Categories
Networking

Sophos/Astaro LAN-LAN VPN mit FritzBox

Einrichtung einer LAN-LAN Kopplung zwischen Sophos UTM 9.1 mit dynamischer IP (Dyndns) und FritzBox Office mit dynamischer IP (Dyndns).

Konfiguration Sophos

VPN IPsec Policy anlegen:

vpn_policy

Remote Gateway anlegen:

vpn_remotegw

Connection anlegen:

vpn_connection

Konfiguration Fritz!Box

Textdatei mit der Konfiguration wie unten erstellen und auf die Fritzbox Hochladen.

192.168.24.0/24 ist das LAN der Fritzbox, 192.168.23.0/24 ist das LAN der Sophos UTM. Nicht vergessen auch “key” (Preshared-Key) und “accesslist” ganz unten anzupassen ;-)

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Sophos UTM";
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;                
        remote_virtualip = 0.0.0.0;
        remotehostname = "sophosoffice.homeip.net"; 
        localid {
            fqdn = fritzoffice.homeip.net;
        }
        remoteid {
            fqdn = sophosoffice.homeip.net;
        }
        mode = phase1_mode_idp;
        phase1ss = "alt/all-no-aes/all";
        keytype = connkeytype_pre_shared;
        key = "Hgewn834274thafFeg432";  
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = 192.168.24.0;
                mask = 255.255.255.0;
            }
        }
        phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
        accesslist = "permit ip any 192.168.23.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
}

29 replies on “Sophos/Astaro LAN-LAN VPN mit FritzBox”

Hi,
danke für die Super klare und schöne Anleitung. Ich habe das Script ein wenig modifiziert das es auch mit einer festen IP auf Astaro Seite.

Leider wird der Tunnel aber abgebaut und bleibt nicht dauerhaft bestehen. Gibt es eine Möglichkiet einen Keep Alive auf der Fritz.box einzustellen, das diese den Tunnel dauerhaft aufgebaut lässt?

Gruß Carsten

Bei mir bleibt der Tunner zuverlässig aufgebaut und baut sich auch nach dem DSL Reconnect wieder zuverlässig und selbstständig auf…

Danke für die Super Anleitung.
NAT-T in der Sophos deaktivieren hilft bei Verbindungsproblemen.

@Carsten Bentzien: add this line to your FB config, with any IP in the local network at the UTM side :
keepalive_ip = 192.168.1.1;
I had same problem as you, most likely because my scenario is same as yours (no active connections are initiated from the network behind the remote Fritzbox)

@Alex:
Otto’s solution worked well for me until I updated to UTM 9.3. With 9.3 I experienced many temporary disconnects and in the FB7490 log there were IKE errors 0x001C, 0x2027, 0x203D.
Then I found this thread: https://www.astaro.org/local-language-forums/german-forum/53416-ipsec-und-fritzbox-timeouts.html where user “selmoc” proposes to change encryption algo from 3des to aes256 encryption. I added and applied a FB aes256 policy to my UTM and changed these two lines in my FB7490 vpn config:
old: phase1ss = “alt/all-no-aes/all”;
new: phase1ss = “all/all/all”;

old: phase2ss = “esp-3des-sha/ah-no/comp-no/pfs”;
new: phase2ss = “esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs”;

Now it works stable again with UTM v9.3

[…] #1 (permalink)   Today, 09:15 AM VPM Site to Site UTM Fritzbox 7490 Hallo zusammen, die VPN habe ich eingerichtet. Jedoch bricht die Verbindung immer zusammen und verbindet sich dann nicht neu. Ich muss auch erst wenn die Verbindung aktiv ist von der UTM auf die Fritbox und umgekehrt pingen, damit da was durchkommt. Habe ich etwas falsch gemacht? Die Fritzbox Config habe ich von hier: Sophos/Astaro LAN-LAN VPN mit FritzBox | /var/bergercity/ […]

EDIT to my previous post. Actually the problems I had for a short period were caused by my DDNS provider. The TTL for my hostname is very short and my DDNS provider was randomly, up to 5 times per hour returning a faulty IP because the nameservers were out of sync. So the encryption policy change is not necessary. The instructions in otto’s blog are still up-to-date :)

Danke die Verbindung steht aber ich bekomme keinen Traffic ping rpd oder sonstiges durch die verbindung. was mache ich falsch

Moin, Vielen Dank für die Anleitung.

Leider sind die Screenhsots nicht mehr in der Quelle verfügbar. Wäre ein Reupload möglich?

Gruß aus Hamburg

Sry, bitte die Kommentare wieder löschen, meinen Scriptblocker hatte bei den BIldern zugeschlagen :-)

Hab noch ne Frage bzgl Fritboxcfg:

phase2localid {
ipnet {
ipaddr = 192.168.24.0;
mask = 255.255.255.0;
}
}

in der original Fritzcfg steht noch unter phase2localid folgendes:

phase2remoteid {
ipnet {
ipaddr = 192.168.xx.0;
mask = 255.255.255.0;
}
}

wird phase2remoteid nicht benötigt bei site to site (fritz to sophos)?
mfg

Vielen Dank für die super Anleitung!
Habe die VPN-Verbindung mit dem Update von JockyW eingerichtet (mit Fritzbox 7270 v3 und UTM 9.3).
Habe aber leider folgendes Problem:
Nach dem aktivieren der VPN-Verbindung wird diese aufgebaut (grüne Statusanzeige in Fritzbox und UTM), jedoch ist kein Ping oder LAN-Zugriff auf die entfernte Fritzbox möglich UND die Verbindung wird nach ca. 1min wieder abgebaut und nicht mehr aufgebaut.
Woran könnte das liegen?
Vielen Dank im Voraus!
Viele Grüße

Vielen dank für die Anleitung und die tollen Kommentare…
Mit dem zusammenspiele aus Anleitung und Kommentaren hat alles super Funktioniert!

Viele Grüße

Hallo, bei mir läuft die Config auch.

Wie ist es möglich, die VPN Verbindung explizit auf Ethernet Port 1 zu binden?
Das muss gehen, denn beim einrichten einer VPN Verbindung über den Assistenten der Web-Oberfläche der FritzBox, kann man diese option auswählen.

Dafür muss es demnach ja einen Eintrag in der vpn.cfg geben. Weiß diesen jemand?

Hallo zusammen,

ich versuche nach der o.g. Anleitung eine Verbindung zwischen UTM 9.3 und FritzBox 7390 6.30 herzustellen.

Leider bekomme ich es nicht hin, die “Ampel” der fritzbox ist kurz grün und dann aus.. LOG:
IKE-Error 0x001C “invalid id”

Und die UTM Sagt:
2015:12:30-22:40:07 utm pluto[21491]: “S_VIE LAN” #1: received Vendor ID payload [XAUTH]
2015:12:30-22:40:07 utm pluto[21491]: “S_VIE LAN” #1: received Vendor ID payload [Dead Peer Detection]
2015:12:30-22:40:07 utm pluto[21491]: “S_VIE LAN” #1: ignoring informational payload, type INVALID_ID_INFORMATION
2015:12:30-22:41:18 utm pluto[21491]: “S_VIE LAN” #1: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
2015:12:30-22:41:18 utm pluto[21491]: “S_VIE LAN” #1: starting keying attempt 2 of an unlimited number

Habt Ihr vielleicht einen Tipp für mich ?

Ich konnte mit der Anleitung erfolgreich die UTM 9.3 zu zwei Fritzen (7490, 3270v3) verbinden.
Die Verbindungen stehend stabil und dauerhaft!
Vielen Dank!

Jetzt habe ich noch folgende Anforderung:
ich würde gerne jeglichen Traffic, oder bestimmte externe Zieladressen komplett über die 7490 routen.
(Grund: Aktueller Wohnsitz mit UTM ist die USA, über die Fritz in DE hätte ich die Möglichkeit, eine deutsche IP zu nutzen).

Weiß jemand, wie das zu bewerkstelligen ist?
– muss die Fritz config angepasst werden?
– was muss in der UTM zusätzlich konfiguriert werden?

Hat bei mir mit dieser Anleitung auch geklappt.
Erfoglreich zwischen UTM 9.3 (Kabel) -> FritBox 7390(DSL).

Leider bricht der Tunnel immer wieder zu schnell zusammen, mit keepalive habe ich es mal versucht
aber an das Ergebnis kann ich mich nicht mehr erinnern.

Aber warum baut sich die Verbindung nicht auf wenn ich aus meinem Netz Richtung FritzBox möchte.
Anders herum klappt das ohne Probleme

Hallo, danke für die Konfig-Hilfe. Eine 7490 mit aktuellen Patch-Stand läuft. Ich nutze dies ausschließlich für das umgehen von Geo-Blocking und habe daher eine Frage: Kann ich festlegen, dass auf der Fritzbox keine Geräte angesprochen werden können? Ein Versuch dies direkt gegen das Gast-Netzes (192.168.179.0) zu machen hat nicht funktioniert.

Hi,

ich habs genau so eingerichtet, wie hier beschrieben, allerdings funktioniert die Verbindung nicht
Fritzbox 7490 – 06.93
Sophos UTM 9.509-3

Könntest du die Anleitung bitte updaten,
vielen Dank

Hallo,
ich bekomme stets IKE-Fehler 0x203d auf der FritzBox.
In den Sophos-LOG-files sehe ich:

“Informational Exchange message is invalid because it has a previously used Message ID (0xbb886f34)
2018:08:05-15:53:08 xxx pluto[2540]: “” #97: ignoring informational payload, type NO_PROPOSAL_CHOSEN ”

Hat jemand eine Idee woran das liegen kann?

Sophos UTM 9 auf aktuellstem Firmware-Stand
Fritz!Box 7390 auf aktuellstem Firmware-Stand

Moin!
Ich habe andere Anleitungen gefunden, wo mit AES verschlüsselt wurde. Die Verbinung steht soweit, wird wohl aber immer mal wieder abgebrochen für Sekunden, was nicht weiter auffällt.
Ich habe im Fritz!Box-Log 0x01C & 0x203D Fehlermeldungen – das LOG läuft damit quasi voll…

Hat jemand Ideen?

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.