Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sophos XG Lancom Site to Site VPN

Mitglied: webser85

webser85 (Level 1) - Jetzt verbinden

29.09.2019, aktualisiert 30.09.2019, 1753 Aufrufe, 16 Kommentare

Hallo zusammen,

ich habe seit geraumer Zeit eine Sophos XG im Einsatz.
an drei Außenenstandorten befinden sich Lancom 1783 Router.
Diese sollen eine VPN Verbindung zur Sophos aufbauen um die Standorte zu verbinden.

Leider bekomme ich es beim Besten Willen nicht hin .....

Alle Standorte sind über DynDns erreichbar.


Wäre eine tolle Sache, wenn mir jemand weiterhelfen könnte.


Viele Grüße

Christian
Mitglied: Mikrofonpartner
29.09.2019 um 19:55 Uhr
Hallo

Woran scheitert es denn? Fehlermeldungen in den Logs analysiert?

Hast du dir schonmal das Tutorial angeschaut?

http://neise.de/sophos-utm-astaro/site-to-site-vpn/site-to-site-vpn.htm ...

Gruß Mikro
Bitte warten ..
Mitglied: webser85
29.09.2019 um 20:08 Uhr
Hallo Mirco,

ja, die Anleitung in dem Link hatte ich auch schon auf dem Schirm ;)
Die Unterschiede zur XG scheinen aber doch nicht ganz unwesentlich zu sein.

Ich komme so übergaupt nicht klar ....
Vieleicht kann sich jemand im Forum dazu bereit erklären eine Teamviewer Sitzung abzuhalten ?

Sophos ist ohnehin noch völliges Neuland für mich ....

Grüße
Christian
Bitte warten ..
Mitglied: Mikrofonpartner
29.09.2019, aktualisiert um 20:34 Uhr
Zitat von webser85:
ja, die Anleitung in dem Link hatte ich auch schon auf dem Schirm ;)
Die Unterschiede zur XG scheinen aber doch nicht ganz unwesentlich zu sein.

Ich komme so übergaupt nicht klar ....

Geh doch bitte ins Detail und liefere Informationen. Es bringt dir recht wenig, wenn du das jetzt fertig konfiguriert bekommst, es aber nicht verstehst.

Was hast du auf der Sophos und auf dem LANCOM konfiguriert? Funktioniert allgemein die Auflösung beider DynDNS-Hosts? Wo scheitert die Aushandlung Phase 1oder 2?
Bitte warten ..
Mitglied: SeaStorm
29.09.2019 um 20:24 Uhr
Wie sehen denn auf lancom Seite die Einstellungen aus?
Bitte warten ..
Mitglied: webser85
29.09.2019 um 20:28 Uhr
Alles klar, ich baue die geschichte nochmal nach der Anleitung nach.
Ich habe die Konfig wieder gelöscht nachdem es nicht geklappt hat....

Ich melde mich dann wieder zurück wenn ich mehr Infos geben kann ;)

Grüße
Christian
Bitte warten ..
Mitglied: webser85
29.09.2019 um 20:30 Uhr
Hallo SeaStorm,
ich baue die Geschichte nochmal nach und melde mich dann zurück ;)
Bitte warten ..
Mitglied: webser85
29.09.2019 um 21:57 Uhr
So anbei schon mal Screenshot´s der Lancom Konfig ;)
ike- proposals liste - Klicke auf das Bild, um es zu vergrößern
ike- proposals liste - Klicke auf das Bild, um es zu vergrößern
ike- proposals - Klicke auf das Bild, um es zu vergrößern
ipsec- proposals liste - Klicke auf das Bild, um es zu vergrößern
ipsec- proposals - Klicke auf das Bild, um es zu vergrößern
routing- tabelle - Klicke auf das Bild, um es zu vergrößern
verbindungs- liste - Klicke auf das Bild, um es zu vergrößern
verbindungs- parameter - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: webser85
29.09.2019 um 22:11 Uhr
Hier noch die Konfig der Sophos .....

Vielen Dank schonmal für eure Unterstützung ;)

Grüße
Christian
firewall - Klicke auf das Bild, um es zu vergrößern
ip host entfernt - Klicke auf das Bild, um es zu vergrößern
ip host local - Klicke auf das Bild, um es zu vergrößern
ip sec richtlinie - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Pjordorf
29.09.2019, aktualisiert um 22:18 Uhr
Hallo,

Zitat von webser85:
Hier noch die Konfig der Sophos .....
Und dann bitte noch das LOG von der Sophos und / oder vom Lancom wenn die versuchen ein VPN auszubauen.

