen in entsprechenden Phasen recht viel sein...