15
IPSec VPN zwischen OPNsense und Sophos UTM
Hallo,
ich versuche seit Monaten(!) immer wieder mal eine VPN-Verbindung einer OPNsense zu meiner Sophos UTM einzurichten. Alle Versuche zusammen gerechnet habe ich bestimmt schon eine Woche an Zeit damit verschwendet und bekomme es einfach nicht hin.
Jetzt brauche ich die Verbindung aber und habe keine Ahnung, wo mein Fehler liegt
Wie immer ist es wahrscheinlich nur irgendwo ein falsch gesetzter Haken 
Hat jemand eine funktionierende Anleitung, wie man eine Sophos UTM 9 mit einer aktuellen OPNsense per IPsec "Connections" (nicht Legacy) verbindet?
Danke im Voraus,
ipzipzap
ich versuche seit Monaten(!) immer wieder mal eine VPN-Verbindung einer OPNsense zu meiner Sophos UTM einzurichten. Alle Versuche zusammen gerechnet habe ich bestimmt schon eine Woche an Zeit damit verschwendet und bekomme es einfach nicht hin.
Jetzt brauche ich die Verbindung aber und habe keine Ahnung, wo mein Fehler liegt
Wie immer ist es wahrscheinlich nur irgendwo ein falsch gesetzter Haken Hat jemand eine funktionierende Anleitung, wie man eine Sophos UTM 9 mit einer aktuellen OPNsense per IPsec "Connections" (nicht Legacy) verbindet?
Danke im Voraus,
ipzipzap
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 51783490422
Url: https://administrator.de/contentid/51783490422
Ausgedruckt am: 28.09.2024 um 21:09 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
also wenn mein alten Sophoswalls auf dem Support laufen pack ich da OPNsense drauf.
https://www.youtube.com/watch?v=30iGe_312oE
Oder hängst du neben der UTM Hardware an der Software?
also wenn mein alten Sophoswalls auf dem Support laufen pack ich da OPNsense drauf.
https://www.youtube.com/watch?v=30iGe_312oE
Oder hängst du neben der UTM Hardware an der Software?
Servus.
Just for you:
(IKEv2 ist von der Sophos UTM nicht supported)
Nur für Test ein "allow all"
Grüße Uwe
Just for you:
OPNSense <> Sophos UTM Site2Site (IKEv1 PresharedKey)
(IKEv2 ist von der Sophos UTM nicht supported)Sophos UTM (Internal network 192.168.100.0/24)
OPNSense (Internal network 192.168.50.0/24)
Firewall (IPSec interface internal traffic)
Nur für Test ein "allow all"
Connection Result
Ping test OPNSense > Sophos
Ping test Sophos > OPNSense
Grüße Uwe
3
Danke Uwe für die super Anleitung; leider funktioniert es bei mir aber trotzdem nicht. Sitze schon wieder drei Stunden davor und finde den Fehler nicht.
Ich muß mich auf die OPNsense einwählen, also die Sophos baut die Verbindung auf. Dann klappen die Phase2 irgendwie nicht, manchmal aber plötzlich doch ohne das ich eine Änderung gemacht habe. Oder nur eine Phase2 und nicht mehr. Die SPD Liste ist auch leer.
Auf der Sophos sind aber immer alle Phase2-Verbindungen aufgebaut und alles grün.
Ich werd noch bekloppt hier
Ich muß mich auf die OPNsense einwählen, also die Sophos baut die Verbindung auf. Dann klappen die Phase2 irgendwie nicht, manchmal aber plötzlich doch ohne das ich eine Änderung gemacht habe. Oder nur eine Phase2 und nicht mehr. Die SPD Liste ist auch leer.
Auf der Sophos sind aber immer alle Phase2-Verbindungen aufgebaut und alles grün.
Ich werd noch bekloppt hier
Hallo,
also wenn mein alten Sophoswalls auf dem Support laufen pack ich da OPNsense drauf.
schön für Dich, trägt aber nicht zur Lösung des Problems bei und bringt mich somit nicht weiter. Du sagst doch bestimmt auch niemandem, wenn er Dich fragt, wie man an seinem Merdedes das Bremslicht wechselt, das er sich doch besser einen VW kaufen soll.
Oder hängst du neben der UTM Hardware an der Software?
Ja, bis zum bitteren Support-Ende! OPNsense kann halt nur einen Bruchteil der Sophos und das auch nur maximal kompliziert. Ich nutze an der Sophos noch den SMTP-Proxy mit Antispam, Antivirus und Quarantäne vor einem Exchange, die Wireless-Protection für ein paar APs, die WAF für eine Handvoll weiterer Dienste, LetsEncrypt, usw... Das läßt sich mit einer OPNsense so nicht abbilden.
Trotzdem danke für Deine Antwort und Deine Zeit.
cu,
ipzipzap
Zitat von @ipzipzap:
Ich muß mich auf die OPNsense einwählen, also die Sophos baut die Verbindung auf.
OK, dann muss das Remote GW auf der Sophos auf "Initiator" geändert werden und die OPNSense zum Responder.Ich muß mich auf die OPNsense einwählen, also die Sophos baut die Verbindung auf.
Dann klappen die Phase2 irgendwie nicht, manchmal aber plötzlich doch ohne das ich eine Änderung gemacht habe. Oder nur eine Phase2 und nicht mehr. Die SPD Liste ist auch leer.
Ein paar Fragen zur Umgebung bevor ich dir dafür entsprechende Anpassungen mitgebe :
- Werden IP-Adressen als Endpoints und auch als IKE-IDs benutzt, oder Hostnamen (DynDns oder fixe Domains)?
- Hat der Initiator einen DSLite Anschluss mit CG-NAT?
- Sind die IKE Identities auf beiden Seiten identisch eingetragen und lösen diese korrekt auf (IP-Adressen oder Hostnamen)?
- Firewall wurde für IPSec am WAN geöffnet? (500UDP, 4500UDP und Protokoll 50 ESP)
- Gibt es evt. vorgelagerte Router vor der OPNSense oder Sophos?
Für das Debugging ist es unerlässlich das du dir das VPN Log auf der OPNSense ansiehst und hier postest.
Dazu unter VPN > IPSec > Logfiles sämtliche Protokolle aktivieren bzw. den Haken setzen. Der Log zeigt nämlich ziemlich zuverlässig an was die Ursache bei dir ist.
Ich werd noch bekloppt hier
Nicht verzweifeln das bekommen wir zusammen auf jeden Fall hin sofern die Umgebungsparameter bei dir es zulassen, bei IPSec zählt eben jede Kleinigkeit, vor allem bei IKEv1 das je nach Anschluss einige Einschränkungen mit sich bringt denen man mit kleinen Anpassungen wir ändern von Main auf Aggressive Mode oder Wechsel der IKE Identities auf Key-Ids statt IPs oder Hostnamen begegnen muss 😉.Grüße Uwe
p.s. bin heute nicht durchgehend online und unterwegs, Antworten meinerseits können sich also etwas verzögern.
1Zitat von @ipzipzap:
Du sagst doch bestimmt auch niemandem, wenn er Dich fragt, wie man an seinem Merdedes das Bremslicht wechselt, das er sich doch besser einen VW kaufen soll.
Aber selbstverständlich, wenn dieser seit "Monaten(!)" bei Mercedes Probleme damit hat, darf man einen alternativen Blick wagen. Sicherheit im Verkehr ist wichtig, mich nerven ja schon die "erst-lenken-dann-blinken" Fahrer Du sagst doch bestimmt auch niemandem, wenn er Dich fragt, wie man an seinem Merdedes das Bremslicht wechselt, das er sich doch besser einen VW kaufen soll.
Zitat von @nachgefragt:
Zitat von @ipzipzap:
Du sagst doch bestimmt auch niemandem, wenn er Dich fragt, wie man an seinem Merdedes das Bremslicht wechselt, das er sich doch besser einen VW kaufen soll.
Aber selbstverständlich, wenn dieser seit "Monaten(!)" bei Mercedes Probleme damit hat, darf man einen alternativen Blick wagen. Sicherheit im Verkehr ist wichtig, mich nerven ja schon die "erst-lenken-dann-blinken" Fahrer Du sagst doch bestimmt auch niemandem, wenn er Dich fragt, wie man an seinem Merdedes das Bremslicht wechselt, das er sich doch besser einen VW kaufen soll.
Ich habe nicht seit Monaten(!) Probleme mit meinem Mercedes bzw. der Sophos, sondern mit OPNsense. Die Sophos laufen bei mir alle seit über 10 Jahren störungsfrei. Also müßtest Du mir eine Alternative zu OPNsense empfehlen
Hi Uwe,
ich hab's endlich gelöst bekommt. Bevor ich die Lösung hier reinschreibe, eine Frage an Dich: Nach was hättest du bei folgendem Fehler gesucht?
ich hab's endlich gelöst bekommt. Bevor ich die Lösung hier reinschreibe, eine Frage an Dich: Nach was hättest du bei folgendem Fehler gesucht?
2024-06-25T23:05:45 Informational charon 01[IKE] <dd49d09f-e0e3-4e78-8868-a155ce4447be|28> message parsing failed
2024-06-25T23:05:45 Informational charon 01[ENC] <dd49d09f-e0e3-4e78-8868-a155ce4447be|28> could not decrypt payloads
2024-06-25T23:05:45 Informational charon 01[ENC] <dd49d09f-e0e3-4e78-8868-a155ce4447be|28> invalid HASH_V1 payload length, decryption failed?
Servus,
👍.
Grüße Uwe
👍.
Nach was hättest du bei folgendem Fehler gesucht?
sieht auf den ersten Blick nach IKE ID Missmatch (Hostname/IP/IKE ID) bzw. Phase1 missconfig aus.Grüße Uwe
1
Genau. ID Mismatch dachte ich auch. Ich war damit aber komplett auf dem falschen Weg. Deswegen und wegen des "decryption failed" habe ich mich an den Verschlüsselungs-Settings festgebissen. Bis ich hierauf gestoßen bin:
https://github.com/strongswan/strongswan/discussions/297
Siehe die Antwort von Thermi:
Ich habe in den VPN-Einstellungen zwei Local Nets und zwei Remote Nets, was dann also logischerweise in vier SAs resultiert. Als ich die Antwort da las, machte es sofort 'klick'.
Nachdem ich dann unter
10 eingetragen hatte, war der Fehler weg und die Verbindung wurde aufgebaut.
cu,
ipzipzap
PS: Ich brauche langsam neue Tischkanten
https://github.com/strongswan/strongswan/discussions/297
Siehe die Antwort von Thermi:
set charon.max_ikev1_exchanges to like, 100 or so. The default is 3
Ich habe in den VPN-Einstellungen zwei Local Nets und zwei Remote Nets, was dann also logischerweise in vier SAs resultiert. Als ich die Antwort da las, machte es sofort 'klick'.
Nachdem ich dann unter
VPN -> IPSec -> Advanced Settings -> Maximum IKEv1 phase 2 exchanges
10 eingetragen hatte, war der Fehler weg und die Verbindung wurde aufgebaut.
cu,
ipzipzap
PS: Ich brauche langsam neue Tischkanten
Jepp IKEv1 und multiple SAs auf der OPNSense ja das ist gemein, fehlte leider in deinem kurzen Anforderungskatalog 
.
Zum Thema Sophos: Davon lass ich mittlerweile die Finger nachdem mein Evaluationstest vor einiger Zeit mit der Sophos Firewall (der große Bruder) eklatante Schwachstellen in der IPSec-Verarbeitung aufwies. Dort kann man nämlich mit einem IPSec Client der sich auf der Firewall einwählt den gesamten Traffic der Firewall flux über den Client umleiten da die SAs nicht geprüft werden und ein 0.0.0.0/0 klaglos akzeptiert wird, absolutes nogo. Wurde gemeldet, getan hat sich bisher nichts, so viel zum Thema Sicherheit bei Sophos.
.Zum Thema Sophos: Davon lass ich mittlerweile die Finger nachdem mein Evaluationstest vor einiger Zeit mit der Sophos Firewall (der große Bruder) eklatante Schwachstellen in der IPSec-Verarbeitung aufwies. Dort kann man nämlich mit einem IPSec Client der sich auf der Firewall einwählt den gesamten Traffic der Firewall flux über den Client umleiten da die SAs nicht geprüft werden und ein 0.0.0.0/0 klaglos akzeptiert wird, absolutes nogo. Wurde gemeldet, getan hat sich bisher nichts, so viel zum Thema Sicherheit bei Sophos.
1Zitat von @colinardo:
Jepp IKEv1 und multiple SAs auf der OPNSense ja das ist gemein, fehlte leider in deinem kurzen Anforderungskatalog.
Jepp IKEv1 und multiple SAs auf der OPNSense ja das ist gemein, fehlte leider in deinem kurzen Anforderungskatalog
.Zitat von @ipzipzap:
Dann klappen die Phase2 irgendwie nicht, manchmal aber plötzlich doch ohne das ich eine Änderung gemacht habe. Oder nur eine Phase2 und nicht mehr. Die SPD Liste ist auch leer.
Auf der Sophos sind aber immer alle Phase2-Verbindungen aufgebaut und alles grün.
Dann klappen die Phase2 irgendwie nicht, manchmal aber plötzlich doch ohne das ich eine Änderung gemacht habe. Oder nur eine Phase2 und nicht mehr. Die SPD Liste ist auch leer.
Auf der Sophos sind aber immer alle Phase2-Verbindungen aufgebaut und alles grün.
Ich hatte von mehreren Phase2-Verbindungen geschrieben. Aber Ok, ich gebe zu, das war nicht ganz eindeutig
Ich wußte auch bis zu meiner Lösung nicht, das das wichtig wäre, sonst hätte ich es besser hervorgehoben.
Zum Thema Sophos: Davon lass ich mittlerweile die Finger nachdem mein Evaluationstest vor einiger Zeit mit der Sophos Firewall (der große Bruder) eklatante Schwachstellen in der IPSec-Verarbeitung aufwies. Dort kann man nämlich mit einem IPSec Client der sich auf der Firewall einwählt den gesamten Traffic der Firewall flux über den Client umleiten da die SAs nicht geprüft werden und ein 0.0.0.0/0 klaglos akzeptiert wird, absolutes nogo. Wurde gemeldet, getan hat sich bisher nichts, so viel zum Thema Sicherheit bei Sophos.
Ja, von der neuen XGS lasse ich auch die Finger
Und die alten SG werden auch langsam nach und nach ersetzt.
Ich wußte auch bis zu meiner Lösung nicht, das das wichtig wäre
Zu mindestens bei der pfSense ist es das auch nicht. Dort kann man problemlos mehrere Phase2 SAs definieren ohne an den Settings rumschrauben zu müssen wie hier ein einfaches FritzBox Beispiel zeigt. Bei Mikrotik Routern ist das ebenso der Fall.Verwunderlich das es auf der OPNsense scheinbar anders ist?! 🤔
Im Normalfall ist das auch kein Problem, aber der alte Sophos IPSec Client hält sich halt nicht an aktuelle charon Vorgaben was das SA Keying betrifft und haut wohl mehrere Exchanges parallel raus 😑.
1
OFF TOPIC
weil Freitag ist
Wie überall, wenn's läuft dann läuft's, dann sind wir alle glücklich, mancher gibt sogar gleich 5/5 Sterne.
ABER wenn du mal eine Störung hast und den Sophos Support brauchst, also kein Systemhaus in DE (für 150€/h), sondern den Direktsupport aus Indien, dann kann sich deine Anspielung auf Mercedes evtl. schnell ändern.
OpenSource läuft schon lange per Austausch über Foren, auch bei Sophos (und viele andere Hersteller auch) wurde sowas eingeführt. Bei OpenSource sind i.d.R. aber die Lizenzkosten nicht so hoch wie bei Sophos, d.h. bei Sophos zahlst du sehr hohe Lizenzkosten, musst erst über den Forensupport und dann geht's nach Indien; in Summe kostet es also Zeit und Geld.
https://support.sophos.com/support/s/
https://forum.opnsense.org/
... lange Rede, kurzer Sinn: Ich lerne neuerdings das namenhafte Hersteller mit (hohen) Lizenzkosten kein Garant mehr für Qualität und Zuverlässigkeit sind, und teils von OpenSource abgehängt werden.
weil Freitag ist
Zitat von @ipzipzap:
Ich habe nicht seit Monaten(!) Probleme mit meinem Mercedes bzw. der Sophos, sondern mit OPNsense. Die Sophos laufen bei mir alle seit über 10 Jahren störungsfrei.
Ich hoffe wir suggerieren in dem Fall Mercedes nicht als Qualitätsprodukt Ich habe nicht seit Monaten(!) Probleme mit meinem Mercedes bzw. der Sophos, sondern mit OPNsense. Die Sophos laufen bei mir alle seit über 10 Jahren störungsfrei.
Wie überall, wenn's läuft dann läuft's, dann sind wir alle glücklich, mancher gibt sogar gleich 5/5 Sterne.
ABER wenn du mal eine Störung hast und den Sophos Support brauchst, also kein Systemhaus in DE (für 150€/h), sondern den Direktsupport aus Indien, dann kann sich deine Anspielung auf Mercedes evtl. schnell ändern.
OpenSource läuft schon lange per Austausch über Foren, auch bei Sophos (und viele andere Hersteller auch) wurde sowas eingeführt. Bei OpenSource sind i.d.R. aber die Lizenzkosten nicht so hoch wie bei Sophos, d.h. bei Sophos zahlst du sehr hohe Lizenzkosten, musst erst über den Forensupport und dann geht's nach Indien; in Summe kostet es also Zeit und Geld.
https://support.sophos.com/support/s/
https://forum.opnsense.org/
... lange Rede, kurzer Sinn: Ich lerne neuerdings das namenhafte Hersteller mit (hohen) Lizenzkosten kein Garant mehr für Qualität und Zuverlässigkeit sind, und teils von OpenSource abgehängt werden.
1
