IPSec - Fritzbox – Securepoint Wiki

IPSec - Fritzbox Securepoint Wiki

http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:53:30]

AnmeldenProdukt alle Los

Securepoint Wiki

HowtosUTM v10UTM v11Piranja v11UMANACGlossar

WissensdatenbankLogmeldungenInstallation - UpdateAppliances HardwareModular ServerVirtualisierung

ChangelogUTMPiranjaUMASOCNAC

FAQUTMSOCNACSPDNSUMADocumentSigner

IPSec - Fritzbox

Dieser Abschnitt bezieht sich ausschlielich auf die UTM-Software Version 10.

Vorbemerkung

Dieses Howto zeigt einen Weg um eine Verbindung zwischen einer SP und einem Fremdprodukt herzustellen. Aufgrund derVielzahl der Gerte und Firewareversionen knnen wir aber keine Garantie fr einen erfolgreichen Verbindungsaufbaubernehmen.

Eine IPSec Site-to-Site Verbindung zu einer AVM Fritz!Box ist nur mglich, wenn die Securepoint Appliance ber eine festeIP-Adresse verfgt. Besitzen beide Seiten nur eine dynamische IP-Adresse in Verbindung mit einem DNS Dienst frdynamische Adressverwaltung, ist eine Verbindung nicht mglich.

Inhaltsverzeichnis [Verbergen]

1 Voraussetzungen2 Einrichtung der Fritzbox

2.1 Einspielen einer neuen Firmware Version2.2 DynDNS aktivieren



2.3 Internes Netzwerk ndern2.4 VPN Konfiguration erstellen2.5 Die Konfigurationsdatei anpassen2.6 Konfigurationsdatei importieren

3 Securepoint Appliance einrichten4 Verbindung herstellen

Voraussetzungen

Sie bentigen eine AVM Fritz!Box, die VPN Anbindungen untersttzt. AVM bietet fr viele Modelle neue Firmware an, diedie VPN Funktion integriert. Sollten Sie also einen AVM Router besitzen, der ab Werk keine VPN Funktion anbietet, dannsehen auf der Homepage des Herstellers nach, ob eine neue Firmware angeboten wird, die die VPN Funktionalittnachrstet.

Auerdem muss die Gegenstelle, die mit einer Securepoint Appliance ausgerstet ist, ber eine statische IP-Adresseverfgen. Wenn zwei dynamische IP-Adressen verbunden werden sollen, whlt die AVM VPN Funktion als Transportmodusden Aggressive Mode. Dieser wird von den Securepoint Appliances nicht untersttzt. Im Aggressive Mode wird dieAuthentisierung der beiden Gegenstellen nicht verschlsselt vorgenommen. Die Hashwerte des Preshared Key werdenunverschlsselt bertragen. Somit ist die Sicherheit von der Strke des Preshared Key und vom verwendetenHashverfahren abhngig. Da die meisten gemeinsamen Schlssel aber nur die Mindestanforderungen erfllen, wird dieserModus nicht untersttzt.

Einrichtung der Fritzbox

Ist Ihr AVM Produkt noch nicht fr den VPN Betrieb ausgelegt, berprfen Sie auf der Homepage des Herstellers, ob eineneue Firmware die Funktionalitt zu Verfgung stellt.

Einspielen einer neuen Firmware Version

Laden Sie sich die neue Firmware Version von der Internetseite von AVM. Achten Sie darauf, dass Sie nur Firmwarebenutzen knnen, die fr Ihr Produkt zugelassen ist.

Rufen Sie Ihre die Konfigurationsoberflche der Fritz!Box inIhrem Browser auf.

Einstellung ab Werk: 192.168.178.1

Wechseln Sie in die Expertenansicht. Folgen Sie dazu denMenpunkten Einstellungen -> System -> Ansicht.Aktivieren Sie im Dialog die Checkbox Expertenansichtaktivieren und besttigen Sie die Auswahl mit bernehmen.

Klicken Sie nun auf den Meneintrag Firmware-Update.Klicken Sie auf Durchsuchen und whlen Sie die eben heruntergeladene aktuelle Firmware Version aus IhremDateisystem.Starten Sie das Aufspielen der aktuellen Firmware mit dem Button Update.Das nchste Fenster informiert Sie ber den Vorgang der Aktualisierung.Bettigen Sie den Button Zur bersicht, wenn der Update-Vorgang abgeschlossen ist.

