Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst IPSEC VPN zwischen Sophos XG und Fortigate

Mitglied: Finchen961988

Finchen961988 (Level 2) - Jetzt verbinden

27.07.2020 um 19:23 Uhr, 313 Aufrufe, 10 Kommentare

Hallo,

ich möchte eine VPN IKEv2 Verbindung zwischen einer SOPHOS XG 17.5 und einer virtuellen Fortigate in Azure aufbauen, bekomme aber immer wieder den Fehler Authentication_Failed im Log der Fortigate.

Da ich das nu abends schreibe habe ich die IPs nicht im Kopf also werde ich welche symbolisch nehmen.

Sophos XG
öffentliche IP: 217.25.99.25
internes Netz: 192.168.20.0/24

Fortigate (Azure)
offentliche Azure IP: 13.55.78.45
genattete IP (Port2 der Forti): 10.3.2.0/24

Laut dem Log bzw. mitsniffen wird die Phase1 aufgebaut aber sobald die Phase2 kommt bekomme ich den Fehler "Authentication_Failed"

Ich habe nach der Anleitung gearbeitet
Establish-IPsec-VPN-Connection-between-Sophos-and-Fortigate-with-IKEv2

Ich habe auch bei der Fortigate die PEER-ID von auto auf FQDN und mal auf IP geändert, genauso habe ich in der Fortigate von custom auf dailup gestellt und die XG als initiator eingestellt.
Genauso habe ich in der XG als LOCALE ID als eintrag DNS/IP gewählt.

Es gibt in beiden Firewall IPSEC Regeln, die Netze sind auch angelegt.

Fakt ist der Tunnel wird nicht aufgebaut.

Ein IKEv1 Tunneln von einer Sophos UTM Funktioniert und von einer Watchguard auch.

Hat hier noch einer eine IDEE?

Mfg
Finchen
Mitglied: aqui
LÖSUNG 27.07.2020 um 21:04 Uhr
  • Krypto Credentials in der Phase 2 stimmen bzw. sind auf beiden Seiten identisch ?
  • PFS in der Phase 2 ist auf beiden Seiten entweder aus oder an ?
Authentication Fehler besagt eigentlich nur 2 Dinge
1.) Die Peer ID ist nicht beidseitig gleich bzw. im gleichen Mode. Das muss entweder IP, FQDN oder UserFQDN sein und beidseitig gleich
2.) Das PSK ist nicht gleich
Wenn du beidseitig öffentliche IPs an den Tunnel Endpunkten hast ohne jegliches NAT oder Port Forwarding solltest du immer die Peer IPs nehmen und beide Seiten als Initiator definieren.
Bitte warten ..
Mitglied: chgorges
LÖSUNG 27.07.2020 um 22:12 Uhr
3 Dinge, bei vielen Firewalls kommt der Authentication Error auch irrtümlich, wenn die Remote Subnet-Angabe fehlt oder falsch ist.
Bitte warten ..
Mitglied: BernhardMeierrose
LÖSUNG 27.07.2020 um 22:40 Uhr
Moin,

was sagt denn die Sophos IPSec-Policy zu den Parametern, insbesondere den DH-Gruppen? Sophos hat wohl relativ lange noch MODP_1024 als Standard genutzt.

