Upload
donbloe
View
721
Download
12
Embed Size (px)
Citation preview
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:53:30]
AnmeldenProdukt alle Los
Securepoint Wiki
HowtosUTM v10UTM v11Piranja v11UMANACGlossar
WissensdatenbankLogmeldungenInstallation - UpdateAppliances HardwareModular ServerVirtualisierung
ChangelogUTMPiranjaUMASOCNAC
FAQUTMSOCNACSPDNSUMADocumentSigner
IPSec - Fritzbox
Dieser Abschnitt bezieht sich ausschlielich auf die UTM-Software Version 10.
Vorbemerkung
Dieses Howto zeigt einen Weg um eine Verbindung zwischen einer SP und einem Fremdprodukt herzustellen. Aufgrund derVielzahl der Gerte und Firewareversionen knnen wir aber keine Garantie fr einen erfolgreichen Verbindungsaufbaubernehmen.
Eine IPSec Site-to-Site Verbindung zu einer AVM Fritz!Box ist nur mglich, wenn die Securepoint Appliance ber eine festeIP-Adresse verfgt. Besitzen beide Seiten nur eine dynamische IP-Adresse in Verbindung mit einem DNS Dienst frdynamische Adressverwaltung, ist eine Verbindung nicht mglich.
Inhaltsverzeichnis [Verbergen]
1 Voraussetzungen2 Einrichtung der Fritzbox
2.1 Einspielen einer neuen Firmware Version2.2 DynDNS aktivieren
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:53:30]
2.3 Internes Netzwerk ndern2.4 VPN Konfiguration erstellen2.5 Die Konfigurationsdatei anpassen2.6 Konfigurationsdatei importieren
3 Securepoint Appliance einrichten4 Verbindung herstellen
Voraussetzungen
Sie bentigen eine AVM Fritz!Box, die VPN Anbindungen untersttzt. AVM bietet fr viele Modelle neue Firmware an, diedie VPN Funktion integriert. Sollten Sie also einen AVM Router besitzen, der ab Werk keine VPN Funktion anbietet, dannsehen auf der Homepage des Herstellers nach, ob eine neue Firmware angeboten wird, die die VPN Funktionalittnachrstet.
Auerdem muss die Gegenstelle, die mit einer Securepoint Appliance ausgerstet ist, ber eine statische IP-Adresseverfgen. Wenn zwei dynamische IP-Adressen verbunden werden sollen, whlt die AVM VPN Funktion als Transportmodusden Aggressive Mode. Dieser wird von den Securepoint Appliances nicht untersttzt. Im Aggressive Mode wird dieAuthentisierung der beiden Gegenstellen nicht verschlsselt vorgenommen. Die Hashwerte des Preshared Key werdenunverschlsselt bertragen. Somit ist die Sicherheit von der Strke des Preshared Key und vom verwendetenHashverfahren abhngig. Da die meisten gemeinsamen Schlssel aber nur die Mindestanforderungen erfllen, wird dieserModus nicht untersttzt.
Einrichtung der Fritzbox
Ist Ihr AVM Produkt noch nicht fr den VPN Betrieb ausgelegt, berprfen Sie auf der Homepage des Herstellers, ob eineneue Firmware die Funktionalitt zu Verfgung stellt.
Einspielen einer neuen Firmware Version
Laden Sie sich die neue Firmware Version von der Internetseite von AVM. Achten Sie darauf, dass Sie nur Firmwarebenutzen knnen, die fr Ihr Produkt zugelassen ist.
Rufen Sie Ihre die Konfigurationsoberflche der Fritz!Box inIhrem Browser auf.
Einstellung ab Werk: 192.168.178.1
Wechseln Sie in die Expertenansicht. Folgen Sie dazu denMenpunkten Einstellungen -> System -> Ansicht.Aktivieren Sie im Dialog die Checkbox Expertenansichtaktivieren und besttigen Sie die Auswahl mit bernehmen.
Klicken Sie nun auf den Meneintrag Firmware-Update.Klicken Sie auf Durchsuchen und whlen Sie die eben heruntergeladene aktuelle Firmware Version aus IhremDateisystem.Starten Sie das Aufspielen der aktuellen Firmware mit dem Button Update.Das nchste Fenster informiert Sie ber den Vorgang der Aktualisierung.Bettigen Sie den Button Zur bersicht, wenn der Update-Vorgang abgeschlossen ist.