PS. Was war denn jetzt die Lösung?

Gruß,
Peter
Bitte warten ..
Mitglied: webser85
29.09.2019 um 22:28 Uhr
Hallo Peter,

habe eben gesehen, dass der Beitrag als gelöst markiert ist .....
Für mich ist er das nicht ! Funktioniert nach wie vor nicht .....

wie erstelle ich den Log auf der Sophos ?
Bitte warten ..
Mitglied: Pjordorf
30.09.2019, aktualisiert um 00:23 Uhr
Hallo,

Zitat von webser85:
habe eben gesehen, dass der Beitrag als gelöst markiert ist .....
Du (und nur du) kannst den grünen Balken wieder entferhnen. https://administrator.de/faq/32

wie erstelle ich den Log auf der Sophos ?
Nicht erstellen, ist alles schon gemacht. Du musst den nur anschauen ider du kannst den Koperen oder jeden beliebigen auch in eine Datei speichern ... Je nach deinen Einstellungen in Sophos und deiner verwendeten Hardware wie z.B. HDD Größe....Ebtweder mal das Handbuch lesen oder selbst mal schauen. Bedenke es ist Linux, da kann dir der Zeilenvorschub und Wagenrücklauf einen Streich unter Windows spielen.

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
30.09.2019 um 08:59 Uhr
Ein grundsätzlicher Fehler ist oben schon zu sehen. Niemals sollte man bei Hersteller fremden Geräten die ein IPsec VPN Tunnel aufbauen den Main Mode verwenden. Hier ist der Agressive Mode eigentlich Pflicht. Das ist ebenso bei der Sopohs Seite falsch.
PFS Group 5 ist auch sehr ungewöhnlich. In der Regel ist das die 14 (2048 Bit). Wichtig ist das die auf beiden seiten gleich ist !
Hilfreich wäre hier auch mal gewesen das verwendete VPN Protokoll zu benennen damit die Community hier nicht wild raten muss. Die Beschreibung ist leider mehr als dürftg.
Wie oben auch schon mehrfach betont ist zwingend ein Log Auszug sowohl der Sophos als auch der Lancoms hier für ein zielführendes Troubleshooting erforderlich. Das Log sagt meisten direkt woran ein VPN Tunnelaufbau scheitert.
Ohne den kommen wir also nicht wirklich weiter.

Das so ein Szenario in der Regel sehr einfach und fehlerfrei klappt kannst du an an diesem Tutorial ersehen:
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...
Dort findest du auch ein paar Grundlagen zu dem Thema.

P.S.: Du solltest oben einige Identifier die URL oder Domain Charakteristika ala xyz.de haben mal besser etwas anonymisieren. Dein Arbeitgeber möchte sicher nicht die VPN Konfigs seiner Geräte im Internet wiederfinden...?!
Bitte warten ..
Mitglied: ChriBo
30.09.2019 um 11:48 Uhr
Hi,
ich meine bis jetzt 2 Fehler entdeckt zu haben:
1. Auf dem Lancom: Verbindungsliste, Haltezeit: 9.999 sec, Auf der Sophos (Phase2, Schlüssellebensdauer): 28800 sec, setze mal beide auf 3600 sec.
2. Auf der Sophos: VPN->Lokales Netzwerk->Lausch Schnittstelle: hier muß die öffentliche IP (WAN) rein.
-
Wie @aqui schon schrieb:
nimm DH-Gruppe 14 auf beiden Seiten und "erstmal" den agressive mode; generell empfehle ich IKE/V2 anstelle von IKE/V1 zu verwenden.
-
Mein Tip: Kauf dir jemanden der die VPNs für dich einrichtet.

CH
Bitte warten ..
Mitglied: webser85
30.09.2019 um 15:15 Uhr
Hallo zusammen,

Vielen Dank für eure Unterstützung!
Wäre vielleicht einer von euch Experten bereit mir exemplarisch eine VPN einzurichten?
Das ganze ist für mich privat ....

Selbstverständlich würde ich auch dafür bezahlen ....

Viele Grüße und den bisherigen Helfern schonmal vielen Dank ;)

Christian
Bitte warten ..
Mitglied: Pjordorf
30.09.2019 um 16:20 Uhr
Hallo,

Zitat von webser85:
Wäre vielleicht einer von euch Experten bereit mir exemplarisch eine VPN einzurichten?
Die Handbücher von Sophos und Lancom sind voll vonexemplarische VPNs.

Das ganze ist für mich privat ....
Ach so , daher deine 3 Sznadorte wo LANComs 1783 eingesetzt werden, und an deiner Zentraje eben einen Sophos XG. Und jetzt ist alles für rein Privat...

Selbstverständlich würde ich auch dafür bezahlen ....
Besser das Geld für eine Ausbildung nutzen. Die meisten hier haben ihr Expertenwissen im laufe von Jahren erarbeitet und daher wissen diese Experten auch meistens wo dran es liegt...
https://community.sophos.com/kb/en-us/123600
https://community.sophos.com/kb/en-us/126628
https://community.sophos.com/kb/en-us/123138

https://community.sophos.com/products/unified-threat-management/f/german ...
https://community.sophos.com/kb/en-us/122769
https://community.sophos.com/kb/en-us/132882
https://www.fastvue.co/sophos/blog/sophos-xg-sg-utm-ssl-site-site-vpn-co ...
https://www.synology.com/en-global/knowledgebase/SRM/tutorial/VPN/How_to ...
https://techbast.com/2019/03/sophos-xg-how-to-configure-ipsec-vpn-client ...

Das Internet ist voll von VPN howto's

Gruß,
Peter
Bitte warten ..
Mitglied: goscho
30.09.2019 um 16:24 Uhr
Mahlzeit
Zitat von ChriBo:

Hi,
ich meine bis jetzt 2 Fehler entdeckt zu haben:
1. Auf dem Lancom: Verbindungsliste, Haltezeit: 9.999 sec, Auf der Sophos (Phase2, Schlüssellebensdauer): 28800 sec, setze mal beide auf 3600 sec.
Da bist du auf dem Holzweg. Die beiden Werte haben nichts miteinander zu tun.
Diesen Wert stellt man bei dem Gerät, welches der Initiator ist auf 9.999 Sec ein.
Das hat mit der Schlüssellebensdauer nichts zu tun.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN mit Fritzbox und Sophos XG 105
gelöst Frage von Gawo89Router & Routing15 Kommentare

Hallo zusammen, ich hätte da eine Frage bezüglich der richtigen Konfiguration der Routen in der Fritzbox bzw. in der ...

Firewall
Verwaltung von mehren Sophos XG
Frage von chnie123Firewall

Hallo Zusammen, es gibt ja mehrere Möglichkeiten eine Sophos XG zentral zu verwalten. Ich bin zur Zeit auf der ...

Router & Routing
Sophos XG VPN IPSec und Site 2 Site
Frage von ITAllrounderRouter & Routing3 Kommentare

Guten Morgen zusammen, ich bin mit meinem Netzwerk Latein aktuell leider am Ende und kann vor lauter IP Subnetzen ...

Firewall

Sophos XG - VPN (Site-to-Site) Ping zur Firewall

gelöst Frage von icepietFirewall6 Kommentare

Hallo Zusammen, ich habe mehrere VPN Tunnel auf einer Sophos XG gebaut. Leider habe ich bei jedem Tunnel das ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 11 StundenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 13 StundenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 3 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 5 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Heiß diskutierte Inhalte
Windows 10
Windows "Home" Version im Unternehmen legal?
gelöst Frage von BosnigelWindows 1024 Kommentare

Hallo, ich habe hier einen Kleinstunternehmer der überall sparen muss. Die Frage: Ist Windows 10 (also nicht Pro) für ...

Hyper-V
Hardware Empfehlung Hyper-V Host
Frage von TraxxTecHyper-V20 Kommentare

Hi, ich habe keine Ahnung was aktuell an Hardware unterwegs ist, deshalb bräuchte ich eine grobe Empfehlung für einen ...

Batch & Shell
Doppelte If Anweisung - check if file exist
Frage von chkdskBatch & Shell12 Kommentare

Hello Again :-) Ich habe hier ein Skript, welches zu zu Beginn überprüft ob eine Datei vorhanden ist. Falls ...

Windows 10
Gruppenrichtlinenen Anzeigen lassen ohne Administrator rechte ?
gelöst Frage von DavidHergWindows 1011 Kommentare

Guten Abend zusammen, kann ich mir die Gruppenrichtlinien ohne Administrator Rechte anzeigen lassen ? MFG DavidHerg

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...