Guide: Fritzbox 6.30 zu Sophos UTM 9 inkl. AES 256

nach wochenlanger Testerei hier eine vollfunktionsfähige, stabile VPN Beispielkonfiguration mit .cfg und Screenshots der Sophos Config.

Testumgebung: Fritzbox 7490 mit FritzOS 6.30 (DynIP v4) und Sophos UTM 9.350-12 (feste IPv4)

192.168.1.0: Netz der Sophos
192.168.178.0: Netz der Fritzbox
192.168.1.1: IP der Sophos im Netz erreichbar per VPN für Keepalive


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Sophos UTM";
always_renew = yes;
keepalive_ip = 192.168.1.1;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "sophosdns.name.here";
localid {
fqdn = "fritzbox.dns.name.here";
}
remoteid {
fqdn = "sophosdns.name.here";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "secretpassphrasekeysecret";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;

phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
  • Danke Dir, klappt ja auf Anhieb.
    Hab ne 7270 mit V6.05 angebunden.
  • danke für das Feedback, ich hab mich wirklich vorher irre lange mit nicht funktionierenden Configs rumgeärgert bis ich das passende hatte. Die VPNs habe ich 3x am Laufen und funktionieren trotz DYN-IP auf den Fritz Seiten perfekt.
  • Hallo Ben,
    änder es mal auf DH Group 5.

    Du hast die Strickte Richtlinie nicht aktiviert, wird hier auch bei der Verschlüsselung AES256 benutzt?

    Nach der Zwangstrennung und einer neuen IP, kommt dein Tunnel wieder hoch?

    Schau mal hier:
    VPN Einstellungen UTM9 -> Fritzbox 7360

    Nice greetings
  • Tunnel kommt direkt wieder hoch
    Was bringt DH Group5? Smile
    Beim Sophos VPN Status steht das AES 256 benutzt wird, kann da noch einen Screenshot nachliefern
  • Höhere Verschlüsselung beim Key Exchange.
    Da es durch die hohe Performance inzwischen möglich ist diese kleinen Schlüssel zu errechnen. DH5 ist im Prinzip immer noch zu klein, eher Group 14.

    Increase minimum key strengths. ... Browsers and clients
    should raise the minimum accepted size for Diffie-Hellman
    groups to at least 1024 bits in order to avoid downgrade attacks
    when communicating with servers that still use smaller
    groups. Primes of less than 1024 bits should not be considered
    secure, even against an attacker with moderate resources.
    Our analysis suggests that 1024-bit discrete log may be
    within reach for state-level actors. As such, 1024-bit DHE
    (and 1024-bit RSA) must be phased out in the near term.
    NIST has recommended such a transition since 2010 [4]. We
    recommend that clients raise the minimum DHE group size to
    2048 bits as soon as server configurations allow... Precomputation for a 2048-bit non-trapdoored group is around 109 times harder than for a 1024-bit group, so 2048-bit Diffie-Hellman will remain secure barring a major
    algorithmic improvement


    Quelle: https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf

    Next Generation Encryption - Cisco Systems

    Nice greetings
  • Moin,
    Was muss ich beachte nwenn ich auf beiden Sites Dynamische IPS hab?

    Gruß
    Wawa
  • In reply to wawa123:

    wie meinst du das? Die Konfiguration ist ja bereits für DNS Namen. Das macht keinen Unterschied.
  • Moin,
    also bei mir hat es nicht auf Anhieb funktioniert. Ich muss bei beim 'Remote Gateway - Gateway type" auf "Respond only" setzen.
    Gruß
    wawa
  • Hi,

    (fast) genau unser Anwendungsfall. Wir haben in der Zentrale eine Sophos UTM, in den Außenstandorten Fritzboxen. VPN via DSL sehr stabil!

    Jetzt wollen wir die Fritzboxen mit Failover via LTE Sticks ausstatten, um den Tunnel zur Not via LTE weiterzuführen.

    Hat das jemand schonmal konfiguriert und weiß ob und wenn ja, wie das geht?!

    Wir haben das bisher nicht hinbekommen.

    Grüße

    Gernot

  • In reply to GernotMeyer:

    nein, das wird nicht (vernünftig) klappen. LTE ist meist CGN ohne eigene IPv4 aber auf jeden Fall eine andere IP Adresse als der DSL Anschluss. 

    VPN über die Fritzbox ist eine ziemliche Notlösung. Hier wäre es angebracht eine RED Hardware hinter die Fritzboxen zu schalten die sich zur Sophos verbinden. Das würde (sollte!) auch nahtlos und transparent über LTE funktionieren da es nicht per IPSec verbindet und nur der RED Server (in dem Fall die Sophos UTM) eine eigene IPv4 Adresse benötigt.

  • In reply to Ben:

    Hallo,

    der Tunnel Sophos zu Fritz VPN funktioniert extrem stabil. Dagegen kann man nichts sagen.

    Bei diversen Kunden im Einsatz. Zentral immer Sophos UTM, in den Außenstellen Friotzbox.

    Klar ist aber, dass man das nur für kleinere Einheiten nimmt.

    Verfügbarkeit ist gut. Nur das Thema LTE Ausfall ist eine Baustelle.

    Aber ein RED dahinter könnte das lösen. Das stimmt.

    Danke für den Tipp.

  • Hallo,

    kann hier vielleicht jemand von zu dem Speed sagen?

    Mit der Konfiguration komme ich nicht über einen Download und Upload von 15 MBit/s.

    Mit einem RED erreiche ich die volle Geschwindigkeit sowie im Down- als auch im Upload.

    Grüße,

    Ulrich

  • In reply to UThomas:

    15Mbit/s ? das ist schon echt fix, mehr schafft die Fritzbox nicht. 

  • In reply to Ben:

    Ok. Danke für die Info, dann muss ich wohl das ein RED bzw. gleich die Home-UTM nutzen.

  • In reply to UThomas:

    oder schau dir zerotier.com an, hab da einen odroid c2 für im Einsatz der um 50-100Mbit VPN schafft (kostet rund 50,- € zzgl. Netzteil, SD Karte und Versand), damit kann man auch Netze verbinden, allerdings nicht direkt in die UTM integriert.