12
VPN Routing zwischen Sophos XGS 2100 und Draytek 2762
Hallo Zusammen,
Habe meine Draytek 3910 gegen die Sophos XGS 2100 im Hauptgebäude getauscht.
Inter V-Lan Routing geht alles über Layer 3 Switch von HP Aruba.
Der Aufbau gemäß hier im Board - Beitrag von @aqui
Alles funktioniert auch Portweiterleitung etc. die Sophos XGS 2100 rennt soweit wunderbar
Habe aber ein riesen Problem mit VPN
Standort Nr. 2 hat eine Draytek.
Ich möchte zwischen den beiden Standtorten wieder VPN aufbauen
Draytek befindet sich im Subnet: 192.168.0.0/24
IP Draytek 192.168.0.1
VPN Einstellung Draytek
Lokal Network IP: 192.168.0.1
Lokal Network Mask: 255.255.255.0
Remote Network IP: 192.168.100.0
Remote Network Mask: 255.255.255.0
Unter More auch die Subnetze von den VLAN's eingetragen.
Sophos befindet sich im Subnet: 192.168.100.0/24
IP Sophos 192.168.100.1
IP L3 Switch: 192.168.100.254
VPN Einstellungen Sophos
Lokales Subnetz: 192.168.100.0/24 sowie die Subnetze auf dem Layer 3
Entferntes Subnetz: 192.168.0.0/24
Grundeinstellungen VPN
IKE Phase 1:
3DES G2 MD5
28800
IKE Phase 2:
Identisch wie Phase 1
Tunnel steht mittels Ikev1 - VPN ist UP aber ab hier fängt mein Problem an:
Die Draytek kann den Sophos und den Layer 3 switch anpingen.
Subnetze hinter Layer sind nicht erreichbar
Die Sophos kann die Draytek auch nicht erreichen.
Seit eine Woche mache ich rum und werde langsam krank.
Eine einfache Angelegenheit, was die Draytek 3910 gemacht hat, bekomme ich mit der Sophos nicht hin.
Ich muss zwei Wege realisieren:
1. Mittels VPN Kommunikation zwischen beiden Standorten gewährleisten.
2. Einige Endgeräte im Hauptgebäude müssen über das VPN die Draytek als Gateway nutzen
Der örtliche Distro hat nach lange Probierphase erwähnt, dass dies nicht möglich ist, was ich eigentlich nicht recht glauben mag.
Ich denke eher dass er nicht mehr die Geduld hatte und deshalb diese aussage getroffen hat.
Ich hoffe hier im Forum einige Experten anzutreffen, welche mir vielleicht nützliche Tipps am besten sogar Hilfe anbieten können.
Vorab schonmal Dankeschön
Vg
Habe meine Draytek 3910 gegen die Sophos XGS 2100 im Hauptgebäude getauscht.
Inter V-Lan Routing geht alles über Layer 3 Switch von HP Aruba.
Der Aufbau gemäß hier im Board - Beitrag von @aqui
Alles funktioniert auch Portweiterleitung etc. die Sophos XGS 2100 rennt soweit wunderbar
Habe aber ein riesen Problem mit VPN
Standort Nr. 2 hat eine Draytek.
Ich möchte zwischen den beiden Standtorten wieder VPN aufbauen
Draytek befindet sich im Subnet: 192.168.0.0/24
IP Draytek 192.168.0.1
VPN Einstellung Draytek
Lokal Network IP: 192.168.0.1
Lokal Network Mask: 255.255.255.0
Remote Network IP: 192.168.100.0
Remote Network Mask: 255.255.255.0
Unter More auch die Subnetze von den VLAN's eingetragen.
Sophos befindet sich im Subnet: 192.168.100.0/24
IP Sophos 192.168.100.1
IP L3 Switch: 192.168.100.254
VPN Einstellungen Sophos
Lokales Subnetz: 192.168.100.0/24 sowie die Subnetze auf dem Layer 3
Entferntes Subnetz: 192.168.0.0/24
Grundeinstellungen VPN
IKE Phase 1:
3DES G2 MD5
28800
IKE Phase 2:
Identisch wie Phase 1
Tunnel steht mittels Ikev1 - VPN ist UP aber ab hier fängt mein Problem an:
Die Draytek kann den Sophos und den Layer 3 switch anpingen.
Subnetze hinter Layer sind nicht erreichbar
Die Sophos kann die Draytek auch nicht erreichen.
Seit eine Woche mache ich rum und werde langsam krank.
Eine einfache Angelegenheit, was die Draytek 3910 gemacht hat, bekomme ich mit der Sophos nicht hin.
Ich muss zwei Wege realisieren:
1. Mittels VPN Kommunikation zwischen beiden Standorten gewährleisten.
2. Einige Endgeräte im Hauptgebäude müssen über das VPN die Draytek als Gateway nutzen
Der örtliche Distro hat nach lange Probierphase erwähnt, dass dies nicht möglich ist, was ich eigentlich nicht recht glauben mag.
Ich denke eher dass er nicht mehr die Geduld hatte und deshalb diese aussage getroffen hat.
Ich hoffe hier im Forum einige Experten anzutreffen, welche mir vielleicht nützliche Tipps am besten sogar Hilfe anbieten können.
Vorab schonmal Dankeschön
Vg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1592789601
Url: https://administrator.de/contentid/1592789601
Printed on: April 24, 2024 at 09:04 o'clock
12 Comments
Latest comment
Der Aufbau gemäß hier im Board
Kann gar nicht sein ! Ich distanziere mich ausdrücklich von HP !! 😉Spaß beiseite...
Äußerungen wie "Unter More auch die Subnetze von den VLAN's eingetragen." klingen erstmal kryptisch und es ist nicht ganz klar WAS du genau damit meinst ?!
Das Erste was auffällt ist das du uralte Crypto Credentials nutzt die heute allesamt als kompromitiert gelten, also als sehr unsicher. 3DES und auch MD5 im Hashing ist heutzutage ein NoGo !
Das ist der erste kritische Punkt, denn es ist davon auszugehen das die Sophos zumindestens was 3DES anbetrifft dies gar nicht mehr supportet. Möglicherweise wird im Negotiation Verfahren 3DES gar nicht mehr angeboten so das schon die Phase 1 scheitert.
Wenn, sollte man, wenn immer möglich, das immer auf AES und Hashing auf SHA1 oder 2 setzen.
Der 2te kritische Punkt sind deine Phase 2 SAs. Im IPsec musst du alle diese Netze die in den Tunnel müssen beidseitig an beiden Tunnelenden identisch eingetragen. Sollte das nicht der Fall sein kommt der IPsec Tunnel wegen fehlerhafter Phase 2 nicht zustande. Leider fehlen hier entsprechende, detailiertere Angaben / Screenshots des Setups beider Seiten.
Es fehlen auch ebenso beide Logs von beiden Enden, sprich Sophos UND Vigor die ein Troubleshooting erleichtern würden.
Unter diesen Vorausetzungen dieser mehr als spärlichen Infos ist eine zielführende Hilfe wenig bis gar nicht möglich ohne die Kristallkugel bemühen zu müssen.
Grundlagen Infos zu mehreren Netzen in der Phase 2 findest du u.a. auch hier:
PFSense mit Fritzboxen verbinden
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
Moin,
hat die Sophos die IPs 1:1 die des alten Drayteks bekommen?
Falls ja, liegt das Problem zunächst nicht am Draytek am Standort.
Prüfe dann die Sophos:
Stimmen alle Routing- und Firewall-Einträge?
Du benötigst ja eine Regel "Allow from 192.168.0.0/ 24 - Any Service - to 192.168.x.0/24" wobei x die jeweiligen Subnetze hinter dem CoreSwitch sind.
Dann prüfe auch einmal das LiveLog an der Sophos.
hat die Sophos die IPs 1:1 die des alten Drayteks bekommen?