Auf Expertenansicht wechseln



DynDNS aktivieren

Um einen DynDNS in der VPN Konfiguration nutzen zu knnen, muss diese Funktion vorher eingerichtet werden. Dies setztnatrlich voraus, dass Sie einen Account bei einem DynDNS Dienst Anbieter haben.

Gehen Sie In der Konfigurationsoberflche auf Einstellungenund navigieren Sie im linken Men ber die Eintrge ErweiterteEinstellungen -> Internet -> Freigaben zum Dialog Freigaben.Wechsel Sie hier zur Registerkarte Dynamic DNS.Aktivieren Sie die Checkbox Dynamic DNS benutzen.Whlen Sie einen Anbieter aus dem Dropdownfeld aus.Geben Sie im Feld Domainnamen den Namen, der beimAnbieter fr Ihre Domain hinterlegt ist, ein.Geben Sie Ihre Anmeldedaten zum DynDNS Anbieter in denFeldern Benutzername, Kennwort und Kennwortbesttigung ein.Klicken Sie bernehmen.

Internes Netzwerk ndern

Da das ab Werk eingestellte interne Netz 192.168.178.0, nach Vorgabe des Fritz!Box VPN Assistenten, nicht fr die VPNgenutzt werden darf, muss das interne Netz gewechselt werden.

Gehen Sie in der Konfigurationsoberflche auf Einstellungenund navigieren Sie im linken Men ber die Punkte ErweiterteEinstellungen -> System -> Netzwerkeinstellungen zum DialogNetzwerkeinstellungen.Klicken Sie im dritten Abschnitt dieser Anzeige auf den ButtonIP-Adressen.

Es ffnet sich die Anzeige IP-Adressen'.

Geben Sie im Feld IP-Adresse die neue IP-Adresse desinternen Netzes an.

Sie knnen alle privaten Adressbereiche verenden (10.xxx.xxx.1,192.168.xxx.1 oder 172.16.xxx.1 bis 172.31.xxx.1).

Geben Sie die Subnetzmaske an, wenn diese nicht automatisch

Firmware Aktualisierung starten

Information zur Firmware Aktualisierung

Aktivieren der DynDNS Funktion

Aufrufen des Dialogs IP-Adressen



gesetzt wird.Wenn Sie allen verbundenen Computern im Netz automatischeine IP-Adresse und andere Netzinformationen von der Fritz!Boxzuweisen lassen wollen, dann aktivieren Sie die CheckboxDHCP-Server aktivieren.Geben Sie in den Feldern IP-Adressen von/bis die IP-Adressendes internen Netzes, die die Fritz!Box zur Zuweisung verwenden soll.Klicken Sie auf bernehmen.Danach mssen Sie sich mit der neuen IP-Adresse der Fritz!Box an der Konfigurationsoberflche anmelden.

VPN Konfiguration erstellen

Die Konfiguration der VPN Verbindung wird nicht ber die Konfigurationsoberflche im Browser vorgenommen, sondern wirdals Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, die Sie auf derInternetseite des Herstellers AVM herunterladen knnen. Die Anwendungssoftware trgt den Namen Fritz!Fernzugangeinrichten.

Laden Sie sich die Software Fritz!Fernzugang einrichten herunter und installierenSie diese auf Ihrem Rechner.Starten Sie das Programm.Klicken Sie auf das Icon Neu in der Symbolleiste, um eine neueKonfigurationsdatei anzulegen. Es werden immer zwei Dateien angelegt, eine frdie lokale Fritz!Box und eine fr die Gegenstelle.

Ein Assistent fhrt Sie durch die Erstellung der Konfigurationsdatei.

Whlen Sie im ersten Schritt, welche Gerte miteinander verbundenwerden sollen.

Sie mchten zwei Gerte miteinander verbinden. Markieren Sie denzweiten Radiobutton Verbindung zwischen zwei FRITZ!Box-Netzwerkenerrichten.

Zunchst werden die Daten der lokalen Fritz!Box abgefragt.Geben Sie die eingerichtete DynDNS URL des lokalen Routers an.

In diesem Beispiel: fritz_lokal.dyndns.org

Interns Netz ndern

Assistenten starten

Art der Verbindung auswhlen



Klicken Sie auf Weiter.Geben Sie dann das interne Netz der lokalen Fritz!Box und die zugehrige Subnetzmaske ein.Klicken Sie Weiter.

Danach werden die Datender Gegenstelle abgefragt.Geben Sie die feste IP-Adresse der Securepoint Appliance an.

In diesem Beispiel: 86.123.45.143

Klicken Sie auf Weiter.Geben Sie dann das interne Netz der Securepoint Appliance und die zugehrige Subnetzmaske ein.Klicken Sie Weiter.

Die Dateneingabe ist damitbeendet.Im nchsten Schritt entscheiden Sie, ob die Konfigurationsdateienangezeigt oder exportiert werden sollen.

Whlen Sie hier den ersten Punkt.

Klicken Sie auf Fertig stellen.

Der Speicherort der Dateien wird angezeigt. Es wurden von dem Assistenten zwei Dateien erstellt, die in der lokalen undder entfernten Fritz!Box importiert werden sollen. Da in diesem Fall aber die Verbindung zu einer Securepoint Appliancehergestellt werden soll, wird nur die Datei fr die lokale Fritz!Box bentigt. Diese hat im Dateinamen die DynDNS URL.

DynDNS Domain eingeben Internes Netz eingeben

Statische IP-Adresse der Appliance Internes Netz der Appliance

Verzeichnis der Dateien anzeigen



Diese Konfigurationsdatei muss nochangepasst werden, damit eineVerbindung zur Securepoint Applianceaufgebaut werden kann.ffnen Sie dazu die Datei in einemEditor (z. B. MS Editor).

Im nchsten Abschnitt sehen Sie die angepasste Konfigurationsdatei. Die nderungen sind in grn markiert. Nehmen Siedie erforderlichen nderungen vor und speichern Sie die Datei ab.

Die Konfigurationsdatei anpassen

vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "Securepoint"; //Name der Verbindung in der Konfigurationsoberflche always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 86.123.45.143; //statische IP-Adresse der Securepoint remote_virtualip = 0.0.0.0; localid { fqdn = "fritz_lokal.dyndns.org"; //Dyn-DNS-Name der Fritz!Box //ipaddr = xxx.xxx.xxx.xxx; //statische IP-Adresse der Fritz!Box, wenn vorhanden } remoteid { ipaddr = 86.123.45.143; //statische IP-Adresse der Securepoint } mode = phase1_mode_idp; //Main-Mode phase1ss = "alt/all-no-aes/all"; keytype = connkeytype_pre_shared; key = "geheim"; //gemeinsames Kennwort (Preshared Key) cert_do_server_auth = no; use_nat_t = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.100.0; //internes Netzwerk der Fritz!Box mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.175.0; //internes Netzwerk der Securepoint mask = 255.255.255.0; } } phase2ss = "esp-3des-sha/ah-no/comp-no/pfs"; //ohne Kompression accesslist = "permit ip any 192.168.175.0 255.255.255.0"; //internes Netzwerk der

Konfigurationsdatei fr die lokale Fritz!Box



Securepoint } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500"; "udp 0.0.0.0:4500 0.0.0.0:4500";}// EOF

Im Folgenden werden die gemachten nderungen und Einstellungen erklrt.

name = "Securepoint"; //Name der Verbindung in der Konfigurationsoberflche

Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberflche derFritz!Box angezeigt, wenn die Datei importiert wurde.

remoteip = 86.123.45.143; //statische IP-Adresse der Securepoint

Dies ist die statische IP-Adresse der Securepoint Appliance. Wenn diese im Assistenten korrekt angegeben wurde, musshier nichts gendert werden.

localid{fqdn = "fritz_lokal.dyndns.org"; //Dyn-DNS-Name der Fritz!Box//ipaddr = xxx.xxx.xxx.xxx;} //statische IP-Adresse der Fritz!Box, wenn vorhanden

Sie knnen hier auch eine IP-Adresse eingeben, wenn die Fritz!Box ber eine statische IP-Adresse verfgt. DieseAngaben werden auch vom Assistenten gesetzt.

remoteid {ipaddr = 86.123.45.143;} //statische IP-Adresse der Securepoint

Wiederholung der statischen IP-Adresse der Securepoint Appliance.

mode = phase1_mode_idp; //Main-Mode

Der Transportmodus muss von aggressive auf main gendert werden, da nur dieser von der Securepoint Softwareuntersttzt wird.

key = "geheim"; //gemeinsames Kennwort (Preshared Key)