Gruß
Bernhard
Bitte warten ..
Mitglied: aqui
28.07.2020, aktualisiert um 10:19 Uhr
Sophos hat wohl relativ lange noch MODP_1024 als Standard genutzt.
Nutzt aktuell (UTM) die recht exotische Group 5 (1536) die sonst kein anderer nutzt. Üblich sind da eher 2 und 14.
Das könnte ein möglicher Grund sein !
Leider gibts zu den wirklich relevanten Dingen trotz Nachfrage ja keinerlei Feedback vom TO.
Bitte warten ..
Mitglied: Finchen961988
28.07.2020 um 14:41 Uhr
Hallo,
die PFS sind an beiden Seiten gleich.
Peer ID, steht nun auf beiden Seiten auf IP
PSK ist gleich
Bitte warten ..
Mitglied: Finchen961988
28.07.2020 um 14:41 Uhr
Das Remote Subnet habe ich nochmal geprüft ob ich in der Maske oder so ein dreher habe,
Bitte warten ..
Mitglied: Finchen961988
28.07.2020 um 14:42 Uhr
Ich habe die diffie Groupe auf beiden seite auf 2 und 14 gesetzt.
Und es funktionierte nicht.
Bitte warten ..
Mitglied: Finchen961988
28.07.2020 um 14:43 Uhr
Ich werde heute abend noch mal testen!
Bitte warten ..
Mitglied: aqui
28.07.2020 um 16:35 Uhr
Statt 4, die Community verwirrender Einzelthreads im Sekundentakt, hätte man diese intelligent in einen einzigen zusammenfassen können !
Aber warum übersichtlich machen....?!
Crypto Credentails auch gleich auf beiden Seiten im Phase 1 und Phase 2 ??
Ich werde heute abend noch mal testen!
Und bitte dann detailierte (Sys)Log Messages von beiden Seiten wenn vorhanden !!
Bitte warten ..
Mitglied: Finchen961988
29.07.2020 um 11:27 Uhr
So ich habe den Fehler gefunden und zwar ja ihr alle hattet recht es lag an den IDs
und zwar an der VPN ID die von der Fortigate gesendet wird.
Sobald ich dort eine IP-Adresse als ID eintrage, funktioniert es nicht, auch wenn ich der FortiGate sage, es soll FQDN sein.
Ich habe da nun als ID "Finchen-Test" eingetragen und in der Sophos den Entfernten ID-TYP als DNS ausgewählt und unter Entfernte-ID "Finchen-Test" eingetragen und schon hat es funktioniert.

Ich habe auch die Sophos mehrmals neugestartet um zu testen ob der VPN-Tunnel sich aufbaut.

Vielen Dank!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Sophos XG VPN IPSec und Site 2 Site
Frage von ITAllrounderRouter & Routing3 Kommentare

Guten Morgen zusammen, ich bin mit meinem Netzwerk Latein aktuell leider am Ende und kann vor lauter IP Subnetzen ...

Router & Routing
Sophos XG Lancom Site to Site VPN
Frage von webser85Router & Routing16 Kommentare

Hallo zusammen, ich habe seit geraumer Zeit eine Sophos XG im Einsatz. an drei Außenenstandorten befinden sich Lancom 1783 ...

Router & Routing
VPN mit Fritzbox und Sophos XG 105
gelöst Frage von Gawo89Router & Routing15 Kommentare

Hallo zusammen, ich hätte da eine Frage bezüglich der richtigen Konfiguration der Routen in der Fritzbox bzw. in der ...

Firewall
Verwaltung von mehren Sophos XG
Frage von chnie123Firewall

Hallo Zusammen, es gibt ja mehrere Möglichkeiten eine Sophos XG zentral zu verwalten. Ich bin zur Zeit auf der ...

Neue Wissensbeiträge
Microsoft
Manage USB Devices on Windows Hosts
Ticker von Dani vor 42 MinutenMicrosoft1 Kommentar

Raven is a Miniature Schnauzer that doesn’t like small critters in the yard unless they can fly. This gives ...

Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 3 TagenMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 3 TagenVirtualisierung1 Kommentar

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 3 TagenFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Heiß diskutierte Inhalte
Backup
Gesicherter Backupserver gesucht
gelöst Frage von lcer00Backup16 Kommentare

Hallo zusammen, ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: DerWoWusste Danke für den Link ...

Windows Server
Win Server2016 Datacenter Installation Frage
Frage von UschadeWindows Server15 Kommentare

Hallo vereehrte Kolleginnen und Kollegen, Ich versuche einen Win Server2016 Datacenter zu installieren. Das Blech ist ein Fujitsu Primergy ...

Router & Routing
VPN Performance verbessern
Frage von JseidiRouter & Routing15 Kommentare

Hallo zusammen, Ich benötige einmal ein paar Tips von euch. Die Ausgangssitustion ist wie folgt: Standort 1: VDSL100 mit ...

Windows Server
Hochstufen zum DC aufgrund Replikationsproblemen nicht möglich
Frage von FlinxitWindows Server9 Kommentare

Hallo, Wir haben ein Netzwerk übernommen, in welchem ein DC momentan aktiv ist, ein weiterer im AD angegebener DC ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN