10
IPSEC VPN zwischen Sophos XG und Fortigate
Hallo,
ich möchte eine VPN IKEv2 Verbindung zwischen einer SOPHOS XG 17.5 und einer virtuellen Fortigate in Azure aufbauen, bekomme aber immer wieder den Fehler Authentication_Failed im Log der Fortigate.
Da ich das nu abends schreibe habe ich die IPs nicht im Kopf also werde ich welche symbolisch nehmen.
Sophos XG
öffentliche IP: 217.25.99.25
internes Netz: 192.168.20.0/24
Fortigate (Azure)
offentliche Azure IP: 13.55.78.45
genattete IP (Port2 der Forti): 10.3.2.0/24
Laut dem Log bzw. mitsniffen wird die Phase1 aufgebaut aber sobald die Phase2 kommt bekomme ich den Fehler "Authentication_Failed"
Ich habe nach der Anleitung gearbeitet
Establish-IPsec-VPN-Connection-between-Sophos-and-Fortigate-with-IKEv2
Ich habe auch bei der Fortigate die PEER-ID von auto auf FQDN und mal auf IP geändert, genauso habe ich in der Fortigate von custom auf dailup gestellt und die XG als initiator eingestellt.
Genauso habe ich in der XG als LOCALE ID als eintrag DNS/IP gewählt.
Es gibt in beiden Firewall IPSEC Regeln, die Netze sind auch angelegt.
Fakt ist der Tunnel wird nicht aufgebaut.
Ein IKEv1 Tunneln von einer Sophos UTM Funktioniert und von einer Watchguard auch.
Hat hier noch einer eine IDEE?
Mfg
Finchen
ich möchte eine VPN IKEv2 Verbindung zwischen einer SOPHOS XG 17.5 und einer virtuellen Fortigate in Azure aufbauen, bekomme aber immer wieder den Fehler Authentication_Failed im Log der Fortigate.
Da ich das nu abends schreibe habe ich die IPs nicht im Kopf also werde ich welche symbolisch nehmen.
Sophos XG
öffentliche IP: 217.25.99.25
internes Netz: 192.168.20.0/24
Fortigate (Azure)
offentliche Azure IP: 13.55.78.45
genattete IP (Port2 der Forti): 10.3.2.0/24
Laut dem Log bzw. mitsniffen wird die Phase1 aufgebaut aber sobald die Phase2 kommt bekomme ich den Fehler "Authentication_Failed"
Ich habe nach der Anleitung gearbeitet
Establish-IPsec-VPN-Connection-between-Sophos-and-Fortigate-with-IKEv2
Ich habe auch bei der Fortigate die PEER-ID von auto auf FQDN und mal auf IP geändert, genauso habe ich in der Fortigate von custom auf dailup gestellt und die XG als initiator eingestellt.
Genauso habe ich in der XG als LOCALE ID als eintrag DNS/IP gewählt.
Es gibt in beiden Firewall IPSEC Regeln, die Netze sind auch angelegt.
Fakt ist der Tunnel wird nicht aufgebaut.
Ein IKEv1 Tunneln von einer Sophos UTM Funktioniert und von einer Watchguard auch.
Hat hier noch einer eine IDEE?
Mfg
Finchen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 591198
Url: https://administrator.de/contentid/591198
Printed on: April 27, 2024 at 23:04 o'clock
10 Comments
Latest comment
- Krypto Credentials in der Phase 2 stimmen bzw. sind auf beiden Seiten identisch ?
- PFS in der Phase 2 ist auf beiden Seiten entweder aus oder an ?
1.) Die Peer ID ist nicht beidseitig gleich bzw. im gleichen Mode. Das muss entweder IP, FQDN oder UserFQDN sein und beidseitig gleich
2.) Das PSK ist nicht gleich
Wenn du beidseitig öffentliche IPs an den Tunnel Endpunkten hast ohne jegliches NAT oder Port Forwarding solltest du immer die Peer IPs nehmen und beide Seiten als Initiator definieren.
3 Dinge, bei vielen Firewalls kommt der Authentication Error auch irrtümlich, wenn die Remote Subnet-Angabe fehlt oder falsch ist.
Moin,
was sagt denn die Sophos IPSec-Policy zu den Parametern, insbesondere den DH-Gruppen? Sophos hat wohl relativ lange noch MODP_1024 als Standard genutzt.
Gruß
Bernhard
was sagt denn die Sophos IPSec-Policy zu den Parametern, insbesondere den DH-Gruppen? Sophos hat wohl relativ lange noch MODP_1024 als Standard genutzt.
Gruß
Bernhard
Sophos hat wohl relativ lange noch MODP_1024 als Standard genutzt.
Nutzt aktuell (UTM) die recht exotische Group 5 (1536) die sonst kein anderer nutzt. Üblich sind da eher 2 und 14.Das könnte ein möglicher Grund sein !
Leider gibts zu den wirklich relevanten Dingen trotz Nachfrage ja keinerlei Feedback vom TO.
Hallo,
die PFS sind an beiden Seiten gleich.
Peer ID, steht nun auf beiden Seiten auf IP
PSK ist gleich
die PFS sind an beiden Seiten gleich.
Peer ID, steht nun auf beiden Seiten auf IP
PSK ist gleich
Das Remote Subnet habe ich nochmal geprüft ob ich in der Maske oder so ein dreher habe,
Ich habe die diffie Groupe auf beiden seite auf 2 und 14 gesetzt.
Und es funktionierte nicht.
Und es funktionierte nicht.
Ich werde heute abend noch mal testen!
Statt 4, die Community verwirrender Einzelthreads im Sekundentakt, hätte man diese intelligent in einen einzigen zusammenfassen können !
Aber warum übersichtlich machen....?!
Crypto Credentails auch gleich auf beiden Seiten im Phase 1 und Phase 2 ??
Aber warum übersichtlich machen....?!
Crypto Credentails auch gleich auf beiden Seiten im Phase 1 und Phase 2 ??
Ich werde heute abend noch mal testen!
Und bitte dann detailierte (Sys)Log Messages von beiden Seiten wenn vorhanden !!
So ich habe den Fehler gefunden und zwar ja ihr alle hattet recht es lag an den IDs
und zwar an der VPN ID die von der Fortigate gesendet wird.
Sobald ich dort eine IP-Adresse als ID eintrage, funktioniert es nicht, auch wenn ich der FortiGate sage, es soll FQDN sein.
Ich habe da nun als ID "Finchen-Test" eingetragen und in der Sophos den Entfernten ID-TYP als DNS ausgewählt und unter Entfernte-ID "Finchen-Test" eingetragen und schon hat es funktioniert.
Ich habe auch die Sophos mehrmals neugestartet um zu testen ob der VPN-Tunnel sich aufbaut.
Vielen Dank!
und zwar an der VPN ID die von der Fortigate gesendet wird.
Sobald ich dort eine IP-Adresse als ID eintrage, funktioniert es nicht, auch wenn ich der FortiGate sage, es soll FQDN sein.
Ich habe da nun als ID "Finchen-Test" eingetragen und in der Sophos den Entfernten ID-TYP als DNS ausgewählt und unter Entfernte-ID "Finchen-Test" eingetragen und schon hat es funktioniert.
Ich habe auch die Sophos mehrmals neugestartet um zu testen ob der VPN-Tunnel sich aufbaut.
Vielen Dank!