Geben Sie hier den Preshared Key ein. Sie knnen auch den vom Assistenten generierten beibehalten, dieser muss dannauch auf der Securepoint hinterlegt werden.

ipaddr = 192.168.100.0; //internes Netzwerk der Fritz!Boxmask = 255.255.255.0; //Subnetzmaske

Unter phase2localid muss das interne Netz der Fritz!Box angegeben sein, das mit entfernten Netz verbunden werden soll.

ipaddr = 192.168.175.0; //internes Netzwerk der Securepointmask = 255.255.255.0;

Unter phase2remoteid muss das interne Netz der Gegenstelle verzeichnet sein.

phase2ss = "esp-all-all/ah-none/comp-none/pfs" //ohne Kompression



Da die Securepoint keinen Authentication Header erwartet und keine Kompression untersttzt, ndern Sie die Einstellungender Phase 2 auf ah-none und comp-none.

Konfigurationsdatei importieren

Gehen Sie In der Konfigurationsoberflche auf Einstellungen undnavigieren Sie im linken Men ber die Eintrge Erweiterte Einstellungen-> Internet -> Freigaben zum Dialog Freigaben.Wechseln Sie hier zur Registerkarte VPN.Benutzen Sie den Button Durchsuchen, um die Konfigurationsdatei inIhrem System auszuwhlen.

Diese wird in Windows unter dem PfadC:/Dokumente und

Einstellungen/Benutzer/Anwendungsdaten/AVM/Fritz!Fernzugang/Hostname oder IP/*.cfg gespeichert.

Klicken Sie dann auf den Button VPN-Einstellungen importieren.Wenn Sie nach dem Import auf die Registerkarte gehen, sehen Sie die Verbindung im Abschnitt VPN-Verbindungenstehen.

Securepoint Appliance einrichten

Nun mssen Sie die Einstellungen an der Securepoint wie gewohnt vornehmen.

Erstellen Sie ein Netzwerkobjekt fr das IPSec-Netzwerk.Legen Sie ein IPSec VPN Verbindung mit Hilfe des IPSec-Assistenten an. Achten Sie darauf, die IKE-Version 1 zubenutzen und dass Sie den gleichen Preshared Key einsetzen.Erstellen Sie ggf. Firewall Regeln, wenn Sie diese nicht vom Assistenten automatisch anlegen lassen haben.Passen Sie die Einstellungen der Phasen der IPSec-Verbindung an. Achten Sie darauf, dass Sie in beiden Phasen3des/sha1 und in Phase 2 PFS verwenden.

Die Securepoint Appliance sollte der Initiator der Verbindung sein.

Starten Sie anschlieend den IPSec Dienst neu, damit die nderungen wirksam werden.

Nhere Informationen zur Einrichtung der Securepoint Appliance entnehmen Sie bitte dem Howto IPSec - Site to Site.

Verbindung herstellen

VPN Konfiguration speichern

VPN Verbindung ist eingerichtet



Stellen Sie die Verbindung von der Securepoint Appliance aus her.

Gehen Sie in der Navigationsleiste auf den Punkt VPN und klicken Sie im Dropdownmenu auf den Eintrag IPSecVerbindungen.

Der Dialog IPSec Verbindungen erscheint.

Klicken Sie in der Zeile der eben erstellten Verbindung auf den Button Lade, um die Verbindungsdaten zu laden.Zum Starten der Verbindung klicken Sie auf den Button Initiiere.

Die Verbindung zur Fritz!Box wird aufgebaut.

Um den Status der Verbindung auf der Fritz!Boxeinzusehen, gehen Sie in der Konfigurationsoberflchein der Navigationsleiste auf Erweiterte Einstellungen ->Internet -> Freigaben.Wechseln Sie im Dialog Freigaben auf die RegisterkarteVPN.Im unteren Bereich VPN-Verbindungen ist die erstellteVerbindung zu sehen.In der Spalte Status wird bei einer aufgebautenVerbindung ein grner Kreis angezeigt.

Securepoint GmbH | Salzstrasse 1 | 21335 Lneburg | Germany | Telefon: 0 41 31 / 24 01 - 0 | Fax: 0 41 31 / 24 01 - 50 | Email |Impressum

Verbindungsstatus einsehen



AnmeldenProdukt alle Los

Securepoint Wiki

HowtosUTM v10UTM v11Piranja v11UMANACGlossar

WissensdatenbankLogmeldungenInstallation - UpdateAppliances HardwareModular ServerVirtualisierung

ChangelogUTMPiranjaUMASOCNAC

FAQUTMSOCNACSPDNSUMADocumentSigner

IPSec - Fritzbox

Dieser Abschnitt bezieht sich ausschlielich auf die UTM-Software Version 10.

