WAN -> FritzBox(DS-Light) ->USG100

Chris84
Chris84 Posts: 3
Friend Collector First Comment
edited April 2021 in Security
Hallo liebe Community.

ich habe eine USG 100 diese würde ich gern benutzen um VPN zu Konfigurieren.
Dazu habe ich den WAN-Port der Fritte mit dem WAN-Port der USG verbunden den Zyxel Switch an Port 3 also Lan 1 angesteckt.
Auf der Fritzbox Exposed Host auf die USG eingestellt.
Allerdings habe ich einen DS-Light Anschluss von Vodafone und ich schaffe es nicht die USG vernünftig zu konfigurieren, sodass eine Öffentliche IPV6 bekommt und ich irgendwie von außen zugreifen kann. Auch die Geräte hinter der USG bekommen keine Öffentliche IPV6 was den Zugriff auf mein NAS unmöglich macht.
Kann mir jemand bei der Konfiguration der USG behilflich sein ?
Ist mein Vorhaben  überhaupt möglich ?

All Replies

  • [Deleted User]
    [Deleted User] Posts: 213  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment
    Hallo @Chris84,

    Ist dies eine USG FLEX 100?
    Bei "DS-Lite" / den günstigen Kabelverträgen bei Vodafone und Unitymedia sind leider nicht unbedingt ohne weiteres Port Forwarding oder VPN möglich.

    Mit einem "Upload Booster" (geringer Aufpreis) gab es die Option, eine fixe IPv4 über den Support zu beantragen. Ich weiß nicht, ob dieses Angebot noch existiert.
    Vielleicht erstmal mit Vodafone genau klären, ob dies nun pur IPv6 ist, oder ob es hier noch ein Carrier-Grade NAT gibt.
    Ggf. kannst du auch auf dem WAN Interface der USG per Packet Capture prüfen, ob deine Anfragen überhaupt auf dem WAN Interface der USG ankommen.

    PS: Bei IPv6 gibt es kein Port Forwarding mehr, hier ist der Zugriff von WAN ins LAN anders zu konfigurieren.

    Beste Grüße
    Lukas

  • Hallo @Zyxel_Lukas
    Es ist kein FLEX ich bin jetzt soweit das die USG per IPV6 von außen erreichbar ist .
    Somit müsste es doch möglich sein einen VPN Verbindung aufzubauen oder bin ich auf dem Holzweg ?
    Im IPsec client gebe ich als Remote Gateway die IPV6 oder USG an VPN Adresse eine beliebige IPV4 die ich vorher in der USG definiert habe. Beim Versuch den Tunnel aufzubauen bleibt er direkt stecken und bricht nach dem 2. Versuch ab.
    Allerdings zeigen die Protokolle nicht an das überhaupt irgendwas an der USG angekommen ist.
    Oder muss die Client Adresse dann unter den Reiter IPV6 konfiguriert werden ?
    Allerdings habe ich keine Ahnung was ich auf der USG dafür tun müsste :-( und auch nicht was ich im Client einstellen müsste.
    Gibt es eventuell eine Anleitung wie man eine VPN Tunnel per IPV6 Konfiguriert auf der USG und in dem Client ?
    Falls es nicht geht muss ich versuchen eine IPV4 zu Organisieren.
    Vielleicht hat ja noch jemand einen Rat ? -:)
  • [Deleted User]
    [Deleted User] Posts: 213  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment
    Hi @Chris84,

    vielleicht erstmal prüfen, ob das Gerät per IPv6 Ping erreichbar ist vom Internet aus.
    Man sollte in den Logs sehen, dass die Default Deny Firewall Regel getroffen.

    Hast du das hier schon angewandt, damit die USG auch IPv6-fähig ist?
    https://support.zyxel.eu/hc/de/articles/360001655454-Einrichten-von-IPv6-Schnittstellen-für-das-reine-IPv6-Routing

    Scheinbar hast du aber eine alte Zywall USG 100, dort kann ich leider nicht viel aus Erfahrung zu sagen.

    Beste Grüße
    Lukas
  • Chris84
    Chris84 Posts: 3
    Friend Collector First Comment
    Hi @Zyxel_Lukas,
    ich komme ja von außen per ipv6 auf die Weboberfläche der USG.
    Aber ich schaffe es nicht mit dem SecuExtender einen Tunnel aufzubauen.
    Aber wenn ich die USG per IPV6 von außen erreiche, bedeutet das, dass es möglich sein muss eine VPN Verbindung aufzubauen ?
    Und es nur an meiner wahrscheinlich Fehlerhaften Konfiguration liegt ?
  • [Deleted User]
    [Deleted User] Posts: 213  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment
    Hallo @Chris84,


    leider können wir für die Zywall USG100 (dieses Gerät ist schon sehr lange EOL) nur sehr oberflächlichen Support bieten.
    Ich kann daher auch nicht ausschließen, dass mit einem aktuellen IPsec Client (v3.8) es dennoch Schwierigkeiten gibt, wegen der sehr veralteten Firmware auf der USG.

    Hier wäre die letzte Firmware für das Gerät:
    https://www.dropbox.com/s/gzzm9m9dw8l9zuc/330AQQ7ITS-WK48-r74988.zip?dl=0

    Bitte auch genau prüfen, ob eine öffentliche IP auf dem WAN der USG liegt, sprich den Router von Vodafone möglichst in den Bridge Mode setzen.
    Ohne Bridging und einer öffentlichen IP auf dem WAN der USG, würde ich bei Vodafone Kabel (DSL Lite? Carrier Grade NAT) kein VPN von außen überhaupt erst versuchen.


    Beste Grüße
    Lukas

Security Highlight