Falls ja, liegt das Problem zunächst nicht am Draytek am Standort.
Prüfe dann die Sophos:
Stimmen alle Routing- und Firewall-Einträge?
Du benötigst ja eine Regel "Allow from 192.168.0.0/ 24 - Any Service - to 192.168.x.0/24" wobei x die jeweiligen Subnetze hinter dem CoreSwitch sind.
Dann prüfe auch einmal das LiveLog an der Sophos.
Hallo @aqui
wiedermal recht, ohne irgendwelche Infos relativ schwierig.
Anbei die Configs der beiden Router - wie gesagt der Tunnel steht ich kann nur nicht die Endgeräte erreichen.
Nur die Draytek kommt auf die Sophos aber das wars auch.
Mit AES kann ich heute Abend mal probieren, bin grad extern Unterwegs aber da der Tunnel aufgebaut wird, scheint die Sophos 3DES noch zu supporten
Unter more habe ich gemeint, dass man bei Draytek unter TCP Network auch weitere Subnetze eintragen kann, damit diese geroutet werden
Muss ich vielleicht unter Sophos eine NAT Regel erstellen ?
Vg
Ayhan
wiedermal recht, ohne irgendwelche Infos relativ schwierig.
Anbei die Configs der beiden Router - wie gesagt der Tunnel steht ich kann nur nicht die Endgeräte erreichen.
Nur die Draytek kommt auf die Sophos aber das wars auch.
Mit AES kann ich heute Abend mal probieren, bin grad extern Unterwegs aber da der Tunnel aufgebaut wird, scheint die Sophos 3DES noch zu supporten
Unter more habe ich gemeint, dass man bei Draytek unter TCP Network auch weitere Subnetze eintragen kann, damit diese geroutet werden
Muss ich vielleicht unter Sophos eine NAT Regel erstellen ?
Vg
Ayhan
@em-pie
Ja die Sophos hat 1:1 alle IP adressen vom alten Draytek bekommen.
Da hat sich nichts geändert, auch die statischen routen usw. wurden 1:1 übertragen.
Über VPN kommt auch das Subnet vom 2. Standort durch.
192.168.0.0/24 ist die Draytek
192.168.100.0/24 ist Sophos
Ja die Sophos hat 1:1 alle IP adressen vom alten Draytek bekommen.
Da hat sich nichts geändert, auch die statischen routen usw. wurden 1:1 übertragen.
Über VPN kommt auch das Subnet vom 2. Standort durch.
192.168.0.0/24 ist die Draytek
192.168.100.0/24 ist Sophos
@em-pie
habe bereits zwei generel regel drin
Ich will erst mal verstehen, wieso ich von der Draytek aus die Sophos erreichen kann aber umgekehrt nicht.
Die Subnetze hinter dem Core würde ich im Anschluss angehen.
Die Route Reihenfolge sieh so aus
1. VPN routes
2. Static routes
3. SD-WAN policy routes
habe bereits zwei generel regel drin
Ich will erst mal verstehen, wieso ich von der Draytek aus die Sophos erreichen kann aber umgekehrt nicht.
Die Subnetze hinter dem Core würde ich im Anschluss angehen.
Die Route Reihenfolge sieh so aus
1. VPN routes
2. Static routes
3. SD-WAN policy routes
Die Route Reihenfolge sieh so aus
1. ist Unsinn bei IPsec VPNs. Die Routen etabliert die Phase 2 bei IPsec immer automatisch ! Zumindestens für die VPNs benötigt man keine Routen.
Hallo @aqui
habe mittlerweile gelöst.
VPN funktioniert erfolgreich zwischen Sophos und Draytek mit allen Subnetzen.
Ich markiere diesen Beitrag als gelöst würde aber morgen noch zusätzlich meine Configs posten für den Fall falls irgendwann jemand auch das gleiche Problem hat.