Vorbemerkung

Dieses Howto zeigt einen Weg um eine Verbindung zwischen einer SP und einem Fremdprodukt herzustellen. Aufgrund derVielzahl der Gerte und Firewareversionen knnen wir aber keine Garantie fr einen erfolgreichen Verbindungsaufbaubernehmen.

Eine IPSec Site-to-Site Verbindung zu einer AVM Fritz!Box ist nur mglich, wenn die Securepoint Appliance ber eine festeIP-Adresse verfgt. Besitzen beide Seiten nur eine dynamische IP-Adresse in Verbindung mit einem DNS Dienst frdynamische Adressverwaltung, ist eine Verbindung nicht mglich.

Inhaltsverzeichnis [Verbergen]

1 Voraussetzungen2 Einrichtung der Fritzbox

2.1 Einspielen einer neuen Firmware Version2.2 DynDNS aktivieren



2.3 Internes Netzwerk ndern2.4 VPN Konfiguration erstellen2.5 Die Konfigurationsdatei anpassen2.6 Konfigurationsdatei importieren

3 Securepoint Appliance einrichten4 Verbindung herstellen

Voraussetzungen

Sie bentigen eine AVM Fritz!Box, die VPN Anbindungen untersttzt. AVM bietet fr viele Modelle neue Firmware an, diedie VPN Funktion integriert. Sollten Sie also einen AVM Router besitzen, der ab Werk keine VPN Funktion anbietet, dannsehen auf der Homepage des Herstellers nach, ob eine neue Firmware angeboten wird, die die VPN Funktionalittnachrstet.

Auerdem muss die Gegenstelle, die mit einer Securepoint Appliance ausgerstet ist, ber eine statische IP-Adresseverfgen. Wenn zwei dynamische IP-Adressen verbunden werden sollen, whlt die AVM VPN Funktion als Transportmodusden Aggressive Mode. Dieser wird von den Securepoint Appliances nicht untersttzt. Im Aggressive Mode wird dieAuthentisierung der beiden Gegenstellen nicht verschlsselt vorgenommen. Die Hashwerte des Preshared Key werdenunverschlsselt bertragen. Somit ist die Sicherheit von der Strke des Preshared Key und vom verwendetenHashverfahren abhngig. Da die meisten gemeinsamen Schlssel aber nur die Mindestanforderungen erfllen, wird dieserModus nicht untersttzt.

Einrichtung der Fritzbox

Ist Ihr AVM Produkt noch nicht fr den VPN Betrieb ausgelegt, berprfen Sie auf der Homepage des Herstellers, ob eineneue Firmware die Funktionalitt zu Verfgung stellt.

Einspielen einer neuen Firmware Version

Laden Sie sich die neue Firmware Version von der Internetseite von AVM. Achten Sie darauf, dass Sie nur Firmwarebenutzen knnen, die fr Ihr Produkt zugelassen ist.

Rufen Sie Ihre die Konfigurationsoberflche der Fritz!Box inIhrem Browser auf.

Einstellung ab Werk: 192.168.178.1

Wechseln Sie in die Expertenansicht. Folgen Sie dazu denMenpunkten Einstellungen -> System -> Ansicht.Aktivieren Sie im Dialog die Checkbox Expertenansichtaktivieren und besttigen Sie die Auswahl mit bernehmen.

Klicken Sie nun auf den Meneintrag Firmware-Update.Klicken Sie auf Durchsuchen und whlen Sie die eben heruntergeladene aktuelle Firmware Version aus IhremDateisystem.Starten Sie das Aufspielen der aktuellen Firmware mit dem Button Update.Das nchste Fenster informiert Sie ber den Vorgang der Aktualisierung.Bettigen Sie den Button Zur bersicht, wenn der Update-Vorgang abgeschlossen ist.

Auf Expertenansicht wechseln



DynDNS aktivieren

Um einen DynDNS in der VPN Konfiguration nutzen zu knnen, muss diese Funktion vorher eingerichtet werden. Dies setztnatrlich voraus, dass Sie einen Account bei einem DynDNS Dienst Anbieter haben.

