Site-to-Site VPN zwischen AVM Fritz!Box und Watchguard XTM

Ich stand vor der Herausforderung ein Site to Site VPN zwischen einer AVM FritzBox! 7270 und einer Watchguard XTM 505 aufzubauen.

 

Da es im Internet nur sehr wenige Anleitungen gibt und die vorhandenen schon von Anno Tukk sind, wollte ich hier nun mal eine mögliche Beispielkonfiguration vorstellen.

Für die Fritzbox ist eine .cfg Datei notwendig.Diese kann entweder über das Tool „FritzBox Fernzugang einrichten“ erstellt werden oder manuell erstellt werden.

 

Diese wird anschließend in der FritzBox! unter „Internet/Freigaben/VPN“ importiert.

 

Wichtig: Das default Netz 192.168.178.0 darf nicht verwendet werden wenn mit der FritzBox ein Site to Site VPN aufgebaut wird.

 

Für eine Verbindung zwischen FritzBox und Watchguard ist folgende VPN.cfg möglich:

 

 

 

 

Die Watchguard muss zu dieser AVM Konfiguration folgendermaßen konfiguriert werden:

„VPN/Branch Office Gateways/Add“

WG_AVM1

 

 

Phase1 Settings:

WG_AVM2

 

Wichtig hierbei: statt des Default-Wertes der Key Group von DH2 muss hier DH2 verwendet werden.  

„VPN/Branch Office Tunnels/Add“

WG_AVM3

 

 

 

Hinzufügen von neuen Phase2 Proposals mit folgenden Einstellungen:

 

WG_AVM4

 

Speichern der FW Config.

 

 

Anschließend kann der VPN Tunnel aufgebaut werden.

 

Diese Config beschreibt nur eine mögliche von vielen Möglichkeiten!

 

Gruß

Veröffentlicht unter AVM, Firewall, Hardware, Linux, Netzwerk, Security, Watchguard

6 comments on “Site-to-Site VPN zwischen AVM Fritz!Box und Watchguard XTM
  1. Max sagt:

    Hallo und Guten Abend,

    ich stehe vor dem gleichen Problem eine Watchguard T30 mit einer Fritzbox 7490 zu verbinden.

    Nun meine Frage:

    Aus welchem Grund darf das Netz 192.168.178.0/24 nicht verwendet werden? Darf es allgemein auf keiner Seite verwendet werden oder nur auf der Seite der Fritzbox nicht oder nur auf der Seite der Watchguard nicht?

    Vielen Dank :)

  2. Simon Brecht sagt:

    Hi,
    um mehrere Netze von FritzBox und WatchGuard anzubinden, muss folgendes gemacht werden:

    Die Phase 2 wird auf „ANY“ gestellt:

    Und was nun wirklich in den VPN-Tunnel geroutet werden soll, wird über die ACL bestimmt:

    Wichtig dabei sind zwei Punkte:
    1.) Zwischen den Zeilen in der ACL ein Komma, zum Abschluss ein Semikolon,
    2.) Gleiche Konfiguration auf der WatchGuard (d.h. als local Address im Tunnel die 0.0.0.0/0 eintragen)

    Damit kann ich mehrere Netze hinter der WatchGuard ansprechen. Ich habe einen ANY-Tunnel, der jegliche Subnetze zu der WatchGuard durchlässt. Auf der FritzBox bestimmt meine ACL die Routen ins VPN und auf der WatchGuard „sollte“ man dann auch nicht den Haken bei „Add to BoVPN Policy“ setzen, sondern eigene Regeln für den Tunnel erstellen.

    .. Fertig! :-)

     

     

  3. Thomas sagt:

    Hallo,

    hat evtl. Jemand schon einmal einen VPN- Tunnel von Fritz! zu Watchguard konfiguriert, der auf zwei IP-Netze hinter der Watchguard zugreifen soll?

    Vom Homeoffice ins erste Firmennetz funktioniert ohne Probleme, aber ein zweites Netz hinter der Watchguard bekomme ich einfach nicht zum Laufen..

  4. DaTom sagt:

    evtl. verhindert deine watchguard die icmp-pakete (ping)…

  5. Olli sagt:

    Hallo,

     

    ich weiß das Thema ist schon ein bisschen älter aber ich stehe gerade vor dem Problem eine Watchguard Firebox M400 mit einer Fritzbox 7330 Firmware 6.50 Site-To-Site aufzubauen. Ich bekomme auch einen Tunnel aufgebaut, kann aber leider nicht über diesen Arbeiten. Es ist kein Ping möglich.

     

    • Daniel sagt:

      Hallo Olli,

      hast du dein VPN ans laufen bekommen?

      ich habe hier mehrere FB 7490 die ich anbinden soll.
      Geht dyndns?

      Kanst du einen annonymiserte .cfg posten?

      danke

      Daniel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*