Sophos/Astaro LAN-LAN VPN mit FritzBox

Einrichtung einer LAN-LAN Kopplung zwischen Sophos UTM 9.1 mit dynamischer IP (Dyndns) und FritzBox Office mit dynamischer IP (Dyndns).

Konfiguration Sophos

VPN IPsec Policy anlegen:

vpn_policy

Remote Gateway anlegen:

vpn_remotegw

Connection anlegen:

vpn_connection

Konfiguration Fritz!Box

Textdatei mit der Konfiguration wie unten erstellen und auf die Fritzbox Hochladen.

192.168.24.0/24 ist das LAN der Fritzbox, 192.168.23.0/24 ist das LAN der Sophos UTM. Nicht vergessen auch „key“ (Preshared-Key) und „accesslist“ ganz unten anzupassen 😉

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Sophos UTM";
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;                
        remote_virtualip = 0.0.0.0;
        remotehostname = "sophosoffice.homeip.net"; 
        localid {
            fqdn = fritzoffice.homeip.net;
        }
        remoteid {
            fqdn = sophosoffice.homeip.net;
        }
        mode = phase1_mode_idp;
        phase1ss = "alt/all-no-aes/all";
        keytype = connkeytype_pre_shared;
        key = "Hgewn834274thafFeg432";  
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = 192.168.24.0;
                mask = 255.255.255.0;
            }
        }
        phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
        accesslist = "permit ip any 192.168.23.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
}

25 Antworten auf „Sophos/Astaro LAN-LAN VPN mit FritzBox“

  1. Hi,
    danke für die Super klare und schöne Anleitung. Ich habe das Script ein wenig modifiziert das es auch mit einer festen IP auf Astaro Seite.

    Leider wird der Tunnel aber abgebaut und bleibt nicht dauerhaft bestehen. Gibt es eine Möglichkiet einen Keep Alive auf der Fritz.box einzustellen, das diese den Tunnel dauerhaft aufgebaut lässt?

    Gruß Carsten

  2. Bei mir bleibt der Tunner zuverlässig aufgebaut und baut sich auch nach dem DSL Reconnect wieder zuverlässig und selbstständig auf…

  3. @Carsten Bentzien: add this line to your FB config, with any IP in the local network at the UTM side :
    keepalive_ip = 192.168.1.1;
    I had same problem as you, most likely because my scenario is same as yours (no active connections are initiated from the network behind the remote Fritzbox)

  4. @Alex:
    Otto’s solution worked well for me until I updated to UTM 9.3. With 9.3 I experienced many temporary disconnects and in the FB7490 log there were IKE errors 0x001C, 0x2027, 0x203D.
    Then I found this thread: https://www.astaro.org/local-language-forums/german-forum/53416-ipsec-und-fritzbox-timeouts.html where user „selmoc“ proposes to change encryption algo from 3des to aes256 encryption. I added and applied a FB aes256 policy to my UTM and changed these two lines in my FB7490 vpn config:
    old: phase1ss = „alt/all-no-aes/all“;
    new: phase1ss = „all/all/all“;

    old: phase2ss = „esp-3des-sha/ah-no/comp-no/pfs“;
    new: phase2ss = „esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs“;

    Now it works stable again with UTM v9.3

  5. EDIT to my previous post. Actually the problems I had for a short period were caused by my DDNS provider. The TTL for my hostname is very short and my DDNS provider was randomly, up to 5 times per hour returning a faulty IP because the nameservers were out of sync. So the encryption policy change is not necessary. The instructions in otto’s blog are still up-to-date 🙂

  6. Danke die Verbindung steht aber ich bekomme keinen Traffic ping rpd oder sonstiges durch die verbindung. was mache ich falsch

  7. Moin, Vielen Dank für die Anleitung.

    Leider sind die Screenhsots nicht mehr in der Quelle verfügbar. Wäre ein Reupload möglich?

    Gruß aus Hamburg

  8. Sry, bitte die Kommentare wieder löschen, meinen Scriptblocker hatte bei den BIldern zugeschlagen 🙂

  9. Hab noch ne Frage bzgl Fritboxcfg:

    phase2localid {
    ipnet {
    ipaddr = 192.168.24.0;
    mask = 255.255.255.0;
    }
    }

    in der original Fritzcfg steht noch unter phase2localid folgendes:

    phase2remoteid {
    ipnet {
    ipaddr = 192.168.xx.0;
    mask = 255.255.255.0;
    }
    }

    wird phase2remoteid nicht benötigt bei site to site (fritz to sophos)?
    mfg

  10. Vielen Dank für die super Anleitung!
    Habe die VPN-Verbindung mit dem Update von JockyW eingerichtet (mit Fritzbox 7270 v3 und UTM 9.3).
    Habe aber leider folgendes Problem:
    Nach dem aktivieren der VPN-Verbindung wird diese aufgebaut (grüne Statusanzeige in Fritzbox und UTM), jedoch ist kein Ping oder LAN-Zugriff auf die entfernte Fritzbox möglich UND die Verbindung wird nach ca. 1min wieder abgebaut und nicht mehr aufgebaut.
    Woran könnte das liegen?
    Vielen Dank im Voraus!
    Viele Grüße

  11. Vielen dank für die Anleitung und die tollen Kommentare…
    Mit dem zusammenspiele aus Anleitung und Kommentaren hat alles super Funktioniert!

    Viele Grüße

  12. Hallo, bei mir läuft die Config auch.

    Wie ist es möglich, die VPN Verbindung explizit auf Ethernet Port 1 zu binden?
    Das muss gehen, denn beim einrichten einer VPN Verbindung über den Assistenten der Web-Oberfläche der FritzBox, kann man diese option auswählen.

    Dafür muss es demnach ja einen Eintrag in der vpn.cfg geben. Weiß diesen jemand?

  13. Hallo zusammen,

    ich versuche nach der o.g. Anleitung eine Verbindung zwischen UTM 9.3 und FritzBox 7390 6.30 herzustellen.

    Leider bekomme ich es nicht hin, die „Ampel“ der fritzbox ist kurz grün und dann aus.. LOG:
    IKE-Error 0x001C „invalid id“

    Und die UTM Sagt:
    2015:12:30-22:40:07 utm pluto[21491]: „S_VIE LAN“ #1: received Vendor ID payload [XAUTH]
    2015:12:30-22:40:07 utm pluto[21491]: „S_VIE LAN“ #1: received Vendor ID payload [Dead Peer Detection]
    2015:12:30-22:40:07 utm pluto[21491]: „S_VIE LAN“ #1: ignoring informational payload, type INVALID_ID_INFORMATION
    2015:12:30-22:41:18 utm pluto[21491]: „S_VIE LAN“ #1: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
    2015:12:30-22:41:18 utm pluto[21491]: „S_VIE LAN“ #1: starting keying attempt 2 of an unlimited number

    Habt Ihr vielleicht einen Tipp für mich ?

  14. Ich konnte mit der Anleitung erfolgreich die UTM 9.3 zu zwei Fritzen (7490, 3270v3) verbinden.
    Die Verbindungen stehend stabil und dauerhaft!
    Vielen Dank!

    Jetzt habe ich noch folgende Anforderung:
    ich würde gerne jeglichen Traffic, oder bestimmte externe Zieladressen komplett über die 7490 routen.
    (Grund: Aktueller Wohnsitz mit UTM ist die USA, über die Fritz in DE hätte ich die Möglichkeit, eine deutsche IP zu nutzen).

    Weiß jemand, wie das zu bewerkstelligen ist?
    – muss die Fritz config angepasst werden?
    – was muss in der UTM zusätzlich konfiguriert werden?

  15. Hat bei mir mit dieser Anleitung auch geklappt.
    Erfoglreich zwischen UTM 9.3 (Kabel) -> FritBox 7390(DSL).

    Leider bricht der Tunnel immer wieder zu schnell zusammen, mit keepalive habe ich es mal versucht
    aber an das Ergebnis kann ich mich nicht mehr erinnern.

    Aber warum baut sich die Verbindung nicht auf wenn ich aus meinem Netz Richtung FritzBox möchte.
    Anders herum klappt das ohne Probleme

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.