Auf Expertenansicht wechseln
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:53:30]
DynDNS aktivieren
Um einen DynDNS in der VPN Konfiguration nutzen zu knnen, muss diese Funktion vorher eingerichtet werden. Dies setztnatrlich voraus, dass Sie einen Account bei einem DynDNS Dienst Anbieter haben.
Gehen Sie In der Konfigurationsoberflche auf Einstellungenund navigieren Sie im linken Men ber die Eintrge ErweiterteEinstellungen -> Internet -> Freigaben zum Dialog Freigaben.Wechsel Sie hier zur Registerkarte Dynamic DNS.Aktivieren Sie die Checkbox Dynamic DNS benutzen.Whlen Sie einen Anbieter aus dem Dropdownfeld aus.Geben Sie im Feld Domainnamen den Namen, der beimAnbieter fr Ihre Domain hinterlegt ist, ein.Geben Sie Ihre Anmeldedaten zum DynDNS Anbieter in denFeldern Benutzername, Kennwort und Kennwortbesttigung ein.Klicken Sie bernehmen.
Internes Netzwerk ndern
Da das ab Werk eingestellte interne Netz 192.168.178.0, nach Vorgabe des Fritz!Box VPN Assistenten, nicht fr die VPNgenutzt werden darf, muss das interne Netz gewechselt werden.
Gehen Sie in der Konfigurationsoberflche auf Einstellungenund navigieren Sie im linken Men ber die Punkte ErweiterteEinstellungen -> System -> Netzwerkeinstellungen zum DialogNetzwerkeinstellungen.Klicken Sie im dritten Abschnitt dieser Anzeige auf den ButtonIP-Adressen.
Es ffnet sich die Anzeige IP-Adressen'.
Geben Sie im Feld IP-Adresse die neue IP-Adresse desinternen Netzes an.
Sie knnen alle privaten Adressbereiche verenden (10.xxx.xxx.1,192.168.xxx.1 oder 172.16.xxx.1 bis 172.31.xxx.1).
Geben Sie die Subnetzmaske an, wenn diese nicht automatisch
Firmware Aktualisierung starten
Information zur Firmware Aktualisierung
Aktivieren der DynDNS Funktion
Aufrufen des Dialogs IP-Adressen
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:53:30]
gesetzt wird.Wenn Sie allen verbundenen Computern im Netz automatischeine IP-Adresse und andere Netzinformationen von der Fritz!Boxzuweisen lassen wollen, dann aktivieren Sie die CheckboxDHCP-Server aktivieren.Geben Sie in den Feldern IP-Adressen von/bis die IP-Adressendes internen Netzes, die die Fritz!Box zur Zuweisung verwenden soll.Klicken Sie auf bernehmen.Danach mssen Sie sich mit der neuen IP-Adresse der Fritz!Box an der Konfigurationsoberflche anmelden.
VPN Konfiguration erstellen
Die Konfiguration der VPN Verbindung wird nicht ber die Konfigurationsoberflche im Browser vorgenommen, sondern wirdals Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, die Sie auf derInternetseite des Herstellers AVM herunterladen knnen. Die Anwendungssoftware trgt den Namen Fritz!Fernzugangeinrichten.
Laden Sie sich die Software Fritz!Fernzugang einrichten herunter und installierenSie diese auf Ihrem Rechner.Starten Sie das Programm.Klicken Sie auf das Icon Neu in der Symbolleiste, um eine neueKonfigurationsdatei anzulegen. Es werden immer zwei Dateien angelegt, eine frdie lokale Fritz!Box und eine fr die Gegenstelle.
Ein Assistent fhrt Sie durch die Erstellung der Konfigurationsdatei.
Whlen Sie im ersten Schritt, welche Gerte miteinander verbundenwerden sollen.
Sie mchten zwei Gerte miteinander verbinden. Markieren Sie denzweiten Radiobutton Verbindung zwischen zwei FRITZ!Box-Netzwerkenerrichten.
Zunchst werden die Daten der lokalen Fritz!Box abgefragt.Geben Sie die eingerichtete DynDNS URL des lokalen Routers an.
In diesem Beispiel: fritz_lokal.dyndns.org
Interns Netz ndern
Assistenten starten
Art der Verbindung auswhlen
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:53:30]
Klicken Sie auf Weiter.Geben Sie dann das interne Netz der lokalen Fritz!Box und die zugehrige Subnetzmaske ein.Klicken Sie Weiter.
Danach werden die Datender Gegenstelle abgefragt.Geben Sie die feste IP-Adresse der Securepoint Appliance an.
In diesem Beispiel: 86.123.45.143
Klicken Sie auf Weiter.Geben Sie dann das interne Netz der Securepoint Appliance und die zugehrige Subnetzmaske ein.Klicken Sie Weiter.
Die Dateneingabe ist damitbeendet.Im nchsten Schritt entscheiden Sie, ob die Konfigurationsdateienangezeigt oder exportiert werden sollen.
Whlen Sie hier den ersten Punkt.
Klicken Sie auf Fertig stellen.
Der Speicherort der Dateien wird angezeigt. Es wurden von dem Assistenten zwei Dateien erstellt, die in der lokalen undder entfernten Fritz!Box importiert werden sollen. Da in diesem Fall aber die Verbindung zu einer Securepoint Appliancehergestellt werden soll, wird nur die Datei fr die lokale Fritz!Box bentigt. Diese hat im Dateinamen die DynDNS URL.
DynDNS Domain eingeben Internes Netz eingeben
Statische IP-Adresse der Appliance Internes Netz der Appliance
Verzeichnis der Dateien anzeigen
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:53:30]
Diese Konfigurationsdatei muss nochangepasst werden, damit eineVerbindung zur Securepoint Applianceaufgebaut werden kann.ffnen Sie dazu die Datei in einemEditor (z. B. MS Editor).
Im nchsten Abschnitt sehen Sie die angepasste Konfigurationsdatei. Die nderungen sind in grn markiert. Nehmen Siedie erforderlichen nderungen vor und speichern Sie die Datei ab.
Die Konfigurationsdatei anpassen
vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "Securepoint"; //Name der Verbindung in der Konfigurationsoberflche always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 86.123.45.143; //statische IP-Adresse der Securepoint remote_virtualip = 0.0.0.0; localid { fqdn = "fritz_lokal.dyndns.org"; //Dyn-DNS-Name der Fritz!Box //ipaddr = xxx.xxx.xxx.xxx; //statische IP-Adresse der Fritz!Box, wenn vorhanden } remoteid { ipaddr = 86.123.45.143; //statische IP-Adresse der Securepoint } mode = phase1_mode_idp; //Main-Mode phase1ss = "alt/all-no-aes/all"; keytype = connkeytype_pre_shared; key = "geheim"; //gemeinsames Kennwort (Preshared Key) cert_do_server_auth = no; use_nat_t = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.100.0; //internes Netzwerk der Fritz!Box mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.175.0; //internes Netzwerk der Securepoint mask = 255.255.255.0; } } phase2ss = "esp-3des-sha/ah-no/comp-no/pfs"; //ohne Kompression accesslist = "permit ip any 192.168.175.0 255.255.255.0"; //internes Netzwerk der
Konfigurationsdatei fr die lokale Fritz!Box
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:53:30]
Securepoint } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500"; "udp 0.0.0.0:4500 0.0.0.0:4500";}// EOF
Im Folgenden werden die gemachten nderungen und Einstellungen erklrt.
name = "Securepoint"; //Name der Verbindung in der Konfigurationsoberflche
Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberflche derFritz!Box angezeigt, wenn die Datei importiert wurde.
remoteip = 86.123.45.143; //statische IP-Adresse der Securepoint
Dies ist die statische IP-Adresse der Securepoint Appliance. Wenn diese im Assistenten korrekt angegeben wurde, musshier nichts gendert werden.
localid{fqdn = "fritz_lokal.dyndns.org"; //Dyn-DNS-Name der Fritz!Box//ipaddr = xxx.xxx.xxx.xxx;} //statische IP-Adresse der Fritz!Box, wenn vorhanden
Sie knnen hier auch eine IP-Adresse eingeben, wenn die Fritz!Box ber eine statische IP-Adresse verfgt. DieseAngaben werden auch vom Assistenten gesetzt.
remoteid {ipaddr = 86.123.45.143;} //statische IP-Adresse der Securepoint
Wiederholung der statischen IP-Adresse der Securepoint Appliance.
mode = phase1_mode_idp; //Main-Mode
Der Transportmodus muss von aggressive auf main gendert werden, da nur dieser von der Securepoint Softwareuntersttzt wird.
key = "geheim"; //gemeinsames Kennwort (Preshared Key)
Geben Sie hier den Preshared Key ein. Sie knnen auch den vom Assistenten generierten beibehalten, dieser muss dannauch auf der Securepoint hinterlegt werden.
