12
Sonicwall TZ205 hinter Lancom 1784VA
Hallo zusammen,
bisher war die Sonicwall TZ205 direkt am DSL-Modem angeschlossen. Die Sonicwall baut auch den VPN zur Zentrale auf.
Nun kam die Umstellung auf VoiceOverIP DeutschlandLAN mit SIP-Trunk.
Der Lancom baut die Verbindung zum Internet auf, die Sonicwall ist nun hinter dem Lancom angeschlossen.
Ich kann aus dem Netz der Sonicwall auf die Sonicwall und auch den Lancom zugreifen, auch der Zugang ins Internet
funktioniert ohne Probleme.
Soweit klappt alles.
Nur die Sonicwall stellt mir nun keinen VPN-Tunnel (Site-to-Site) zur Zentrale mehr her.
Die Sonciwall habe ich unter Network / Interface auf DHCP auf WAN eingestellt, und erhält auch eine IP von Lancom.
Irgendwo scheint mir der Lancom was zu blocken?
Da noch nicht alle Aussenstellen umgestellt sind, möchte ich vorerst den VPN weiterhin über Sonicwall laufen lassen.
Hat mir jemand eine Idee?
Danke
supertux
bisher war die Sonicwall TZ205 direkt am DSL-Modem angeschlossen. Die Sonicwall baut auch den VPN zur Zentrale auf.
Nun kam die Umstellung auf VoiceOverIP DeutschlandLAN mit SIP-Trunk.
Der Lancom baut die Verbindung zum Internet auf, die Sonicwall ist nun hinter dem Lancom angeschlossen.
Ich kann aus dem Netz der Sonicwall auf die Sonicwall und auch den Lancom zugreifen, auch der Zugang ins Internet
funktioniert ohne Probleme.
Soweit klappt alles.
Nur die Sonicwall stellt mir nun keinen VPN-Tunnel (Site-to-Site) zur Zentrale mehr her.
Die Sonciwall habe ich unter Network / Interface auf DHCP auf WAN eingestellt, und erhält auch eine IP von Lancom.
Irgendwo scheint mir der Lancom was zu blocken?
Da noch nicht alle Aussenstellen umgestellt sind, möchte ich vorerst den VPN weiterhin über Sonicwall laufen lassen.
Hat mir jemand eine Idee?
Danke
supertux
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 388769
Url: https://administrator.de/contentid/388769
Printed on: April 18, 2024 at 02:04 o'clock
12 Comments
Latest comment
Moin,
ist das ein genereller Umstieg von Sonicwall auf Lancom?
Wird das VOIP genutzt?
Gruss
ist das ein genereller Umstieg von Sonicwall auf Lancom?
Wird das VOIP genutzt?
Gruss
Hallo,
also vorerst möchte ich wie gesagt die Sonicwall hinter den Lancom hängen.
Und die Sonicwall soll den Site-to-Site vorerst über den Lancom herstellen.
Nach der ganzen Umstellung ist geplant, den Lancom als VPN Router zu benutzen.
Ja, VOIP wird am Lancom benutzt und geht dann weiter zur TK-Anlage.
supertux
also vorerst möchte ich wie gesagt die Sonicwall hinter den Lancom hängen.
Und die Sonicwall soll den Site-to-Site vorerst über den Lancom herstellen.
Nach der ganzen Umstellung ist geplant, den Lancom als VPN Router zu benutzen.
Ja, VOIP wird am Lancom benutzt und geht dann weiter zur TK-Anlage.
supertux
stellt mir nun keinen VPN-Tunnel (Site-to-Site) zur Zentrale mehr her.
Das ist auch vollkommen klar weil der jetzt Router davor (du betreibst jetzt eine technisch ungünstige Kaskade mit doppeltem NAT) das in seiner NAT Firewall blockt und damit nicht durchreicht an die Sonicwall.Klassischer Fehler in Kaskaden...
Dieses Tutorial erklärt dir genau warum und wie du das schnell und einfach löst:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hallo,
die Sonicwall ist aber ein abgehender VPN über den Lancom.
die Sonicwall ist aber ein abgehender VPN über den Lancom.
Mahlzeit
Schau in Aquis Anleitung, was bei bei doppeltem NAT zu beachten ist.
Zitat von @supertux:
Hallo,
also vorerst möchte ich wie gesagt die Sonicwall hinter den Lancom hängen.
Und die Sonicwall soll den Site-to-Site vorerst über den Lancom herstellen.
Konfigurieren musst du es auf jeden Fall.Hallo,
also vorerst möchte ich wie gesagt die Sonicwall hinter den Lancom hängen.
Und die Sonicwall soll den Site-to-Site vorerst über den Lancom herstellen.
Schau in Aquis Anleitung, was bei bei doppeltem NAT zu beachten ist.
Nach der ganzen Umstellung ist geplant, den Lancom als VPN Router zu benutzen.
Das würde ich sofort in Angriff nehmen, kann so kompliziert nicht sein.
Hallo,
ich wollte es am schnellsten Umstellen, deshalb die Sonicwall hinter den Lancom.
Beim letzten Anschluss war nur eine Fritzbox davor und hat gleich funktioniert.
Es ist wohl besser ich versuche den VPN gleich über den Lancom.
Hoffe nur, dass der Tunnel länger als 1 Stunden aktiv bleibt.
Bei VPN über Fritzbox zu Sonicwall wird der Tunnel jede Stunde aktualisiert und
trennt mir kurzzeitig den VPN
---
supertux
ich wollte es am schnellsten Umstellen, deshalb die Sonicwall hinter den Lancom.
Beim letzten Anschluss war nur eine Fritzbox davor und hat gleich funktioniert.
Es ist wohl besser ich versuche den VPN gleich über den Lancom.
Hoffe nur, dass der Tunnel länger als 1 Stunden aktiv bleibt.
Bei VPN über Fritzbox zu Sonicwall wird der Tunnel jede Stunde aktualisiert und
trennt mir kurzzeitig den VPN
---
supertux
Es ist wohl besser ich versuche den VPN gleich über den Lancom.
Warum ? Zeigt eher das du das Kaskaden Tutorial oben nicht gelesen oder verstanden hast Es ist doch offensichtlich das du den Lancom und seine Firewall falsch konfiguriert hast und so das Sonicwall VPN dort nicht passieren kann.
Da der Lancom selber ein IPsec VPN Router ist musst du absolut sicherstellen das der IPsec Pakete weiterleitet und NICHT denkt die sind für ihn selber.
Beachte auch das die in den Sonicwalls konfigurierten VPN Tunnelendpunkte immer auf die WAN Port IP Adressen der Lancoms zeigen muss ! Klar, denn nur die sind die sichtbaren öffentlichen IP Adressen !!
Jetzt haben die private RFC 1918 IP Adressen durch die Koppelnetze zum Lancom und sind damit nicht routebar im Internet. Eine weitere Falle die hier lauert sofern du das nicht angepasst hast !!!
Sonicwall verwendet vermutlich IPsec native als VPN, oder ?
Hast du denn am Lancom die 3 Ports:
- UDP 500
- UDP 4500
- ESP Protokoll (IP Nummer 50, Achtung kein Port 50, ESP ist ein eigenständiges Protokoll)
Hallo,
ich habe das Kaskaden Tutorial gelesen und auch verstanden, aber ich wo ich die
Einstellung im Lancom 1784VA hinterlegen muss, finde ich nicht.
Bei der Konfiguration des Internet-Zugang, habe ich als Name Internet vergeben.
Die Ports leite ich im Lancom (Internet) mit dem Ziel der DHCP-IP wo die Sonicwall von Lancom erhalten hat.
Aber die Port-Weiterleitung ist ja für eingehende Verbindungen.
Diese Sonicwall nimmt eigentlich keine VPN-Verbindungen eingehend an.
Dann benötige ich wohl auch eine Port-Weiterleitung für ausgehende Ports an die IP der Zentrale?
Hier ist auch eine riesen Unterschied, wenn ich an eine Fritzbox und die Sonicwall denke
---
supertux
ich habe das Kaskaden Tutorial gelesen und auch verstanden, aber ich wo ich die
Einstellung im Lancom 1784VA hinterlegen muss, finde ich nicht.
Bei der Konfiguration des Internet-Zugang, habe ich als Name Internet vergeben.
Die Ports leite ich im Lancom (Internet) mit dem Ziel der DHCP-IP wo die Sonicwall von Lancom erhalten hat.
Aber die Port-Weiterleitung ist ja für eingehende Verbindungen.
Diese Sonicwall nimmt eigentlich keine VPN-Verbindungen eingehend an.
Dann benötige ich wohl auch eine Port-Weiterleitung für ausgehende Ports an die IP der Zentrale?
Hier ist auch eine riesen Unterschied, wenn ich an eine Fritzbox und die Sonicwall denke
---
supertux
aber ich wo ich die Einstellung im Lancom 1784VA hinterlegen muss, finde ich nicht.
OK, das ist dann Handbuch lesen und verstehen vom Lancom. Thats your part... Hier kann dir das Forum dann auch nicht helfen. 
der DHCP-IP wo die Sonicwall von Lancom erhalten hat.
Schon mal der erste garvierende Fehler. Die FW sollte NIEMALS eine IP Adresse per DHCP vom Lancom bekommen.Ist doch klar...denk mal nach ! Wenn sich diese IP aufgrund der Dynamik von DHCP mal ändert, dann geht dein Port Forwardings ins Leere.
Hier also immer statische IP oder wenn DHCP dann eine mit fester Reservierung über die Mac Adresse der Firewall !
Diese Sonicwall nimmt eigentlich keine VPN-Verbindungen eingehend an.
OK, dann brauchst du da natürlich auch KEIN Port Forwarding, das ist klar.PFW brauchst du in einer Kaskade nur bei Inbound Verbindungen.
Trotzdem solltest du absolut sicherstellen, das der Lancom transparent diese IPsec Ports durchreicht !!
Es ist gut möglich das die FW einen IPsec Tunnelaufbau startet die Antwort pakete die ja durch das NAT des Lancom gehen und mit der Absender IP des Lancoms zum Ziel gehen, dann als Antwort im Lancom hängen bleiben, weil der Lancom "denkt" das diese an ihn direkt addressiert sind, weil er ja selber auch ein IPsec VPN Server ist.
Hier musst du also absolut sicherstellen das der Lancom diese IPsec Pakete weiterreicht mit seinem Port Forwarding und nicht selber "verwurstet".
https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/90b361580 ...
Du kannst das ganz einfach mal checken indem du den FW Traffic mit dem Wireshark mitsifferst. Kommen auf seine IPsec Requests auch die Antworten am WAN Port der FW an, dann reicht der Lancom sie richtig weiter.
Wenn nicht blockiert er sie !
Hilfreich wäre hier wie immer das Log der Sonicwall zum IPsec.
Dort steht, wie immer, ganz genau was beim IPsec VPN Aufbau passiert.
Leider hast du das hier ja auch nicht gepostet
Hier ist auch eine riesen Unterschied, wenn ich an eine Fritzbox und die Sonicwall denke
Na ja...das eine ist billige Consumer Massenhardware und das andere ist schon Profi Bereich. Bei letzterem sollte man immer wissen was man tut... 
1
Hallo,
ich habe die Sonicwall weg und versucht über den Lancom einen VPN zur Zentrale hinzubekommen.
Nach dem zweiten Versuch hat es dann auch funktioniert, habe nur die Gegenstelle mit dem FQDN
eingetragen und den Key definiert und KEYIDs eingetragen.
Bei den Protokollen habe ich die vordefiniert verwendet.
Ich bin froh, dass die Verbindung nun steht
Hatte vor Jahren mit Lancom i-10 Office und Lancom 1522 gearbeitet.
Aber das ist leider schon sehr lange her.
Danke für alle Antworten
---
supertux
ich habe die Sonicwall weg und versucht über den Lancom einen VPN zur Zentrale hinzubekommen.
Nach dem zweiten Versuch hat es dann auch funktioniert, habe nur die Gegenstelle mit dem FQDN
eingetragen und den Key definiert und KEYIDs eingetragen.
Bei den Protokollen habe ich die vordefiniert verwendet.
Ich bin froh, dass die Verbindung nun steht
Hatte vor Jahren mit Lancom i-10 Office und Lancom 1522 gearbeitet.
Aber das ist leider schon sehr lange her.
Danke für alle Antworten
---
supertux
Hallo
Man möge es mir verzeihen, das ich die alte Frage noch einmal hochhole.
https://www2.lancom.de/kb.nsf/b8f10fe5665f950dc125726c00589d94/dca7ba801 ...
Auch wenn der 1784VA ein sauteures Modem dann wäre, ist es technisch umsetzbar, die Sonicwall samt Regelwerk und VPN zu betreiben.
Gruß Mikro
Man möge es mir verzeihen, das ich die alte Frage noch einmal hochhole.
https://www2.lancom.de/kb.nsf/b8f10fe5665f950dc125726c00589d94/dca7ba801 ...
Auch wenn der 1784VA ein sauteures Modem dann wäre, ist es technisch umsetzbar, die Sonicwall samt Regelwerk und VPN zu betreiben.
Gruß Mikro
Ja, natürlich !
Wenn der Lancom als reines Modem zu konfigurieren ist dann ist das problemlos möglich.
Es ist auch IMMER die technisch beste und performanteste Lösung es so zu machen, sprich das Internet direkt auf der Firewall zu terminieren OHNE einen NAT Router und eine Routerkaskade davor !
Grundlagen dazu auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Wenn der Lancom als reines Modem zu konfigurieren ist dann ist das problemlos möglich.
Es ist auch IMMER die technisch beste und performanteste Lösung es so zu machen, sprich das Internet direkt auf der Firewall zu terminieren OHNE einen NAT Router und eine Routerkaskade davor !
Grundlagen dazu auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
