webser85
Goto Top

Sophos XG Lancom Site to Site VPN

Hallo zusammen,

ich habe seit geraumer Zeit eine Sophos XG im Einsatz.
an drei Außenenstandorten befinden sich Lancom 1783 Router.
Diese sollen eine VPN Verbindung zur Sophos aufbauen um die Standorte zu verbinden.

Leider bekomme ich es beim Besten Willen nicht hin .....

Alle Standorte sind über DynDns erreichbar.


Wäre eine tolle Sache, wenn mir jemand weiterhelfen könnte.


Viele Grüße

Christian

Content-Key: 499917

Url: https://administrator.de/contentid/499917

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: Mikrofonpartner
Mikrofonpartner 29.09.2019 um 19:55:33 Uhr
Goto Top
Hallo

Woran scheitert es denn? Fehlermeldungen in den Logs analysiert?

Hast du dir schonmal das Tutorial angeschaut?

http://neise.de/sophos-utm-astaro/site-to-site-vpn/site-to-site-vpn.htm ...

Gruß Mikro
Mitglied: webser85
webser85 29.09.2019 um 20:08:46 Uhr
Goto Top
Hallo Mirco,

ja, die Anleitung in dem Link hatte ich auch schon auf dem Schirm ;)
Die Unterschiede zur XG scheinen aber doch nicht ganz unwesentlich zu sein.

Ich komme so übergaupt nicht klar ....
Vieleicht kann sich jemand im Forum dazu bereit erklären eine Teamviewer Sitzung abzuhalten ?

Sophos ist ohnehin noch völliges Neuland für mich ....

Grüße
Christian
Mitglied: Mikrofonpartner
Mikrofonpartner 29.09.2019 aktualisiert um 20:34:21 Uhr
Goto Top
Zitat von @webser85:
ja, die Anleitung in dem Link hatte ich auch schon auf dem Schirm ;)
Die Unterschiede zur XG scheinen aber doch nicht ganz unwesentlich zu sein.

Ich komme so übergaupt nicht klar ....

Geh doch bitte ins Detail und liefere Informationen. Es bringt dir recht wenig, wenn du das jetzt fertig konfiguriert bekommst, es aber nicht verstehst.

Was hast du auf der Sophos und auf dem LANCOM konfiguriert? Funktioniert allgemein die Auflösung beider DynDNS-Hosts? Wo scheitert die Aushandlung Phase 1oder 2?
Mitglied: SeaStorm
SeaStorm 29.09.2019 um 20:24:56 Uhr
Goto Top
Wie sehen denn auf lancom Seite die Einstellungen aus?
Mitglied: webser85
webser85 29.09.2019 um 20:28:40 Uhr
Goto Top
Alles klar, ich baue die geschichte nochmal nach der Anleitung nach.
Ich habe die Konfig wieder gelöscht nachdem es nicht geklappt hat....

Ich melde mich dann wieder zurück wenn ich mehr Infos geben kann ;)

Grüße
Christian
Mitglied: webser85
webser85 29.09.2019 um 20:30:25 Uhr
Goto Top
Hallo SeaStorm,
ich baue die Geschichte nochmal nach und melde mich dann zurück ;)
Mitglied: webser85
webser85 29.09.2019 um 21:57:41 Uhr
Goto Top
So anbei schon mal Screenshot´s der Lancom Konfig ;)
ipsec- proposals liste
routing- tabelle
verbindungs- parameter
ike- proposals liste
verbindungs- liste
ipsec- proposals
ike- proposals
ike- proposals liste
Mitglied: webser85
webser85 29.09.2019 um 22:11:44 Uhr
Goto Top
Hier noch die Konfig der Sophos .....

Vielen Dank schonmal für eure Unterstützung ;)

Grüße
Christian
firewall
ip host local
ip host entfernt
ip sec richtlinie
Mitglied: Pjordorf
Pjordorf 29.09.2019 aktualisiert um 22:18:36 Uhr
Goto Top
Hallo,

Zitat von @webser85:
Hier noch die Konfig der Sophos .....
Und dann bitte noch das LOG von der Sophos und / oder vom Lancom wenn die versuchen ein VPN auszubauen.

PS. Was war denn jetzt die Lösung?

Gruß,
Peter
Mitglied: webser85
webser85 29.09.2019 um 22:28:57 Uhr
Goto Top
Hallo Peter,

habe eben gesehen, dass der Beitrag als gelöst markiert ist .....
Für mich ist er das nicht ! Funktioniert nach wie vor nicht .....

wie erstelle ich den Log auf der Sophos ?
Mitglied: Pjordorf
Pjordorf 30.09.2019 aktualisiert um 00:23:33 Uhr
Goto Top
Hallo,

Zitat von @webser85:
habe eben gesehen, dass der Beitrag als gelöst markiert ist .....
Du (und nur du) kannst den grünen Balken wieder entferhnen. Wie kann ich einen Beitrag als gelöst markieren?

wie erstelle ich den Log auf der Sophos ?
Nicht erstellen, ist alles schon gemacht. Du musst den nur anschauen ider du kannst den Koperen oder jeden beliebigen auch in eine Datei speichern ... Je nach deinen Einstellungen in Sophos und deiner verwendeten Hardware wie z.B. HDD Größe....Ebtweder mal das Handbuch lesen oder selbst mal schauen. Bedenke es ist Linux, da kann dir der Zeilenvorschub und Wagenrücklauf einen Streich unter Windows spielen.

Gruß,
Peter
Mitglied: aqui
aqui 30.09.2019 um 08:59:14 Uhr
Goto Top
Ein grundsätzlicher Fehler ist oben schon zu sehen. Niemals sollte man bei Hersteller fremden Geräten die ein IPsec VPN Tunnel aufbauen den Main Mode verwenden. Hier ist der Agressive Mode eigentlich Pflicht. Das ist ebenso bei der Sopohs Seite falsch.
PFS Group 5 ist auch sehr ungewöhnlich. In der Regel ist das die 14 (2048 Bit). Wichtig ist das die auf beiden seiten gleich ist !
Hilfreich wäre hier auch mal gewesen das verwendete VPN Protokoll zu benennen damit die Community hier nicht wild raten muss. Die Beschreibung ist leider mehr als dürftg.
Wie oben auch schon mehrfach betont ist zwingend ein Log Auszug sowohl der Sophos als auch der Lancoms hier für ein zielführendes Troubleshooting erforderlich. Das Log sagt meisten direkt woran ein VPN Tunnelaufbau scheitert.
Ohne den kommen wir also nicht wirklich weiter.

Das so ein Szenario in der Regel sehr einfach und fehlerfrei klappt kannst du an an diesem Tutorial ersehen:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Dort findest du auch ein paar Grundlagen zu dem Thema.

P.S.: Du solltest oben einige Identifier die URL oder Domain Charakteristika ala xyz.de haben mal besser etwas anonymisieren. Dein Arbeitgeber möchte sicher nicht die VPN Konfigs seiner Geräte im Internet wiederfinden...?!
Mitglied: ChriBo
ChriBo 30.09.2019 um 11:48:39 Uhr
Goto Top
Hi,
ich meine bis jetzt 2 Fehler entdeckt zu haben:
1. Auf dem Lancom: Verbindungsliste, Haltezeit: 9.999 sec, Auf der Sophos (Phase2, Schlüssellebensdauer): 28800 sec, setze mal beide auf 3600 sec.
2. Auf der Sophos: VPN->Lokales Netzwerk->Lausch Schnittstelle: hier muß die öffentliche IP (WAN) rein.
-
Wie @aqui schon schrieb:
nimm DH-Gruppe 14 auf beiden Seiten und "erstmal" den agressive mode; generell empfehle ich IKE/V2 anstelle von IKE/V1 zu verwenden.
-
Mein Tip: Kauf dir jemanden der die VPNs für dich einrichtet.

CH
Mitglied: webser85
webser85 30.09.2019 um 15:15:40 Uhr
Goto Top
Hallo zusammen,

Vielen Dank für eure Unterstützung!
Wäre vielleicht einer von euch Experten bereit mir exemplarisch eine VPN einzurichten?
Das ganze ist für mich privat ....

Selbstverständlich würde ich auch dafür bezahlen ....

Viele Grüße und den bisherigen Helfern schonmal vielen Dank ;)

Christian
Mitglied: Pjordorf
Pjordorf 30.09.2019 um 16:20:50 Uhr
Goto Top
Hallo,

Zitat von @webser85:
Wäre vielleicht einer von euch Experten bereit mir exemplarisch eine VPN einzurichten?
Die Handbücher von Sophos und Lancom sind voll vonexemplarische VPNs.

Das ganze ist für mich privat ....
Ach so , daher deine 3 Sznadorte wo LANComs 1783 eingesetzt werden, und an deiner Zentraje eben einen Sophos XG. Und jetzt ist alles für rein Privat...

Selbstverständlich würde ich auch dafür bezahlen ....
Besser das Geld für eine Ausbildung nutzen. Die meisten hier haben ihr Expertenwissen im laufe von Jahren erarbeitet und daher wissen diese Experten auch meistens wo dran es liegt...
https://community.sophos.com/kb/en-us/123600
https://community.sophos.com/kb/en-us/126628
https://community.sophos.com/kb/en-us/123138

https://community.sophos.com/products/unified-threat-management/f/german ...
https://community.sophos.com/kb/en-us/122769
https://community.sophos.com/kb/en-us/132882
https://www.fastvue.co/sophos/blog/sophos-xg-sg-utm-ssl-site-site-vpn-co ...
https://www.synology.com/en-global/knowledgebase/SRM/tutorial/VPN/How_to ...
https://techbast.com/2019/03/sophos-xg-how-to-configure-ipsec-vpn-client ...

Das Internet ist voll von VPN howto's

Gruß,
Peter
Mitglied: goscho
goscho 30.09.2019 um 16:24:56 Uhr
Goto Top
Mahlzeit
Zitat von @ChriBo:

Hi,
ich meine bis jetzt 2 Fehler entdeckt zu haben:
1. Auf dem Lancom: Verbindungsliste, Haltezeit: 9.999 sec, Auf der Sophos (Phase2, Schlüssellebensdauer): 28800 sec, setze mal beide auf 3600 sec.
Da bist du auf dem Holzweg. Die beiden Werte haben nichts miteinander zu tun.
Diesen Wert stellt man bei dem Gerät, welches der Initiator ist auf 9.999 Sec ein.
Das hat mit der Schlüssellebensdauer nichts zu tun.