ipaddr = 192.168.100.0; //internes Netzwerk der Fritz!Boxmask = 255.255.255.0; //Subnetzmaske
Unter phase2localid muss das interne Netz der Fritz!Box angegeben sein, das mit entfernten Netz verbunden werden soll.
ipaddr = 192.168.175.0; //internes Netzwerk der Securepointmask = 255.255.255.0;
Unter phase2remoteid muss das interne Netz der Gegenstelle verzeichnet sein.
phase2ss = "esp-all-all/ah-none/comp-none/pfs" //ohne Kompression
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:53:30]
Da die Securepoint keinen Authentication Header erwartet und keine Kompression untersttzt, ndern Sie die Einstellungender Phase 2 auf ah-none und comp-none.
Konfigurationsdatei importieren
Gehen Sie In der Konfigurationsoberflche auf Einstellungen undnavigieren Sie im linken Men ber die Eintrge Erweiterte Einstellungen-> Internet -> Freigaben zum Dialog Freigaben.Wechseln Sie hier zur Registerkarte VPN.Benutzen Sie den Button Durchsuchen, um die Konfigurationsdatei inIhrem System auszuwhlen.
Diese wird in Windows unter dem PfadC:/Dokumente und
Einstellungen/Benutzer/Anwendungsdaten/AVM/Fritz!Fernzugang/Hostname oder IP/*.cfg gespeichert.
Klicken Sie dann auf den Button VPN-Einstellungen importieren.Wenn Sie nach dem Import auf die Registerkarte gehen, sehen Sie die Verbindung im Abschnitt VPN-Verbindungenstehen.
Securepoint Appliance einrichten
Nun mssen Sie die Einstellungen an der Securepoint wie gewohnt vornehmen.
Erstellen Sie ein Netzwerkobjekt fr das IPSec-Netzwerk.Legen Sie ein IPSec VPN Verbindung mit Hilfe des IPSec-Assistenten an. Achten Sie darauf, die IKE-Version 1 zubenutzen und dass Sie den gleichen Preshared Key einsetzen.Erstellen Sie ggf. Firewall Regeln, wenn Sie diese nicht vom Assistenten automatisch anlegen lassen haben.Passen Sie die Einstellungen der Phasen der IPSec-Verbindung an. Achten Sie darauf, dass Sie in beiden Phasen3des/sha1 und in Phase 2 PFS verwenden.
Die Securepoint Appliance sollte der Initiator der Verbindung sein.
Starten Sie anschlieend den IPSec Dienst neu, damit die nderungen wirksam werden.
Nhere Informationen zur Einrichtung der Securepoint Appliance entnehmen Sie bitte dem Howto IPSec - Site to Site.
Verbindung herstellen
VPN Konfiguration speichern
VPN Verbindung ist eingerichtet
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:53:30]
Stellen Sie die Verbindung von der Securepoint Appliance aus her.
Gehen Sie in der Navigationsleiste auf den Punkt VPN und klicken Sie im Dropdownmenu auf den Eintrag IPSecVerbindungen.
Der Dialog IPSec Verbindungen erscheint.
Klicken Sie in der Zeile der eben erstellten Verbindung auf den Button Lade, um die Verbindungsdaten zu laden.Zum Starten der Verbindung klicken Sie auf den Button Initiiere.
Die Verbindung zur Fritz!Box wird aufgebaut.
Um den Status der Verbindung auf der Fritz!Boxeinzusehen, gehen Sie in der Konfigurationsoberflchein der Navigationsleiste auf Erweiterte Einstellungen ->Internet -> Freigaben.Wechseln Sie im Dialog Freigaben auf die RegisterkarteVPN.Im unteren Bereich VPN-Verbindungen ist die erstellteVerbindung zu sehen.In der Spalte Status wird bei einer aufgebautenVerbindung ein grner Kreis angezeigt.
Securepoint GmbH | Salzstrasse 1 | 21335 Lneburg | Germany | Telefon: 0 41 31 / 24 01 - 0 | Fax: 0 41 31 / 24 01 - 50 | Email |Impressum
Verbindungsstatus einsehen
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:55:19]
AnmeldenProdukt alle Los
Securepoint Wiki
HowtosUTM v10UTM v11Piranja v11UMANACGlossar
WissensdatenbankLogmeldungenInstallation - UpdateAppliances HardwareModular ServerVirtualisierung
ChangelogUTMPiranjaUMASOCNAC
FAQUTMSOCNACSPDNSUMADocumentSigner
IPSec - Fritzbox
Dieser Abschnitt bezieht sich ausschlielich auf die UTM-Software Version 10.
Vorbemerkung
Dieses Howto zeigt einen Weg um eine Verbindung zwischen einer SP und einem Fremdprodukt herzustellen. Aufgrund derVielzahl der Gerte und Firewareversionen knnen wir aber keine Garantie fr einen erfolgreichen Verbindungsaufbaubernehmen.
Eine IPSec Site-to-Site Verbindung zu einer AVM Fritz!Box ist nur mglich, wenn die Securepoint Appliance ber eine festeIP-Adresse verfgt. Besitzen beide Seiten nur eine dynamische IP-Adresse in Verbindung mit einem DNS Dienst frdynamische Adressverwaltung, ist eine Verbindung nicht mglich.
Inhaltsverzeichnis [Verbergen]
1 Voraussetzungen2 Einrichtung der Fritzbox
2.1 Einspielen einer neuen Firmware Version2.2 DynDNS aktivieren
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:55:19]
2.3 Internes Netzwerk ndern2.4 VPN Konfiguration erstellen2.5 Die Konfigurationsdatei anpassen2.6 Konfigurationsdatei importieren
3 Securepoint Appliance einrichten4 Verbindung herstellen
Voraussetzungen
Sie bentigen eine AVM Fritz!Box, die VPN Anbindungen untersttzt. AVM bietet fr viele Modelle neue Firmware an, diedie VPN Funktion integriert. Sollten Sie also einen AVM Router besitzen, der ab Werk keine VPN Funktion anbietet, dannsehen auf der Homepage des Herstellers nach, ob eine neue Firmware angeboten wird, die die VPN Funktionalittnachrstet.
Auerdem muss die Gegenstelle, die mit einer Securepoint Appliance ausgerstet ist, ber eine statische IP-Adresseverfgen. Wenn zwei dynamische IP-Adressen verbunden werden sollen, whlt die AVM VPN Funktion als Transportmodusden Aggressive Mode. Dieser wird von den Securepoint Appliances nicht untersttzt. Im Aggressive Mode wird dieAuthentisierung der beiden Gegenstellen nicht verschlsselt vorgenommen. Die Hashwerte des Preshared Key werdenunverschlsselt bertragen. Somit ist die Sicherheit von der Strke des Preshared Key und vom verwendetenHashverfahren abhngig. Da die meisten gemeinsamen Schlssel aber nur die Mindestanforderungen erfllen, wird dieserModus nicht untersttzt.
Einrichtung der Fritzbox
Ist Ihr AVM Produkt noch nicht fr den VPN Betrieb ausgelegt, berprfen Sie auf der Homepage des Herstellers, ob eineneue Firmware die Funktionalitt zu Verfgung stellt.
Einspielen einer neuen Firmware Version
Laden Sie sich die neue Firmware Version von der Internetseite von AVM. Achten Sie darauf, dass Sie nur Firmwarebenutzen knnen, die fr Ihr Produkt zugelassen ist.
Rufen Sie Ihre die Konfigurationsoberflche der Fritz!Box inIhrem Browser auf.
Einstellung ab Werk: 192.168.178.1
Wechseln Sie in die Expertenansicht. Folgen Sie dazu denMenpunkten Einstellungen -> System -> Ansicht.Aktivieren Sie im Dialog die Checkbox Expertenansichtaktivieren und besttigen Sie die Auswahl mit bernehmen.
Klicken Sie nun auf den Meneintrag Firmware-Update.Klicken Sie auf Durchsuchen und whlen Sie die eben heruntergeladene aktuelle Firmware Version aus IhremDateisystem.Starten Sie das Aufspielen der aktuellen Firmware mit dem Button Update.Das nchste Fenster informiert Sie ber den Vorgang der Aktualisierung.Bettigen Sie den Button Zur bersicht, wenn der Update-Vorgang abgeschlossen ist.
Auf Expertenansicht wechseln
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:55:19]
DynDNS aktivieren
Um einen DynDNS in der VPN Konfiguration nutzen zu knnen, muss diese Funktion vorher eingerichtet werden. Dies setztnatrlich voraus, dass Sie einen Account bei einem DynDNS Dienst Anbieter haben.
