Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sophos XG Lancom Site to Site VPN

Mitglied: webser85

webser85 (Level 1) - Jetzt verbinden

29.09.2019, aktualisiert 30.09.2019, 548 Aufrufe, 16 Kommentare

Hallo zusammen,

ich habe seit geraumer Zeit eine Sophos XG im Einsatz.
an drei Außenenstandorten befinden sich Lancom 1783 Router.
Diese sollen eine VPN Verbindung zur Sophos aufbauen um die Standorte zu verbinden.

Leider bekomme ich es beim Besten Willen nicht hin .....

Alle Standorte sind über DynDns erreichbar.


Wäre eine tolle Sache, wenn mir jemand weiterhelfen könnte.


Viele Grüße

Christian
Mitglied: Mikrofonpartner
29.09.2019 um 19:55 Uhr
Hallo

Woran scheitert es denn? Fehlermeldungen in den Logs analysiert?

Hast du dir schonmal das Tutorial angeschaut?

http://neise.de/sophos-utm-astaro/site-to-site-vpn/site-to-site-vpn.htm ...

Gruß Mikro
Bitte warten ..
Mitglied: webser85
29.09.2019 um 20:08 Uhr
Hallo Mirco,

ja, die Anleitung in dem Link hatte ich auch schon auf dem Schirm ;)
Die Unterschiede zur XG scheinen aber doch nicht ganz unwesentlich zu sein.

Ich komme so übergaupt nicht klar ....
Vieleicht kann sich jemand im Forum dazu bereit erklären eine Teamviewer Sitzung abzuhalten ?

Sophos ist ohnehin noch völliges Neuland für mich ....

Grüße
Christian
Bitte warten ..
Mitglied: Mikrofonpartner
29.09.2019, aktualisiert um 20:34 Uhr
Zitat von webser85:
ja, die Anleitung in dem Link hatte ich auch schon auf dem Schirm ;)
Die Unterschiede zur XG scheinen aber doch nicht ganz unwesentlich zu sein.

Ich komme so übergaupt nicht klar ....

Geh doch bitte ins Detail und liefere Informationen. Es bringt dir recht wenig, wenn du das jetzt fertig konfiguriert bekommst, es aber nicht verstehst.

Was hast du auf der Sophos und auf dem LANCOM konfiguriert? Funktioniert allgemein die Auflösung beider DynDNS-Hosts? Wo scheitert die Aushandlung Phase 1oder 2?
Bitte warten ..
Mitglied: SeaStorm
29.09.2019 um 20:24 Uhr
Wie sehen denn auf lancom Seite die Einstellungen aus?
Bitte warten ..
Mitglied: webser85
29.09.2019 um 20:28 Uhr
Alles klar, ich baue die geschichte nochmal nach der Anleitung nach.
Ich habe die Konfig wieder gelöscht nachdem es nicht geklappt hat....

Ich melde mich dann wieder zurück wenn ich mehr Infos geben kann ;)

Grüße
Christian
Bitte warten ..
Mitglied: webser85
29.09.2019 um 20:30 Uhr
Hallo SeaStorm,
ich baue die Geschichte nochmal nach und melde mich dann zurück ;)
Bitte warten ..
Mitglied: webser85
29.09.2019 um 21:57 Uhr
So anbei schon mal Screenshot´s der Lancom Konfig ;)
ike- proposals liste - Klicke auf das Bild, um es zu vergrößern
ike- proposals liste - Klicke auf das Bild, um es zu vergrößern
ike- proposals - Klicke auf das Bild, um es zu vergrößern
ipsec- proposals liste - Klicke auf das Bild, um es zu vergrößern
ipsec- proposals - Klicke auf das Bild, um es zu vergrößern
routing- tabelle - Klicke auf das Bild, um es zu vergrößern
verbindungs- liste - Klicke auf das Bild, um es zu vergrößern
verbindungs- parameter - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: webser85
29.09.2019 um 22:11 Uhr
Hier noch die Konfig der Sophos .....

Vielen Dank schonmal für eure Unterstützung ;)

Grüße
Christian
firewall - Klicke auf das Bild, um es zu vergrößern
ip host entfernt - Klicke auf das Bild, um es zu vergrößern
ip host local - Klicke auf das Bild, um es zu vergrößern
ip sec richtlinie - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Pjordorf
29.09.2019, aktualisiert um 22:18 Uhr
Hallo,

Zitat von webser85:
Hier noch die Konfig der Sophos .....
Und dann bitte noch das LOG von der Sophos und / oder vom Lancom wenn die versuchen ein VPN auszubauen.

PS. Was war denn jetzt die Lösung?

Gruß,
Peter
Bitte warten ..
Mitglied: webser85
29.09.2019 um 22:28 Uhr
Hallo Peter,

habe eben gesehen, dass der Beitrag als gelöst markiert ist .....
Für mich ist er das nicht ! Funktioniert nach wie vor nicht .....

wie erstelle ich den Log auf der Sophos ?
Bitte warten ..
Mitglied: Pjordorf
30.09.2019, aktualisiert um 00:23 Uhr
Hallo,

Zitat von webser85:
habe eben gesehen, dass der Beitrag als gelöst markiert ist .....
Du (und nur du) kannst den grünen Balken wieder entferhnen. https://administrator.de/faq/32

wie erstelle ich den Log auf der Sophos ?
Nicht erstellen, ist alles schon gemacht. Du musst den nur anschauen ider du kannst den Koperen oder jeden beliebigen auch in eine Datei speichern ... Je nach deinen Einstellungen in Sophos und deiner verwendeten Hardware wie z.B. HDD Größe....Ebtweder mal das Handbuch lesen oder selbst mal schauen. Bedenke es ist Linux, da kann dir der Zeilenvorschub und Wagenrücklauf einen Streich unter Windows spielen.

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
30.09.2019 um 08:59 Uhr
Ein grundsätzlicher Fehler ist oben schon zu sehen. Niemals sollte man bei Hersteller fremden Geräten die ein IPsec VPN Tunnel aufbauen den Main Mode verwenden. Hier ist der Agressive Mode eigentlich Pflicht. Das ist ebenso bei der Sopohs Seite falsch.
PFS Group 5 ist auch sehr ungewöhnlich. In der Regel ist das die 14 (2048 Bit). Wichtig ist das die auf beiden seiten gleich ist !
Hilfreich wäre hier auch mal gewesen das verwendete VPN Protokoll zu benennen damit die Community hier nicht wild raten muss. Die Beschreibung ist leider mehr als dürftg.
Wie oben auch schon mehrfach betont ist zwingend ein Log Auszug sowohl der Sophos als auch der Lancoms hier für ein zielführendes Troubleshooting erforderlich. Das Log sagt meisten direkt woran ein VPN Tunnelaufbau scheitert.
Ohne den kommen wir also nicht wirklich weiter.

Das so ein Szenario in der Regel sehr einfach und fehlerfrei klappt kannst du an an diesem Tutorial ersehen:
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...
Dort findest du auch ein paar Grundlagen zu dem Thema.

P.S.: Du solltest oben einige Identifier die URL oder Domain Charakteristika ala xyz.de haben mal besser etwas anonymisieren. Dein Arbeitgeber möchte sicher nicht die VPN Konfigs seiner Geräte im Internet wiederfinden...?!
Bitte warten ..
Mitglied: ChriBo
30.09.2019 um 11:48 Uhr
Hi,
ich meine bis jetzt 2 Fehler entdeckt zu haben:
1. Auf dem Lancom: Verbindungsliste, Haltezeit: 9.999 sec, Auf der Sophos (Phase2, Schlüssellebensdauer): 28800 sec, setze mal beide auf 3600 sec.
2. Auf der Sophos: VPN->Lokales Netzwerk->Lausch Schnittstelle: hier muß die öffentliche IP (WAN) rein.
-
Wie @aqui schon schrieb:
nimm DH-Gruppe 14 auf beiden Seiten und "erstmal" den agressive mode; generell empfehle ich IKE/V2 anstelle von IKE/V1 zu verwenden.
-
Mein Tip: Kauf dir jemanden der die VPNs für dich einrichtet.

CH
Bitte warten ..
Mitglied: webser85
30.09.2019 um 15:15 Uhr
Hallo zusammen,

Vielen Dank für eure Unterstützung!
Wäre vielleicht einer von euch Experten bereit mir exemplarisch eine VPN einzurichten?
Das ganze ist für mich privat ....

Selbstverständlich würde ich auch dafür bezahlen ....

Viele Grüße und den bisherigen Helfern schonmal vielen Dank ;)

Christian
Bitte warten ..
Mitglied: Pjordorf
30.09.2019 um 16:20 Uhr
Hallo,

Zitat von webser85:
Wäre vielleicht einer von euch Experten bereit mir exemplarisch eine VPN einzurichten?
Die Handbücher von Sophos und Lancom sind voll vonexemplarische VPNs.

Das ganze ist für mich privat ....
Ach so , daher deine 3 Sznadorte wo LANComs 1783 eingesetzt werden, und an deiner Zentraje eben einen Sophos XG. Und jetzt ist alles für rein Privat...

Selbstverständlich würde ich auch dafür bezahlen ....
Besser das Geld für eine Ausbildung nutzen. Die meisten hier haben ihr Expertenwissen im laufe von Jahren erarbeitet und daher wissen diese Experten auch meistens wo dran es liegt...
https://community.sophos.com/kb/en-us/123600
https://community.sophos.com/kb/en-us/126628
https://community.sophos.com/kb/en-us/123138

https://community.sophos.com/products/unified-threat-management/f/german ...
https://community.sophos.com/kb/en-us/122769
https://community.sophos.com/kb/en-us/132882
https://www.fastvue.co/sophos/blog/sophos-xg-sg-utm-ssl-site-site-vpn-co ...
https://www.synology.com/en-global/knowledgebase/SRM/tutorial/VPN/How_to ...
https://techbast.com/2019/03/sophos-xg-how-to-configure-ipsec-vpn-client ...

Das Internet ist voll von VPN howto's

Gruß,
Peter
Bitte warten ..
Mitglied: goscho
30.09.2019 um 16:24 Uhr
Mahlzeit
Zitat von ChriBo:

Hi,
ich meine bis jetzt 2 Fehler entdeckt zu haben:
1. Auf dem Lancom: Verbindungsliste, Haltezeit: 9.999 sec, Auf der Sophos (Phase2, Schlüssellebensdauer): 28800 sec, setze mal beide auf 3600 sec.
Da bist du auf dem Holzweg. Die beiden Werte haben nichts miteinander zu tun.
Diesen Wert stellt man bei dem Gerät, welches der Initiator ist auf 9.999 Sec ein.
Das hat mit der Schlüssellebensdauer nichts zu tun.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN mit Fritzbox und Sophos XG 105
gelöst Frage von Gawo89Router & Routing15 Kommentare

Hallo zusammen, ich hätte da eine Frage bezüglich der richtigen Konfiguration der Routen in der Fritzbox bzw. in der ...

Firewall

Sophos UTM 9 Einstellungen auf Sophos XG Manuell Übernehmen

Frage von PlerTanixFirewall4 Kommentare

Hallo liebe Community, Ich habe folgendes Problem, Ich habe eine SOPHOS UTM 110/120 mit UTM 9 drauf. Nun habe ...

Firewall

Sophos XG als Hardware Firewall oder in einer VM betreiben?

Frage von Mr.HeisenbergFirewall9 Kommentare

Hallo zusammen, ich möchte bei mir privat zu Hause eine Sophos XG betreiben und überlege, ob ich diese auf ...

LAN, WAN, Wireless

Fritzbox 6490 DVB-C-Stream hinter der Sophos XG realisieren

Frage von oliver12LAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich möchte mein derzeitiges Netzwerk um eine Sophos XG (auf Basis Zotac-Mini-PC mit 2x LAN) erweitern und ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 1 TagHumor (lol)7 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 2 TagenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 2 TagenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 3 TagenGrafik2 Kommentare

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
10G Netzwerk konfigurieren für maximalen Datendurchsatz
gelöst Frage von hukimanLAN, WAN, Wireless37 Kommentare

Guten Morgen, in unserem Betrieb wurde das Netzwerk auf 10G (Kupfer) umgerüstet. Grund dafür sind große Laserscandaten die sehr ...

Netzwerke
Subnetzmaske mit Hilfe der IP-Adresse berechnen
gelöst Frage von Jennifer21Netzwerke20 Kommentare

Hi zusammen, kann mir bitte jemand helfen bei dieser Aufgabe. Ich muss die die Subnetzsmaske berechnen von den IP-Adressen: ...

Windows 10
3D PDF bei WIN 10 mit Adobe Acrobat DC öffnen
Frage von DysfunktionWindows 1016 Kommentare

Hallo zusammen, Aus einem Konstruktionsprogramm ( Catia ) kann man Zeichnungen als 3 d PDF exportieren. Diese werden lokal ...

Batch & Shell
Batch "dir B" nebeneinander statt untereinander mit , getrennt
gelöst Frage von plentmBatch & Shell14 Kommentare

Hallo zusammen, Mein erst Post und dann doch wahrscheinlich was einfaches. Leider reichen meine Kenntnisse dafür nicht aus, daher ...