VPN Traffic kontrollieren mit TCPDUMP

VPN Traffic kontrollieren mit TCPDUMP

Um sicherzustellen ob Pakete überhaupt eine Firewall passieren, kann man diese mittels TCPDump kontrollieren wenn SSH freigeschaltet wurde.

  • SSH aktivieren und Netz freigeben.
  • Kennwort für root und loginuser vergeben.
  • Per SSH anmelden mit Loginuser.
  • Mit su als Root anmelden.
  • TCPDump benutzen.

TCPDump:

  • Quelle angeben: tcpdump src 1.2.3.4
  • Ziel angeben: tcpdump dst 1.2.3.4
  • Port 80 und 443 lesen: tcpdump -q ‚(tcp port 80) or (tcp port 443)‘

Fritzbox: VPN mit iOs Geräten

Kategorie: Diverse , Support

Auf der Fritzbox unter System > Fritzbox-Benutzer einen Benutzer anlegen mit den Rechten für VPN. Neben dem Benutzer den Link öffnen mit den weiteren Daten.

Dann im iOs Gerät unter VPN ein VPN vom Typ IPSec anlegen mit den angezeigten Daten.

Achtung: Das Shared Secret ist ziemlich komplex, wenn mehrere Geräte eingerichtet werden, empfiehlt es sich das Kennwort per Mail zu senden und dann zu kopieren.

Weitere Informationen: http://service.avm.de/support/de/SKB/FRITZ-Box-7390/252:VPN-Verbindung-zur-FRITZ-Box-unter-Apple-iOS-z-B-iPhone-einrichten


Alternative zu Sophos

Eine umfangreiche Alternative zur Sophos bietet die Open Source Firewall ipfire.

Sie bietet:

  • Firewall
  • SPI
  • Proxy (mit VS)
  • SMTP Schutz (mit VS)
  • usw.

www.ipfire.org

 


Fritzbox VPN zu Sophos UTM

In der Fritzbox folgende Konfigurationsdatei einspielen (vorher anpassen):

vpncfg {
     connections {
             enabled = yes;
             conn_type = conntype_lan;
             name = "Name wie er in der FritzBox erscheinen soll";
             always_renew = no;
             reject_not_encrypted = no;
             dont_filter_netbios = yes;
             localip = 0.0.0.0;
             local_virtualip = 0.0.0.0;
             remoteip = x.x.x.x;                 //Feste IP der UTM
             remote_virtualip = 0.0.0.0;
             localid {
                     ipaddr =  169.254.1.100;        // APIPA-IP-Adresse, hie die gleiche nehmen wie in der UTM beim Remote Gateway konfiguriert
             }
             remoteid {
                     ipaddr = x.x.x.x;                  //Feste IP der UTM
             }
             mode = phase1_mode_idp;
             phase1ss = "alt/all-no-aes/all";
             keytype = connkeytype_pre_shared;
             key = "hier irgendwas kompliziertes und geheimes";      //Hier muss der Preshared Key rein, wie auf der UTM im Remote Gateway eingetragen
             cert_do_server_auth = no;
             use_nat_t = no;
             use_xauth = no;
             use_cfgmode = no;
             phase2localid {
                     ipnet {
                             ipaddr = 192.168.0.0;                 //Internes Netz der FritzBox
                             mask = 255.255.255.0;
                     }
             }
             phase2remoteid {
                     ipnet {
                             ipaddr = 192.168.10.0;           // Inernal Netwok der UTM
                             mask = 255.255.255.0;
                     }
             }            
             phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
             accesslist = "permit ip any 192.168.10.0 255.255.255.0";      // Hier nochmal den Zugriff aus dem UTM-Internal-Netz erlauben
     }
     ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                         "udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

Danach in der Sophos wie folgt einrichten:

Policy:

UTM-FB_IPSec_Policy

 

Gateway einrichten:

UTM-FB_IPSec_RemoteGW

 

Und dann noch den Tunnel:

UTM-FB_IPSec_Connection

 

Original URL: http://www.astaro.org/local-language-forums/german-forum/48528-vpn-einstellungen-utm9-fritzbox-7360-a.html

Hinwesi: Geht nur mit fester IP (evtl. dynamisch auf der Fritzboxseite).

 

 

 

 

 


Alternative zu Sophos: IPFire

Schicke Firewall als Open Source Lösung:

  • Webbasiert.
  • Aktueller Kernel, aktuelle Hardwareunterstützung.
  • IPSec VPN
  • SSL VPN
  • WLAN Support

Optional auch mit kommerziellen Support.

http://www.ipfire.org