XG115 hinter Fritzbox 7590 - Kein Site to Site zum Branch Office

[Myron]

Ich sehe hier nicht ob/das was raus geht und dort nicht ob/das was rein kommt.

Dann solltet ihr mal wie von @Raijin erwähnt kontrollieren, ob die Pakete am WAN der Fritzbox rausgehen bzw. ob bei der Hauptstelle was ankommt.
Das Modem etc. tauschen kann man später sonst auch noch machen.

 

[corvus]

192.168.0.1 hat die Fritzbox, 192.168.0.2 dann eben das Lan interface der Sophos ? Dann sag doch mal wie es richtig geht....

Ergänzung (7. Juli 2020)

Die FB habe ich hier nur weil sie von der Telekom vorgeschrieben war, vorher gabs keine Sophos.

Die Telekom schreibt im Falle von normalem VDSL keine Modems vor, was ist das denn für ein Anschluss?
Die XG115 (Rev3) hat einen SFP-Slot, in den ein optionales VDSL-Modem von Sophos gekauft werden kann. Wäre imho die beste Lösung.
https://utm-shop.de/information/tec...p-modem-fuer-alle-sophos-sg-und-xg-appliances

 

[t-6]

Das Modem etc. tauschen kann man später sonst auch noch machen.

Ich denke dass es jetzt schon getauscht werden sollte, bevor man sich den Wolf sucht. Wie gesagt, IPSec mag NATting überhaupt nicht.

 

[Raijin]

Zumindest sollte man erstmal gucken ob überhaupt eine Verbindungsanfrage von der Außenstelle ankommt. Es ist doch sinnfrei, wenn man jetzt ein Modem tauscht und am Ende das Problem gar nicht gelöst wird?!? Wenn sichergestellt ist, dass bis zum WAN der Hauptstelle alles ok ist, kann man sich immer noch überlegen ob man das Modem tauscht oder nicht.

Das Topic des Threads lautet nicht "Modem kaputt, brauche ein neues", sondern "XG115 hinter Fritzbox 7590 - Kein Site to Site zum Branch Office" und da ist das Modem nur eine von vielen möglichen Ursachen. Einmal kurz testen ob die Verbindung überhaupt sauber bei der Hauptstelle ankommt dauert vielleicht 10 Minuten. Wenn's danach ein neues Modem sein soll, kein Thema, aber doch nicht auf blauen Dunst und am Ende bleibt das Problem bestehen, weil die Ursache unter Umständen ganz woanders liegt....

 

[Myron]

@t-6 du gibst also lieber erst Geld für ein neues Modem aus, bevor du mit einem einfachen tcpdump nachschaust, ob überhaupt bei der Hauptstelle Pakete ankommen?

Wir sprechen hier ja nicht über den Server, sondern über den Client um den es beim Verbindungsaufbau geht. Da spielt NAT auf der Clientseite doch keine Rolle.

 

[Merle]

IPsec NAT Traversal stellt bei uns kein Problem dar. (Dafür ist ja 4500.) Und natürlich sollte der exposed Host Eintrag ersetzt werden durch spezifische Freigaben. Ich würde nicht einfach was neues kaufen, auch wenn man damit einige Probleme ausklammert.

 

[t-6]

@t-6 du gibst also lieber erst Geld für ein neues Modem aus, bevor du mit einem einfachen tcpdump nachschaust, ob überhaupt bei der Hauptstelle Pakete ankommen?

Erfahrungsgemäß würde ich unabhängig davon mindestens bei der Hauptstelle auf eine echte Bridge setzen, ja. Das ist eine Unbekannte weniger. Gebranntes Kind.

Ob der TE überhaupt in die richtigen Logs schaut ist noch mal eine andere Sache ^^

 

[Raijin]

Mittelfristig bin ich da voll bei dir, aber kurzfristig erstmal gucken wo denn überhaupt das Problem liegt

 

[corvus]

IPsec NAT Traversal stellt bei uns kein Problem dar. (Dafür ist ja 4500.)

Naja das variert schon. Mit Fritzboxen gibt das imho öfter Probleme, als wenn zb ne Lancom davor ist, die ein Portforwarding für IPsec macht. Aber ja, erstmal sollte er die Logs prüfen.

Für IPsec die folgenden:

IPsec	(v15+) IPsec VPN Service	ipsec.log	ipsec
IPsec	(v17+) IPsec VPN Service	strongswan.log	ipsec
IPsec	(v17+) IPsec VPN Service	charon.log	ipsec