Will aber vorher noch einpaar Test‘s durchführen
Möchte mich an dieser Stelle aber nochmals bedanken
Vg
habe mittlerweile gelöst.
VPN funktioniert erfolgreich zwischen Sophos und Draytek mit allen Subnetzen.
Ich markiere diesen Beitrag als gelöst würde aber morgen noch zusätzlich meine Configs posten für den Fall falls irgendwann jemand auch das gleiche Problem hat.
Will aber vorher noch einpaar Test‘s durchführen
Möchte mich an dieser Stelle aber nochmals bedanken
Vg
Hilfreich für ein Forum wäre gewesen das du kurz beschrieben hättest WAS zur Lösung beigetragen hat bzw. WAS der/dein Fehler war. Dann könnten auch andere von der Erfahrung profitieren.
@aqui
Habe eigentlich gestern im Beitrag geschrieben, dass ich heute die Lösung und die Configs posten werde - hast vermutlich überlesen ?
Kommt definitiv heute - bin nur nicht dazu gekommen
Habe eigentlich gestern im Beitrag geschrieben, dass ich heute die Lösung und die Configs posten werde - hast vermutlich überlesen ?
Kommt definitiv heute - bin nur nicht dazu gekommen
Sorry, in der Tat überlesen. Shame on me...
Die folgende Einstellung hat zum Erfolg geführt.
Muss nur noch der Sophos mitteilen, dass bestimmte Endgeräte nun als Gateway die VPN nutzen sollen, welche ich noch nicht geschafft habe.
Aber das VPN mittel IKEV2 zwischen Sophos XGS und Draytek funktioniert wie folgt.
Sophos
Unter Sophos eine eigene Policy erstellen und dabei unter Phase 2 keine wählen,
Bei Subnet Lokal von Sophos Beliebig und bei Remote Subnet von Draytek eingeben
Draytek
VPN einstellung bei Draytek als Dial Out konfigurieren und unter Remote Network 0.0.0.0 eintragen
My WAN IP - Öffentliche IP von Draytek eintragen
Remote Gateway IP - Öffentliche IP von Gegenseite eintragen
Im Bereich Netzwerkeinstellungen auf more klicken und dort die VLAN's eintragen welche sich auf der Sophos Seite befinden
Ganz wichtig haken rein bei Create Phase2 SA for each subnet.(IPsec)
Danach alles speichern
Nach paar sekunden baut sich der Tunnel auf und man kann zwischen der Sophos und Draytek routen und alles gegenseitig erreichen.
Nicht vergessen: Firewallregeln bei Sophos einstellen
Hoffe dass dies einigen helfen wird, welche annähernd dasselbe Problem haben / hatten wie ich
Muss nur noch der Sophos mitteilen, dass bestimmte Endgeräte nun als Gateway die VPN nutzen sollen, welche ich noch nicht geschafft habe.
Aber das VPN mittel IKEV2 zwischen Sophos XGS und Draytek funktioniert wie folgt.
Sophos
Unter Sophos eine eigene Policy erstellen und dabei unter Phase 2 keine wählen,
Bei Subnet Lokal von Sophos Beliebig und bei Remote Subnet von Draytek eingeben
Draytek
VPN einstellung bei Draytek als Dial Out konfigurieren und unter Remote Network 0.0.0.0 eintragen
My WAN IP - Öffentliche IP von Draytek eintragen
Remote Gateway IP - Öffentliche IP von Gegenseite eintragen
Im Bereich Netzwerkeinstellungen auf more klicken und dort die VLAN's eintragen welche sich auf der Sophos Seite befinden
Ganz wichtig haken rein bei Create Phase2 SA for each subnet.(IPsec)
Danach alles speichern
Nach paar sekunden baut sich der Tunnel auf und man kann zwischen der Sophos und Draytek routen und alles gegenseitig erreichen.
Nicht vergessen: Firewallregeln bei Sophos einstellen
Hoffe dass dies einigen helfen wird, welche annähernd dasselbe Problem haben / hatten wie ich
1
👍
