ipzipzap
Goto Top

IPSec VPN zwischen OPNsense und Sophos UTM

Hallo,

ich versuche seit Monaten(!) immer wieder mal eine VPN-Verbindung einer OPNsense zu meiner Sophos UTM einzurichten. Alle Versuche zusammen gerechnet habe ich bestimmt schon eine Woche an Zeit damit verschwendet und bekomme es einfach nicht hin.

Jetzt brauche ich die Verbindung aber und habe keine Ahnung, wo mein Fehler liegt face-confused Wie immer ist es wahrscheinlich nur irgendwo ein falsch gesetzter Haken face-big-smile

Hat jemand eine funktionierende Anleitung, wie man eine Sophos UTM 9 mit einer aktuellen OPNsense per IPsec "Connections" (nicht Legacy) verbindet?

Danke im Voraus,

ipzipzap

Content-Key: 51783490422

Url: https://administrator.de/contentid/51783490422

Printed on: July 14, 2024 at 16:07 o'clock

Member: nachgefragt
nachgefragt Jun 25, 2024 at 09:40:55 (UTC)
Goto Top
Hallo,

also wenn mein alten Sophoswalls auf dem Support laufen pack ich da OPNsense drauf.
https://www.youtube.com/watch?v=30iGe_312oE

Oder hängst du neben der UTM Hardware an der Software?
Member: colinardo
colinardo Jun 25, 2024 updated at 10:56:33 (UTC)
Goto Top
Servus.

Just for you:

back-to-topOPNSense <> Sophos UTM Site2Site (IKEv1 PresharedKey)

(IKEv2 ist von der Sophos UTM nicht supported)

back-to-topSophos UTM (Internal network 192.168.100.0/24)


01_ike_policy

screenshot

03_ipsec_connection

back-to-topOPNSense (Internal network 192.168.50.0/24)


04_ipsec_connection_opnsense

05_ipsec_ike_details

06_ipsec_phase2_sa_policy

opnsense_psk


back-to-topFirewall (IPSec interface internal traffic)

Nur für Test ein "allow all"

07_opnsense_firewall

back-to-topConnection Result


08_ipsec_connection_status

10_ipsec_policy_database

09_ipsec_sa_status

back-to-topPing test OPNSense > Sophos


11_ping_test_opnsense

back-to-topPing test Sophos > OPNSense


12_ping_test_sophos

Grüße Uwe
Member: ipzipzap
ipzipzap Jun 25, 2024 updated at 19:20:53 (UTC)
Goto Top
Danke Uwe für die super Anleitung; leider funktioniert es bei mir aber trotzdem nicht. Sitze schon wieder drei Stunden davor und finde den Fehler nicht.

Ich muß mich auf die OPNsense einwählen, also die Sophos baut die Verbindung auf. Dann klappen die Phase2 irgendwie nicht, manchmal aber plötzlich doch ohne das ich eine Änderung gemacht habe. Oder nur eine Phase2 und nicht mehr. Die SPD Liste ist auch leer.
Auf der Sophos sind aber immer alle Phase2-Verbindungen aufgebaut und alles grün.

Ich werd noch bekloppt hier face-confused
Member: ipzipzap
ipzipzap Jun 25, 2024 updated at 19:31:33 (UTC)
Goto Top
Zitat von @nachgefragt:
Hallo,

Hallo,

also wenn mein alten Sophoswalls auf dem Support laufen pack ich da OPNsense drauf.

schön für Dich, trägt aber nicht zur Lösung des Problems bei und bringt mich somit nicht weiter. Du sagst doch bestimmt auch niemandem, wenn er Dich fragt, wie man an seinem Merdedes das Bremslicht wechselt, das er sich doch besser einen VW kaufen soll.

Oder hängst du neben der UTM Hardware an der Software?

Ja, bis zum bitteren Support-Ende! OPNsense kann halt nur einen Bruchteil der Sophos und das auch nur maximal kompliziert. Ich nutze an der Sophos noch den SMTP-Proxy mit Antispam, Antivirus und Quarantäne vor einem Exchange, die Wireless-Protection für ein paar APs, die WAF für eine Handvoll weiterer Dienste, LetsEncrypt, usw... Das läßt sich mit einer OPNsense so nicht abbilden.

Trotzdem danke für Deine Antwort und Deine Zeit.

cu,
ipzipzap
Member: colinardo
colinardo Jun 26, 2024 updated at 09:20:24 (UTC)
Goto Top
Zitat von @ipzipzap:
Ich muß mich auf die OPNsense einwählen, also die Sophos baut die Verbindung auf.
OK, dann muss das Remote GW auf der Sophos auf "Initiator" geändert werden und die OPNSense zum Responder.
Dann klappen die Phase2 irgendwie nicht, manchmal aber plötzlich doch ohne das ich eine Änderung gemacht habe. Oder nur eine Phase2 und nicht mehr. Die SPD Liste ist auch leer.

Ein paar Fragen zur Umgebung bevor ich dir dafür entsprechende Anpassungen mitgebe :
  • Werden IP-Adressen als Endpoints und auch als IKE-IDs benutzt, oder Hostnamen (DynDns oder fixe Domains)?
  • Hat der Initiator einen DSLite Anschluss mit CG-NAT?
  • Sind die IKE Identities auf beiden Seiten identisch eingetragen und lösen diese korrekt auf (IP-Adressen oder Hostnamen)?
  • Firewall wurde für IPSec am WAN geöffnet? (500UDP, 4500UDP und Protokoll 50 ESP)
  • Gibt es evt. vorgelagerte Router vor der OPNSense oder Sophos?

Für das Debugging ist es unerlässlich das du dir das VPN Log auf der OPNSense ansiehst und hier postest.
Dazu unter VPN > IPSec > Logfiles sämtliche Protokolle aktivieren bzw. den Haken setzen. Der Log zeigt nämlich ziemlich zuverlässig an was die Ursache bei dir ist.

Ich werd noch bekloppt hier
Nicht verzweifeln das bekommen wir zusammen auf jeden Fall hin sofern die Umgebungsparameter bei dir es zulassen, bei IPSec zählt eben jede Kleinigkeit, vor allem bei IKEv1 das je nach Anschluss einige Einschränkungen mit sich bringt denen man mit kleinen Anpassungen wir ändern von Main auf Aggressive Mode oder Wechsel der IKE Identities auf Key-Ids statt IPs oder Hostnamen begegnen muss 😉.

Grüße Uwe

p.s. bin heute nicht durchgehend online und unterwegs, Antworten meinerseits können sich also etwas verzögern.
Member: nachgefragt
nachgefragt Jun 26, 2024 at 07:38:40 (UTC)
Goto Top
Zitat von @ipzipzap:
Du sagst doch bestimmt auch niemandem, wenn er Dich fragt, wie man an seinem Merdedes das Bremslicht wechselt, das er sich doch besser einen VW kaufen soll.
Aber selbstverständlich, wenn dieser seit "Monaten(!)" bei Mercedes Probleme damit hat, darf man einen alternativen Blick wagen. Sicherheit im Verkehr ist wichtig, mich nerven ja schon die "erst-lenken-dann-blinken" Fahrer face-wink
Member: ipzipzap
ipzipzap Jun 26, 2024 updated at 13:00:36 (UTC)
Goto Top
Zitat von @nachgefragt:

Zitat von @ipzipzap:
Du sagst doch bestimmt auch niemandem, wenn er Dich fragt, wie man an seinem Merdedes das Bremslicht wechselt, das er sich doch besser einen VW kaufen soll.
Aber selbstverständlich, wenn dieser seit "Monaten(!)" bei Mercedes Probleme damit hat, darf man einen alternativen Blick wagen. Sicherheit im Verkehr ist wichtig, mich nerven ja schon die "erst-lenken-dann-blinken" Fahrer face-wink

Ich habe nicht seit Monaten(!) Probleme mit meinem Mercedes bzw. der Sophos, sondern mit OPNsense. Die Sophos laufen bei mir alle seit über 10 Jahren störungsfrei. Also müßtest Du mir eine Alternative zu OPNsense empfehlen face-wink
Member: ipzipzap
ipzipzap Jun 27, 2024 at 13:16:14 (UTC)
Goto Top
Hi Uwe,

ich hab's endlich gelöst bekommt. Bevor ich die Lösung hier reinschreibe, eine Frage an Dich: Nach was hättest du bei folgendem Fehler gesucht?

2024-06-25T23:05:45	Informational	charon	01[IKE] <dd49d09f-e0e3-4e78-8868-a155ce4447be|28> message parsing failed	
2024-06-25T23:05:45	Informational	charon	01[ENC] <dd49d09f-e0e3-4e78-8868-a155ce4447be|28> could not decrypt payloads	
2024-06-25T23:05:45	Informational	charon	01[ENC] <dd49d09f-e0e3-4e78-8868-a155ce4447be|28> invalid HASH_V1 payload length, decryption failed?

face-wink
Member: colinardo
colinardo Jun 27, 2024 updated at 13:29:07 (UTC)
Goto Top
Servus,
👍.
Nach was hättest du bei folgendem Fehler gesucht?
sieht auf den ersten Blick nach IKE ID Missmatch (Hostname/IP/IKE ID) bzw. Phase1 missconfig aus.

Grüße Uwe
Member: ipzipzap
Solution ipzipzap Jun 27, 2024 updated at 13:43:13 (UTC)
Goto Top
Genau. ID Mismatch dachte ich auch. Ich war damit aber komplett auf dem falschen Weg. Deswegen und wegen des "decryption failed" habe ich mich an den Verschlüsselungs-Settings festgebissen. Bis ich hierauf gestoßen bin:

https://github.com/strongswan/strongswan/discussions/297

Siehe die Antwort von Thermi:
set charon.max_ikev1_exchanges to like, 100 or so. The default is 3

Ich habe in den VPN-Einstellungen zwei Local Nets und zwei Remote Nets, was dann also logischerweise in vier SAs resultiert. Als ich die Antwort da las, machte es sofort 'klick'.

Nachdem ich dann unter
VPN -> IPSec -> Advanced Settings -> Maximum IKEv1 phase 2 exchanges

10 eingetragen hatte, war der Fehler weg und die Verbindung wurde aufgebaut.

cu,
ipzipzap

PS: Ich brauche langsam neue Tischkanten face-big-smile
Member: colinardo
colinardo Jun 27, 2024 updated at 15:01:04 (UTC)
Goto Top
Jepp IKEv1 und multiple SAs auf der OPNSense ja das ist gemein, fehlte leider in deinem kurzen Anforderungskatalog face-smile.

Zum Thema Sophos: Davon lass ich mittlerweile die Finger nachdem mein Evaluationstest vor einiger Zeit mit der Sophos Firewall (der große Bruder) eklatante Schwachstellen in der IPSec-Verarbeitung aufwies. Dort kann man nämlich mit einem IPSec Client der sich auf der Firewall einwählt den gesamten Traffic der Firewall flux über den Client umleiten da die SAs nicht geprüft werden und ein 0.0.0.0/0 klaglos akzeptiert wird, absolutes nogo. Wurde gemeldet, getan hat sich bisher nichts, so viel zum Thema Sicherheit bei Sophos.
Member: ipzipzap
ipzipzap Jun 27, 2024 updated at 14:47:50 (UTC)
Goto Top
Zitat von @colinardo:

Jepp IKEv1 und multiple SAs auf der OPNSense ja das ist gemein, fehlte leider in deinem kurzen Anforderungskatalog face-smile.

Zitat von @ipzipzap:
Dann klappen die Phase2 irgendwie nicht, manchmal aber plötzlich doch ohne das ich eine Änderung gemacht habe. Oder nur eine Phase2 und nicht mehr. Die SPD Liste ist auch leer.
Auf der Sophos sind aber immer alle Phase2-Verbindungen aufgebaut und alles grün.

Ich hatte von mehreren Phase2-Verbindungen geschrieben. Aber Ok, ich gebe zu, das war nicht ganz eindeutig face-wink
Ich wußte auch bis zu meiner Lösung nicht, das das wichtig wäre, sonst hätte ich es besser hervorgehoben.


Zum Thema Sophos: Davon lass ich mittlerweile die Finger nachdem mein Evaluationstest vor einiger Zeit mit der Sophos Firewall (der große Bruder) eklatante Schwachstellen in der IPSec-Verarbeitung aufwies. Dort kann man nämlich mit einem IPSec Client der sich auf der Firewall einwählt den gesamten Traffic der Firewall flux über den Client umleiten da die SAs nicht geprüft werden und ein 0.0.0.0/0 klaglos akzeptiert wird, absolutes nogo. Wurde gemeldet, getan hat sich bisher nichts, so viel zum Thema Sicherheit bei Sophos.

Ja, von der neuen XGS lasse ich auch die Finger face-big-smile Und die alten SG werden auch langsam nach und nach ersetzt.
Member: aqui
aqui Jun 27, 2024 updated at 14:59:03 (UTC)
Goto Top
Ich wußte auch bis zu meiner Lösung nicht, das das wichtig wäre
Zu mindestens bei der pfSense ist es das auch nicht. Dort kann man problemlos mehrere Phase2 SAs definieren ohne an den Settings rumschrauben zu müssen wie hier ein einfaches FritzBox Beispiel zeigt. Bei Mikrotik Routern ist das ebenso der Fall.
Verwunderlich das es auf der OPNsense scheinbar anders ist?! 🤔
Member: colinardo
colinardo Jun 27, 2024 updated at 15:20:00 (UTC)
Goto Top
Im Normalfall ist das auch kein Problem, aber der alte Sophos IPSec Client hält sich halt nicht an aktuelle charon Vorgaben was das SA Keying betrifft und haut wohl mehrere Exchanges parallel raus 😑.
Member: nachgefragt
nachgefragt Jun 28, 2024 updated at 09:00:33 (UTC)
Goto Top
OFF TOPIC
weil Freitag ist face-wink

Zitat von @ipzipzap:
Ich habe nicht seit Monaten(!) Probleme mit meinem Mercedes bzw. der Sophos, sondern mit OPNsense. Die Sophos laufen bei mir alle seit über 10 Jahren störungsfrei.
Ich hoffe wir suggerieren in dem Fall Mercedes nicht als Qualitätsprodukt face-wink

Wie überall, wenn's läuft dann läuft's, dann sind wir alle glücklich, mancher gibt sogar gleich 5/5 Sterne.

ABER wenn du mal eine Störung hast und den Sophos Support brauchst, also kein Systemhaus in DE (für 150€/h), sondern den Direktsupport aus Indien, dann kann sich deine Anspielung auf Mercedes evtl. schnell ändern.

OpenSource läuft schon lange per Austausch über Foren, auch bei Sophos (und viele andere Hersteller auch) wurde sowas eingeführt. Bei OpenSource sind i.d.R. aber die Lizenzkosten nicht so hoch wie bei Sophos, d.h. bei Sophos zahlst du sehr hohe Lizenzkosten, musst erst über den Forensupport und dann geht's nach Indien; in Summe kostet es also Zeit und Geld.
https://support.sophos.com/support/s/
https://forum.opnsense.org/

... lange Rede, kurzer Sinn: Ich lerne neuerdings das namenhafte Hersteller mit (hohen) Lizenzkosten kein Garant mehr für Qualität und Zuverlässigkeit sind, und teils von OpenSource abgehängt werden.