Gehen Sie In der Konfigurationsoberflche auf Einstellungenund navigieren Sie im linken Men ber die Eintrge ErweiterteEinstellungen -> Internet -> Freigaben zum Dialog Freigaben.Wechsel Sie hier zur Registerkarte Dynamic DNS.Aktivieren Sie die Checkbox Dynamic DNS benutzen.Whlen Sie einen Anbieter aus dem Dropdownfeld aus.Geben Sie im Feld Domainnamen den Namen, der beimAnbieter fr Ihre Domain hinterlegt ist, ein.Geben Sie Ihre Anmeldedaten zum DynDNS Anbieter in denFeldern Benutzername, Kennwort und Kennwortbesttigung ein.Klicken Sie bernehmen.

Internes Netzwerk ndern

Da das ab Werk eingestellte interne Netz 192.168.178.0, nach Vorgabe des Fritz!Box VPN Assistenten, nicht fr die VPNgenutzt werden darf, muss das interne Netz gewechselt werden.

Gehen Sie in der Konfigurationsoberflche auf Einstellungenund navigieren Sie im linken Men ber die Punkte ErweiterteEinstellungen -> System -> Netzwerkeinstellungen zum DialogNetzwerkeinstellungen.Klicken Sie im dritten Abschnitt dieser Anzeige auf den ButtonIP-Adressen.

Es ffnet sich die Anzeige IP-Adressen'.

Geben Sie im Feld IP-Adresse die neue IP-Adresse desinternen Netzes an.

Sie knnen alle privaten Adressbereiche verenden (10.xxx.xxx.1,192.168.xxx.1 oder 172.16.xxx.1 bis 172.31.xxx.1).

Geben Sie die Subnetzmaske an, wenn diese nicht automatisch

Firmware Aktualisierung starten

Information zur Firmware Aktualisierung

Aktivieren der DynDNS Funktion

Aufrufen des Dialogs IP-Adressen



gesetzt wird.Wenn Sie allen verbundenen Computern im Netz automatischeine IP-Adresse und andere Netzinformationen von der Fritz!Boxzuweisen lassen wollen, dann aktivieren Sie die CheckboxDHCP-Server aktivieren.Geben Sie in den Feldern IP-Adressen von/bis die IP-Adressendes internen Netzes, die die Fritz!Box zur Zuweisung verwenden soll.Klicken Sie auf bernehmen.Danach mssen Sie sich mit der neuen IP-Adresse der Fritz!Box an der Konfigurationsoberflche anmelden.

VPN Konfiguration erstellen

Die Konfiguration der VPN Verbindung wird nicht ber die Konfigurationsoberflche im Browser vorgenommen, sondern wirdals Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, die Sie auf derInternetseite des Herstellers AVM herunterladen knnen. Die Anwendungssoftware trgt den Namen Fritz!Fernzugangeinrichten.

Laden Sie sich die Software Fritz!Fernzugang einrichten herunter und installierenSie diese auf Ihrem Rechner.Starten Sie das Programm.Klicken Sie auf das Icon Neu in der Symbolleiste, um eine neueKonfigurationsdatei anzulegen. Es werden immer zwei Dateien angelegt, eine frdie lokale Fritz!Box und eine fr die Gegenstelle.

Ein Assistent fhrt Sie durch die Erstellung der Konfigurationsdatei.

Whlen Sie im ersten Schritt, welche Gerte miteinander verbundenwerden sollen.

Sie mchten zwei Gerte miteinander verbinden. Markieren Sie denzweiten Radiobutton Verbindung zwischen zwei FRITZ!Box-Netzwerkenerrichten.

Zunchst werden die Daten der lokalen Fritz!Box abgefragt.Geben Sie die eingerichtete DynDNS URL des lokalen Routers an.

In diesem Beispiel: fritz_lokal.dyndns.org

Interns Netz ndern

Assistenten starten

Art der Verbindung auswhlen



Klicken Sie auf Weiter.Geben Sie dann das interne Netz der lokalen Fritz!Box und die zugehrige Subnetzmaske ein.Klicken Sie Weiter.

Danach werden die Datender Gegenstelle abgefragt.Geben Sie die feste IP-Adresse der Securepoint Appliance an.

In diesem Beispiel: 86.123.45.143

Klicken Sie auf Weiter.Geben Sie dann das interne Netz der Securepoint Appliance und die zugehrige Subnetzmaske ein.Klicken Sie Weiter.

Die Dateneingabe ist damitbeendet.Im nchsten Schritt entscheiden Sie, ob die Konfigurationsdateienangezeigt oder exportiert werden sollen.

Whlen Sie hier den ersten Punkt.

Klicken Sie auf Fertig stellen.

Der Speicherort der Dateien wird angezeigt. Es wurden von dem Assistenten zwei Dateien erstellt, die in der lokalen undder entfernten Fritz!Box importiert werden sollen. Da in diesem Fall aber die Verbindung zu einer Securepoint Appliancehergestellt werden soll, wird nur die Datei fr die lokale Fritz!Box bentigt. Diese hat im Dateinamen die DynDNS URL.

DynDNS Domain eingeben Internes Netz eingeben

Statische IP-Adresse der Appliance Internes Netz der Appliance

Verzeichnis der Dateien anzeigen



Diese Konfigurationsdatei muss nochangepasst werden, damit eineVerbindung zur Securepoint Applianceaufgebaut werden kann.ffnen Sie dazu die Datei in einemEditor (z. B. MS Editor).

Im nchsten Abschnitt sehen Sie die angepasste Konfigurationsdatei. Die nderungen sind in grn markiert. Nehmen Siedie erforderlichen nderungen vor und speichern Sie die Datei ab.

Die Konfigurationsdatei anpassen

vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "Securepoint"; //Name der Verbindung in der Konfigurationsoberflche always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 86.123.45.143; //statische IP-Adresse der Securepoint remote_virtualip = 0.0.0.0; localid { fqdn = "fritz_lokal.dyndns.org"; //Dyn-DNS-Name der Fritz!Box //ipaddr = xxx.xxx.xxx.xxx; //statische IP-Adresse der Fritz!Box, wenn vorhanden } remoteid { ipaddr = 86.123.45.143; //statische IP-Adresse der Securepoint } mode = phase1_mode_idp; //Main-Mode phase1ss = "alt/all-no-aes/all"; keytype = connkeytype_pre_shared; key = "geheim"; //gemeinsames Kennwort (Preshared Key) cert_do_server_auth = no; use_nat_t = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.100.0; //internes Netzwerk der Fritz!Box mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.175.0; //internes Netzwerk der Securepoint mask = 255.255.255.0; } } phase2ss = "esp-3des-sha/ah-no/comp-no/pfs"; //ohne Kompression accesslist = "permit ip any 192.168.175.0 255.255.255.0"; //internes Netzwerk der

Konfigurationsdatei fr die lokale Fritz!Box



Securepoint } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500"; "udp 0.0.0.0:4500 0.0.0.0:4500";}// EOF

Im Folgenden werden die gemachten nderungen und Einstellungen erklrt.

name = "Securepoint"; //Name der Verbindung in der Konfigurationsoberflche

Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberflche derFritz!Box angezeigt, wenn die Datei importiert wurde.

remoteip = 86.123.45.143; //statische IP-Adresse der Securepoint

Dies ist die statische IP-Adresse der Securepoint Appliance. Wenn diese im Assistenten korrekt angegeben wurde, musshier nichts gendert werden.

localid{fqdn = "fritz_lokal.dyndns.org"; //Dyn-DNS-Name der Fritz!Box//ipaddr = xxx.xxx.xxx.xxx;} //statische IP-Adresse der Fritz!Box, wenn vorhanden

Sie knnen hier auch eine IP-Adresse eingeben, wenn die Fritz!Box ber eine statische IP-Adresse verfgt. DieseAngaben werden auch vom Assistenten gesetzt.

remoteid {ipaddr = 86.123.45.143;} //statische IP-Adresse der Securepoint

Wiederholung der statischen IP-Adresse der Securepoint Appliance.

mode = phase1_mode_idp; //Main-Mode

Der Transportmodus muss von aggressive auf main gendert werden, da nur dieser von der Securepoint Softwareuntersttzt wird.

key = "geheim"; //gemeinsames Kennwort (Preshared Key)

Geben Sie hier den Preshared Key ein. Sie knnen auch den vom Assistenten generierten beibehalten, dieser muss dannauch auf der Securepoint hinterlegt werden.

ipaddr = 192.168.100.0; //internes Netzwerk der Fritz!Boxmask = 255.255.255.0; //Subnetzmaske

Unter phase2localid muss das interne Netz der Fritz!Box angegeben sein, das mit entfernten Netz verbunden werden soll.

ipaddr = 192.168.175.0; //internes Netzwerk der Securepointmask = 255.255.255.0;

Unter phase2remoteid muss das interne Netz der Gegenstelle verzeichnet sein.

phase2ss = "esp-all-all/ah-none/comp-none/pfs" //ohne Kompression



Da die Securepoint keinen Authentication Header erwartet und keine Kompression untersttzt, ndern Sie die Einstellungender Phase 2 auf ah-none und comp-none.

Konfigurationsdatei importieren

Gehen Sie In der Konfigurationsoberflche auf Einstellungen undnavigieren Sie im linken Men ber die Eintrge Erweiterte Einstellungen-> Internet -> Freigaben zum Dialog Freigaben.Wechseln Sie hier zur Registerkarte VPN.Benutzen Sie den Button Durchsuchen, um die Konfigurationsdatei inIhrem System auszuwhlen.

Diese wird in Windows unter dem PfadC:/Dokumente und

Einstellungen/Benutzer/Anwendungsdaten/AVM/Fritz!Fernzugang/Hostname oder IP/*.cfg gespeichert.

Klicken Sie dann auf den Button VPN-Einstellungen importieren.Wenn Sie nach dem Import auf die Registerkarte gehen, sehen Sie die Verbindung im Abschnitt VPN-Verbindungenstehen.

Securepoint Appliance einrichten

Nun mssen Sie die Einstellungen an der Securepoint wie gewohnt vornehmen.

Erstellen Sie ein Netzwerkobjekt fr das IPSec-Netzwerk.Legen Sie ein IPSec VPN Verbindung mit Hilfe des IPSec-Assistenten an. Achten Sie darauf, die IKE-Version 1 zubenutzen und dass Sie den gleichen Preshared Key einsetzen.Erstellen Sie ggf. Firewall Regeln, wenn Sie diese nicht vom Assistenten automatisch anlegen lassen haben.Passen Sie die Einstellungen der Phasen der IPSec-Verbindung an. Achten Sie darauf, dass Sie in beiden Phasen3des/sha1 und in Phase 2 PFS verwenden.

Die Securepoint Appliance sollte der Initiator der Verbindung sein.

Starten Sie anschlieend den IPSec Dienst neu, damit die nderungen wirksam werden.

Nhere Informationen zur Einrichtung der Securepoint Appliance entnehmen Sie bitte dem Howto IPSec - Site to Site.

Verbindung herstellen

VPN Konfiguration speichern

VPN Verbindung ist eingerichtet



Stellen Sie die Verbindung von der Securepoint Appliance aus her.

Gehen Sie in der Navigationsleiste auf den Punkt VPN und klicken Sie im Dropdownmenu auf den Eintrag IPSecVerbindungen.

Der Dialog IPSec Verbindungen erscheint.

Klicken Sie in der Zeile der eben erstellten Verbindung auf den Button Lade, um die Verbindungsdaten zu laden.Zum Starten der Verbindung klicken Sie auf den Button Initiiere.

Die Verbindung zur Fritz!Box wird aufgebaut.

Um den Status der Verbindung auf der Fritz!Boxeinzusehen, gehen Sie in der Konfigurationsoberflchein der Navigationsleiste auf Erweiterte Einstellungen ->Internet -> Freigaben.Wechseln Sie im Dialog Freigaben auf die RegisterkarteVPN.Im unteren Bereich VPN-Verbindungen ist die erstellteVerbindung zu sehen.In der Spalte Status wird bei einer aufgebautenVerbindung ein grner Kreis angezeigt.

Securepoint GmbH | Salzstrasse 1 | 21335 Lneburg | Germany | Telefon: 0 41 31 / 24 01 - 0 | Fax: 0 41 31 / 24 01 - 50 | Email |Impressum

Verbindungsstatus einsehen

wiki.securepoint.deIPSec - Fritzbox Securepoint WikiIPSec - Fritzbox Securepoint Wiki

gucGhwL0lQU2VjXy1fRnJpdHpib3gA: form7: incategory: search: button7:

gucGhwL0lQU2VjXy1fRnJpdHpib3gA: form7: incategory: search: button7:

Documents

IPSec - Fritzbox – Securepoint Wiki