Gehen Sie In der Konfigurationsoberflche auf Einstellungenund navigieren Sie im linken Men ber die Eintrge ErweiterteEinstellungen -> Internet -> Freigaben zum Dialog Freigaben.Wechsel Sie hier zur Registerkarte Dynamic DNS.Aktivieren Sie die Checkbox Dynamic DNS benutzen.Whlen Sie einen Anbieter aus dem Dropdownfeld aus.Geben Sie im Feld Domainnamen den Namen, der beimAnbieter fr Ihre Domain hinterlegt ist, ein.Geben Sie Ihre Anmeldedaten zum DynDNS Anbieter in denFeldern Benutzername, Kennwort und Kennwortbesttigung ein.Klicken Sie bernehmen.
Internes Netzwerk ndern
Da das ab Werk eingestellte interne Netz 192.168.178.0, nach Vorgabe des Fritz!Box VPN Assistenten, nicht fr die VPNgenutzt werden darf, muss das interne Netz gewechselt werden.
Gehen Sie in der Konfigurationsoberflche auf Einstellungenund navigieren Sie im linken Men ber die Punkte ErweiterteEinstellungen -> System -> Netzwerkeinstellungen zum DialogNetzwerkeinstellungen.Klicken Sie im dritten Abschnitt dieser Anzeige auf den ButtonIP-Adressen.
Es ffnet sich die Anzeige IP-Adressen'.
Geben Sie im Feld IP-Adresse die neue IP-Adresse desinternen Netzes an.
Sie knnen alle privaten Adressbereiche verenden (10.xxx.xxx.1,192.168.xxx.1 oder 172.16.xxx.1 bis 172.31.xxx.1).
Geben Sie die Subnetzmaske an, wenn diese nicht automatisch
Firmware Aktualisierung starten
Information zur Firmware Aktualisierung
Aktivieren der DynDNS Funktion
Aufrufen des Dialogs IP-Adressen
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:55:19]
gesetzt wird.Wenn Sie allen verbundenen Computern im Netz automatischeine IP-Adresse und andere Netzinformationen von der Fritz!Boxzuweisen lassen wollen, dann aktivieren Sie die CheckboxDHCP-Server aktivieren.Geben Sie in den Feldern IP-Adressen von/bis die IP-Adressendes internen Netzes, die die Fritz!Box zur Zuweisung verwenden soll.Klicken Sie auf bernehmen.Danach mssen Sie sich mit der neuen IP-Adresse der Fritz!Box an der Konfigurationsoberflche anmelden.
VPN Konfiguration erstellen
Die Konfiguration der VPN Verbindung wird nicht ber die Konfigurationsoberflche im Browser vorgenommen, sondern wirdals Datei auf die Fritz!Box eingespielt. Die Konfigurationsdatei wird mit einer Anwendungssoftware erstellt, die Sie auf derInternetseite des Herstellers AVM herunterladen knnen. Die Anwendungssoftware trgt den Namen Fritz!Fernzugangeinrichten.
Laden Sie sich die Software Fritz!Fernzugang einrichten herunter und installierenSie diese auf Ihrem Rechner.Starten Sie das Programm.Klicken Sie auf das Icon Neu in der Symbolleiste, um eine neueKonfigurationsdatei anzulegen. Es werden immer zwei Dateien angelegt, eine frdie lokale Fritz!Box und eine fr die Gegenstelle.
Ein Assistent fhrt Sie durch die Erstellung der Konfigurationsdatei.
Whlen Sie im ersten Schritt, welche Gerte miteinander verbundenwerden sollen.
Sie mchten zwei Gerte miteinander verbinden. Markieren Sie denzweiten Radiobutton Verbindung zwischen zwei FRITZ!Box-Netzwerkenerrichten.
Zunchst werden die Daten der lokalen Fritz!Box abgefragt.Geben Sie die eingerichtete DynDNS URL des lokalen Routers an.
In diesem Beispiel: fritz_lokal.dyndns.org
Interns Netz ndern
Assistenten starten
Art der Verbindung auswhlen
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:55:19]
Klicken Sie auf Weiter.Geben Sie dann das interne Netz der lokalen Fritz!Box und die zugehrige Subnetzmaske ein.Klicken Sie Weiter.
Danach werden die Datender Gegenstelle abgefragt.Geben Sie die feste IP-Adresse der Securepoint Appliance an.
In diesem Beispiel: 86.123.45.143
Klicken Sie auf Weiter.Geben Sie dann das interne Netz der Securepoint Appliance und die zugehrige Subnetzmaske ein.Klicken Sie Weiter.
Die Dateneingabe ist damitbeendet.Im nchsten Schritt entscheiden Sie, ob die Konfigurationsdateienangezeigt oder exportiert werden sollen.
Whlen Sie hier den ersten Punkt.
Klicken Sie auf Fertig stellen.
Der Speicherort der Dateien wird angezeigt. Es wurden von dem Assistenten zwei Dateien erstellt, die in der lokalen undder entfernten Fritz!Box importiert werden sollen. Da in diesem Fall aber die Verbindung zu einer Securepoint Appliancehergestellt werden soll, wird nur die Datei fr die lokale Fritz!Box bentigt. Diese hat im Dateinamen die DynDNS URL.
DynDNS Domain eingeben Internes Netz eingeben
Statische IP-Adresse der Appliance Internes Netz der Appliance
Verzeichnis der Dateien anzeigen
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:55:19]
Diese Konfigurationsdatei muss nochangepasst werden, damit eineVerbindung zur Securepoint Applianceaufgebaut werden kann.ffnen Sie dazu die Datei in einemEditor (z. B. MS Editor).
Im nchsten Abschnitt sehen Sie die angepasste Konfigurationsdatei. Die nderungen sind in grn markiert. Nehmen Siedie erforderlichen nderungen vor und speichern Sie die Datei ab.
Die Konfigurationsdatei anpassen
vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "Securepoint"; //Name der Verbindung in der Konfigurationsoberflche always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 86.123.45.143; //statische IP-Adresse der Securepoint remote_virtualip = 0.0.0.0; localid { fqdn = "fritz_lokal.dyndns.org"; //Dyn-DNS-Name der Fritz!Box //ipaddr = xxx.xxx.xxx.xxx; //statische IP-Adresse der Fritz!Box, wenn vorhanden } remoteid { ipaddr = 86.123.45.143; //statische IP-Adresse der Securepoint } mode = phase1_mode_idp; //Main-Mode phase1ss = "alt/all-no-aes/all"; keytype = connkeytype_pre_shared; key = "geheim"; //gemeinsames Kennwort (Preshared Key) cert_do_server_auth = no; use_nat_t = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.100.0; //internes Netzwerk der Fritz!Box mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.175.0; //internes Netzwerk der Securepoint mask = 255.255.255.0; } } phase2ss = "esp-3des-sha/ah-no/comp-no/pfs"; //ohne Kompression accesslist = "permit ip any 192.168.175.0 255.255.255.0"; //internes Netzwerk der
Konfigurationsdatei fr die lokale Fritz!Box
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:55:19]
Securepoint } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500"; "udp 0.0.0.0:4500 0.0.0.0:4500";}// EOF
Im Folgenden werden die gemachten nderungen und Einstellungen erklrt.
name = "Securepoint"; //Name der Verbindung in der Konfigurationsoberflche
Der Name der Verbindung wurde zu einem eindeutigen Begriff umbenannt. Dieser wird in der Konfigurationsoberflche derFritz!Box angezeigt, wenn die Datei importiert wurde.
remoteip = 86.123.45.143; //statische IP-Adresse der Securepoint
Dies ist die statische IP-Adresse der Securepoint Appliance. Wenn diese im Assistenten korrekt angegeben wurde, musshier nichts gendert werden.
localid{fqdn = "fritz_lokal.dyndns.org"; //Dyn-DNS-Name der Fritz!Box//ipaddr = xxx.xxx.xxx.xxx;} //statische IP-Adresse der Fritz!Box, wenn vorhanden
Sie knnen hier auch eine IP-Adresse eingeben, wenn die Fritz!Box ber eine statische IP-Adresse verfgt. DieseAngaben werden auch vom Assistenten gesetzt.
remoteid {ipaddr = 86.123.45.143;} //statische IP-Adresse der Securepoint
Wiederholung der statischen IP-Adresse der Securepoint Appliance.
mode = phase1_mode_idp; //Main-Mode
Der Transportmodus muss von aggressive auf main gendert werden, da nur dieser von der Securepoint Softwareuntersttzt wird.
key = "geheim"; //gemeinsames Kennwort (Preshared Key)
Geben Sie hier den Preshared Key ein. Sie knnen auch den vom Assistenten generierten beibehalten, dieser muss dannauch auf der Securepoint hinterlegt werden.
ipaddr = 192.168.100.0; //internes Netzwerk der Fritz!Boxmask = 255.255.255.0; //Subnetzmaske
Unter phase2localid muss das interne Netz der Fritz!Box angegeben sein, das mit entfernten Netz verbunden werden soll.
ipaddr = 192.168.175.0; //internes Netzwerk der Securepointmask = 255.255.255.0;
Unter phase2remoteid muss das interne Netz der Gegenstelle verzeichnet sein.
phase2ss = "esp-all-all/ah-none/comp-none/pfs" //ohne Kompression
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:55:19]
Da die Securepoint keinen Authentication Header erwartet und keine Kompression untersttzt, ndern Sie die Einstellungender Phase 2 auf ah-none und comp-none.
Konfigurationsdatei importieren
Gehen Sie In der Konfigurationsoberflche auf Einstellungen undnavigieren Sie im linken Men ber die Eintrge Erweiterte Einstellungen-> Internet -> Freigaben zum Dialog Freigaben.Wechseln Sie hier zur Registerkarte VPN.Benutzen Sie den Button Durchsuchen, um die Konfigurationsdatei inIhrem System auszuwhlen.
Diese wird in Windows unter dem PfadC:/Dokumente und
Einstellungen/Benutzer/Anwendungsdaten/AVM/Fritz!Fernzugang/Hostname oder IP/*.cfg gespeichert.
Klicken Sie dann auf den Button VPN-Einstellungen importieren.Wenn Sie nach dem Import auf die Registerkarte gehen, sehen Sie die Verbindung im Abschnitt VPN-Verbindungenstehen.
Securepoint Appliance einrichten
Nun mssen Sie die Einstellungen an der Securepoint wie gewohnt vornehmen.
Erstellen Sie ein Netzwerkobjekt fr das IPSec-Netzwerk.Legen Sie ein IPSec VPN Verbindung mit Hilfe des IPSec-Assistenten an. Achten Sie darauf, die IKE-Version 1 zubenutzen und dass Sie den gleichen Preshared Key einsetzen.Erstellen Sie ggf. Firewall Regeln, wenn Sie diese nicht vom Assistenten automatisch anlegen lassen haben.Passen Sie die Einstellungen der Phasen der IPSec-Verbindung an. Achten Sie darauf, dass Sie in beiden Phasen3des/sha1 und in Phase 2 PFS verwenden.
Die Securepoint Appliance sollte der Initiator der Verbindung sein.
Starten Sie anschlieend den IPSec Dienst neu, damit die nderungen wirksam werden.
Nhere Informationen zur Einrichtung der Securepoint Appliance entnehmen Sie bitte dem Howto IPSec - Site to Site.
Verbindung herstellen
VPN Konfiguration speichern
VPN Verbindung ist eingerichtet
IPSec - Fritzbox Securepoint Wiki
http://wiki.securepoint.de/index.php/IPSec_-_Fritzbox[20.01.2014 14:55:19]
Stellen Sie die Verbindung von der Securepoint Appliance aus her.
Gehen Sie in der Navigationsleiste auf den Punkt VPN und klicken Sie im Dropdownmenu auf den Eintrag IPSecVerbindungen.
Der Dialog IPSec Verbindungen erscheint.
Klicken Sie in der Zeile der eben erstellten Verbindung auf den Button Lade, um die Verbindungsdaten zu laden.Zum Starten der Verbindung klicken Sie auf den Button Initiiere.
Die Verbindung zur Fritz!Box wird aufgebaut.
Um den Status der Verbindung auf der Fritz!Boxeinzusehen, gehen Sie in der Konfigurationsoberflchein der Navigationsleiste auf Erweiterte Einstellungen ->Internet -> Freigaben.Wechseln Sie im Dialog Freigaben auf die RegisterkarteVPN.Im unteren Bereich VPN-Verbindungen ist die erstellteVerbindung zu sehen.In der Spalte Status wird bei einer aufgebautenVerbindung ein grner Kreis angezeigt.
Securepoint GmbH | Salzstrasse 1 | 21335 Lneburg | Germany | Telefon: 0 41 31 / 24 01 - 0 | Fax: 0 41 31 / 24 01 - 50 | Email |Impressum
Verbindungsstatus einsehen
wiki.securepoint.deIPSec - Fritzbox Securepoint WikiIPSec - Fritzbox Securepoint Wiki
gucGhwL0lQU2VjXy1fRnJpdHpib3gA: form7: incategory: search: button7:
gucGhwL0lQU2VjXy1fRnJpdHpib3gA: form7: incategory: search: button7: