[Ungelöst] Palo Alto PA440 Firewall soll FritzBox 7590 ersetzen/ergänzen

L_uk_e

L_uk_e

Legende
Thread Starter
Mitglied seit
08.11.2007
Beiträge
7.895
Servus zusammen,

ich habe hier ein Problem welches es zu Lösen gilt.

Folgende Situation: Außenstandort hat normales DSL, 250mbit. Leitung kommt auf einem Patchfeld an und wird dann per LAN Kabel an die DSL Buchse der Fritz 7590 angeschlossen. Daran hängt eine Cisco Meraki MX67 welche einen VPN Tunnel zu einer Gegenstelle in Frankfurt aufbaut.
Das läuft auch soweit, allerdings will der Mutterkonzern (aus den USA) die alten MX Geräte austauschen.
Es soll da also eine Palo Alto PA440 hin, welche auch schon geliefert wurde, und die MX und Fritz Box ersetzen.
Das wäre an sich kein Problem, man kann ja Port 1 der PA 440 scheinbar als PPPoE Port konfigurieren und dann sollte das funktionieren. Tuts aber nicht und laut Telekom kommt dann bei einer Messung auch heraus: Kurzschluss nach Masse, 72Ohm.
So, das wäre das erste Problem bzw. erster Lösungsversucht.
Dann haben wir uns gedacht, ok, nutzen wir eben die Fritz weiter und leiten einfach das Internet durch. Also per VPN (IPSec) aber auch das hat nicht geklappt bzw. unser Dienstleister (auch aus USA) wusste auch nicht so richtig wie man das konfiguriert.
Hat hier jemand so eine, oder so eine ähnliche Konstellation im Einsatz und kann mir hier sagen wie man das konfigurieren muss? Oder vielleicht weiß auch jemand wie dieser Kurzschluss nach Masse Fehler zustande kommt.

IP Adressen wären wie folgt:
Fritze: 192.168.78.1
Maske: 255.255.255.0

PA440: 10.45.x.x
Maske 255.255.248.0

Ich bin weitem kein Netzwerkprofi, und eigentlich dachte ich, dass wäre hier easy zu konfigurieren für unseren Dienstleister, aber scheint nicht der Fall zu sein.

Gruß
L_uk_e

Edit: Mir fällt gerade ein...kann es sein, dass der Kurzschluss nach masse dadurch zustande kommt, dass wir ja auch kein Modem haben in der PA440?
Die FritzBox hat das ja integriert und daher funktioniert das natürlich da auch direkt an dessen DSL Buche per LAN Kabel.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
An sich ist ein Aufbau hinter eine FB kein Problem. Die PA ist dann so zu sagen ein IP Client und bekommt ihre IP per DHCP. Mit der IP kann sie dann das VPN aufbauen. In der FB noch definieren, dass die PA immer die gleiche IP bekommt und die erforderlichen Ports für die PA freigeben. Dann sollte der IPSec VPN laufen
 
@Ic3mAn1986
Danke schon mal. Es müsste doch aber auch funktionieren wenn die PA auf dem Port Eth1 einfach eine feste IP bekommt oder nicht?
Bei dem IPSec Thema kenne ich mich auch 0 aus.
Es kam immer eine Fehlermeldung bei der FB, dass die IP Adresse schon vorhanden wäre bei der Einrichtung des IPSec.
Vielleicht haben wir das auch einfach falsch gemacht.
Wäre das hier denn wohl die passende Anleitung dazu?
fritz.com

FRITZ!Box mit einem Firmen-VPN (IPSec) verbinden | FRITZ!Box 7590

Wozu dient das Firmen-VPN bei IPSec? | Frag FRITZ! Mit IPSec können Sie mit Ihrer FRITZ!Box VPN-Verbindungen zum VPN-Server Ihrer Firma herstellen. So können Sie aus Ihrem Heimnetz auf Geräte und Daten im Firmennetzwerk zugreifen. Ein Zugriff aus dem Firmennetzwerk auf Geräte in Ihrem Heimnetz...
fritz.com fritz.com

Ansonsten muss ich da echt noch mal an den Standort fahren und das dann mit unserem Dienstleister zusammen machen anstatt remote und mit einem normalen Mitarbeiter vor Ort, der so gar nichts mit IT zu tun hat xD
 
Das VPN soll doch die PA aufbauen. Somit ist die Anleitung nicht die richtige. Es müssten zur Sicherheit nur die Ports für das VPN zu der PA weitergeleitet werden (UDP500, UDP4500 und TCP10.000 und IP Protokoll ESP).

Die PA kann auch mit einer festen IP konfiguriert werden. Hier müsst ihr euch eine freie IP aus dem FB Netz suchen und konfigurieren. Ich kann dir sagen, dass es so funktionieren kann. Hatte in der alten Firma auch mehrere PA an Außenstandorten im Einsatz, welche einen VPN zur Zentrale aufgebaut haben. Da waren auch einige FB im Einsatz.
 
Ok. Dann muss ich da nochmal schauen.
Und ja, die PA baut dann den Tunnel auf. In dem Netzwerk der FB sind keine Geräte außer eben der PA. Alle Clients hängen hinter der PA in einem anderen Netz. Entsprechendes Routing muss dann in der PA konfiguriert werden nehme ich mal an.
Aber dann gebe ich das mal so weiter und melde mich sobald wir das alles versucht haben.
Ich danke dir schon einmal!

Sollte das so nicht funktionieren müssten wir uns ein DSL Modem anschaffen und dann eben die PA dort direkt anschließen. Weiterverwendung der Fritz Box wäre aber von Vorteil, weil dann auch die Telefonie weiterhin darüber laufen kann.
 
So ist es. Routing und Co. läuft dann für die Firmen Clients über die PA.
 
Ich werd wohl mal zur Vorsicht noch ein DrayTek Vigor Modem bestellen. Falls es mit der Fritze so gar nicht will.
Vielleicht kann man die dann noch als reine DECT Station ins Netzwerk hängen. Keine Ahnung.
Schauen wir mal
 
Du kannst die 7590 auch als reines DSL-Modem einrichten:
www.boernyblog.de

Fritz!Box als reines Modem verwenden

Mit einem kleinen Kniff kann man aus jeder Fritz!Box ein reines DSL-Modem machen und so sein Netzwerk bspw erweitert konfigurieren. Das ist etwa sinnvoll um eine alternative Firewall vor den Router zu schalten. Hier findet sich eine Kurzanleitung zur Konfiguration.
www.boernyblog.de www.boernyblog.de
Die Einwahl etc. macht dann die PA.
 
passat3233 schrieb:
Du kannst die 7590 auch als reines DSL-Modem einrichten:
www.boernyblog.de

Fritz!Box als reines Modem verwenden

Mit einem kleinen Kniff kann man aus jeder Fritz!Box ein reines DSL-Modem machen und so sein Netzwerk bspw erweitert konfigurieren. Das ist etwa sinnvoll um eine alternative Firewall vor den Router zu schalten. Hier findet sich eine Kurzanleitung zur Konfiguration.
www.boernyblog.de www.boernyblog.de
Die Einwahl etc. macht dann die PA.
Zum Vergrößern anklicken....
nein geht nicht mehr. Das ist ein Artikel aus 2019...-.-
 
Doch, geht!
Und zwar genauso wie im Link beschrieben.
Ich hatte genau das vor ca. 2 Monaten bei meiner 7590 mit damals OS 8.03 ausprobiert.
Ich hatte dazu meine alte 3390 aus der Versenkung geholt und an die 7590 angeschlossen und die 7590 als reines DSL-Modem genutzt.
Das lief hier ca. 1 Woche so einwandfrei.
Dann habe ich es wieder auf den Ursprungszustand geändert.
 
Ich kann das gerne nächste Woche testen falls ein Termin vor Ort zustande kommt.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh