itsjokaful
Goto Top

OpenVPN - Sophos - iOS

Servus,

aktuell versuche ich auf einem Tablet (iPad Pro 2. Generation) Version 14.6 eine VPN Verbindung via OpenVPN aufzubauen.

Die ovpn Datei wurde von unserer Firewall (Sophos) erstellt.
Auf einem Android Handy funktioniert der Import in der OpenVPN Connect App.

Bei dem Tablet bekomme ich folgende Fehlermeldung dafür:

Failed to Import Profile
Failed to parse profile: option: remote option not specified

client
dev tun
proto udp
explicit-exit-notify
;verify-x509-name "C=DE, ST=NA, L=XStadtX, O=XXXGmbH, OU=OU, CN=SophosApplianceCertificate_SXXXXX, emailAddress=E-MAIL"  
;route remote_host 255.255.255.255 net_gateway
resolv-retry infinite
nobind
persist-key
persist-tun
<ca>
-----BEGIN CERTIFICATE-----
XXX
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
XXX
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
XXX
-----END RSA PRIVATE KEY-----
</key>
auth-user-pass
cipher AES-128-CBC
auth SHA256
comp-lzo yes
;can_save no
;otp no
;run_logon_script no
;auto_connect 
route-delay 4
verb 3
reneg-sec 86400
remote X.X.X.X 8443
remote X.X.X.X 8443

Content-ID: 3320799983

Url: https://administrator.de/forum/openvpn-sophos-ios-3320799983.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

DerMaddin
Lösung DerMaddin 12.07.2022 um 14:42:34 Uhr
Goto Top
Schau dir die letzten zwei Beiträge: Link
108012
108012 12.07.2022 um 14:46:43 Uhr
Goto Top
Hallo,

das iOS kann meist IPSec VPN "out of the box" warum das nicht nehmen?

Dobby
aqui
aqui 12.07.2022 aktualisiert um 15:14:28 Uhr
Goto Top
Die o.a. Client Konfiguration hat auch fatale Security Fehler die man nicht mehr machen sollte:
https://community.openvpn.net/openvpn/wiki/VORACLE
Compression gehört also auf keinen Fall mehr in eine OpenVPN Konfig mit Endgeräten die öffentliche Adressen tragen. Ist zudem sinnfrei weil 90% der Daten schon durch die Applikationen vorkomprimiert sind.
Von den doppelten remote Einträgen jetzt mal nicht zu reden.
das iOS kann meist IPSec VPN "out of the box" warum das nicht nehmen?
Das fragst wohl nicht nur du dich. Nicht nur iOS kann das sondern Android und alle anderen auch. Zumal die Sophos wie fast alle anderen Firewalls auch IKEv2 supportet.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
L2TP kann sie wie andere auch:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
2 deutlich bessere Alternativen also. Im Hinblick darauf fragt man sich warum man dann das durchs single Threading auch noch in der Performance erheblich schlechtere OpenVPN nutzt.
perf
Aber jeder darf ja frei wählen... face-wink
DerMaddin
DerMaddin 12.07.2022 um 15:19:44 Uhr
Goto Top
IPsec schön und gut aber die Performance alleine reicht oft nicht aus. SSL VPN kann man granularer steuern wer wohin was nutzen darf. Abgesehen davon kann man mit SSL VPN auch Clientless über den Browser ins Netzwerk kommen (Beispiel RD-Web Access).
aqui
aqui 12.07.2022 aktualisiert um 15:34:42 Uhr
Goto Top
SSL VPN kann man granularer steuern wer wohin was nutzen darf.
Auf einer Firewall darf man an dieser doch sehr gewagten Aussage aber mal mehr als ein Fragezeichen machen. Das stimmt so pauschal nicht.
auch Clientless über den Browser ins Netzwerk kommen
Das ist sicher richtig, erfordert dann aber meist ein (proprietäres) Plugin auf dem Browser und ob das dann wieder embeddete Browser auf tragbaren Geräten mitmachen ist eine andere Frage. Auch sicherheitstechnisch hat sowas immer ein Geschmäckle. Kommt also letztlich auf die Anwendung an und was man genau machen will. Wie immer gibt es keine alles schlagende Ideallösung.
Es gibt ja bekanntlich viele Wege nach Rom und deshalb wollen wir den Thread nicht kapern. face-wink
DerMaddin
DerMaddin 12.07.2022 um 15:43:16 Uhr
Goto Top
Zitat von @aqui:

Auf einer Firewall darf man an dieser doch sehr gewagten Aussage aber mal mehr als ein Fragezeichen machen. Das stimmt so pauschal nicht.

Pauschal stimmt das so zwar nicht aber wer möchte schon für jede Anwendergruppe, Applikation und Ziel im Netzwerk eine eigene Regel erstellen. Du etwa?

Das ist sicher richtig, erfordert dann aber meist ein (proprietäres) Plugin auf dem Browser und ob das dann wieder embeddete Browser auf tragbaren Geräten mitmachen ist eine andere Frage.

Nein! Sophos Clientless VPN erfordert keine Plugins.

Es gibt ja bekanntlich viele Wege nach Rom und deshalb wollen wir den Thread nicht kapern. face-wink

Der Weg heißt hier SSL VPN und man muss nicht zwingender Weise Alternativen aufzählen und die Vorzüge auflisten ohne die Nachteile zu nennen. Vielleicht ist SSL VPN nun mal aus uns unbekannten Gründen die einzige nutzbare VPN Art für den Themenersteller.
108012
108012 12.07.2022 um 15:48:15 Uhr
Goto Top
IPsec schön und gut aber die Performance alleine reicht oft nicht aus
Ok das mag zwar stimmen, aber so pauschal ist das dann ben doch nicht.

Die Sophos kann IPSec und iOS auch, und damit bekommt man es dann auch schnell "zum fliegen".
IPSec ist kampferprobt, OpenVPN der defacto Standard und WireGuard der Hoffnungsträger am Firnament.
Mag ja auch alles angehen, nur VPN ist eben immer eine zweiseitige Sache! Habe ich auf beiden Seiten die
Möglichkeit AES-NI zu aktivieren ist das am besten, ist auf beiden Seiten QAT ist das die derzeit beste Lösung
um den Durchsatz zu "pushen". Und das iPad ist eben auch nicht so das starke Gerät, kann aber IPSec von
Hause aus. Und wenn der Durchsatz immer nicht hoch genug ist kann man sich immer noch nach einer
anderen VPN Methode umschauen.

Dobby
ItsJokaful
ItsJokaful 12.07.2022 um 16:59:40 Uhr
Goto Top
Zitat von @DerMaddin:

Schau dir die letzten zwei Beiträge: Link

Danke dir, hat funktioniert. Habe es über OneDrive gezogen.


Zitat von @108012:

Hallo,

das iOS kann meist IPSec VPN "out of the box" warum das nicht nehmen?

Dobby

Ja iOS kann IPSec hat auch funktioniert, habe ich später dann auch getestet.
Allerdings stellt Sophos die ovpn Datei (inkl. einen installer bei Windows) gleich zur Verfügung, daher kam OpenVPN mir als ersten in den Gedanken.

Zitat von @aqui:

Die o.a. Client Konfiguration hat auch fatale Security Fehler die man nicht mehr machen sollte:
https://community.openvpn.net/openvpn/wiki/VORACLE
Compression gehört also auf keinen Fall mehr in eine OpenVPN Konfig mit Endgeräten die öffentliche Adressen tragen. Ist zudem sinnfrei weil 90% der Daten schon durch die Applikationen vorkomprimiert sind.
Von den doppelten remote Einträgen jetzt mal nicht zu reden.
das iOS kann meist IPSec VPN "out of the box" warum das nicht nehmen?
Das fragst wohl nicht nur du dich. Nicht nur iOS kann das sondern Android und alle anderen auch. Zumal die Sophos wie fast alle anderen Firewalls auch IKEv2 supportet.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
L2TP kann sie wie andere auch:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
2 deutlich bessere Alternativen also. Im Hinblick darauf fragt man sich warum man dann das durchs single Threading auch noch in der Performance erheblich schlechtere OpenVPN nutzt.
perf
Aber jeder darf ja frei wählen... face-wink

Compression kommt raus. Danke
Sind keine Doppel-Einträge --> Failover
108012
108012 12.07.2022 um 18:33:31 Uhr
Goto Top
Allerdings stellt Sophos die ovpn Datei (inkl. einen installer bei Windows) gleich zur Verfügung, daher
kam OpenVPN mir als ersten in den Gedanken.
Ok das man sich darum dann immer noch kümmert ist doch wohl eher Makulatur oder nicht?
Aber erst einmal hat man ein laufendes oder funktionierendes VPN.

Dobby
aqui
aqui 12.07.2022 aktualisiert um 20:03:01 Uhr
Goto Top
wer möchte schon für jede Anwendergruppe, Applikation und Ziel im Netzwerk eine eigene Regel erstellen.
Verantwortungsvolle Netzwerker machen sowas. Auch bei einem SSL VPN wie OpenVPN oder Wireguard musst du das machen. Nur mit VPN Konfig Mitteln kannst du das nicht kontrollieren. Zumindestens nicht bei dien 2 SSL Vertretern.
Die Sophos clientless Access VPN Funktion über HTML 5 ist proprietär und kein Standard. Erzwingt also immer Sophos Hardware und damit eine Bindung an den Hersteller (Vendor Lock) was nicht von jedem gewollt ist. Zudem ist diese Funktion fest auf nur wenige Protokolle beschränkt. Bei XG-Firewalls: RDP, Telnet, SSH, FTP, FTPS, SFTP, SMB und VNC und bei UTM-Firewalls:RDP,Telnet,SSH,VNC, HTTP und HTTPS. VoIP Telefonie oder andere Dienste sind davon also in einem solchen Client VPN ausgenommen.
Als Nischenanwendung sicher nutzbar für den einen oder anderen der z.B. nur RDP macht wenn man mit der Hersteller Bindung leben kann. Langfristig aber keine gute und skalierbare VPN Lösung da eben nicht Standard konform.
Wie du schon sehr richtig bemerkt hast: "...und die Vorzüge auflisten ohne die Nachteile zu nennen."
daher kam OpenVPN mir als ersten in den Gedanken.
Den man nie trauen sollte und immer hinterfragen sollte. face-wink Immer Frickelei mit systemfremden, extra VPN Clients, keine Skalierbarkeit und miese Performance durch single Threading.
Wenn man aber damit leben kann ist das natürlich absolut OK. Deshalb gibt es ja die freie Wahl bei den VPN Protokollen. Sollte ja auch nur ein kleiner Anstoß sein dein Design ggf. zu überdenken.
Case closed...
ItsJokaful
ItsJokaful 13.07.2022 um 11:00:52 Uhr
Goto Top
Danke euch,
ich werde mir mal die IPsec Verbindung bei Sophos genauer anschauen & ggf. umstellen.


Zitat von @aqui:

wer möchte schon für jede Anwendergruppe, Applikation und Ziel im Netzwerk eine eigene Regel erstellen.
Verantwortungsvolle Netzwerker machen sowas.

Das Ziel (+-) verfolgen wir tatsächlich auch face-smile