Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SFOS 18.5.1 IPSec (remote access) stellt keine Verbindung her

Hallo zusammen,

leider habe ich jetzt nicht nur das SIP Problem, sondern ich schaffe es auch nicht eine VPN-Verbindung herzustellen.

Ich bin bei der Einrichtung nach folgender Anleitung vorgegangen: https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/VPNIPsecSophosConnectClient.html

In der XG habe ich also 2 Einstellungen vorgenommen.

IPSec

 :

FirewallRegel

Im Userportal habe ich dann das Profil auf meinem iPhone installiert und versucht zu starten.

Aber mit angeschaltetem WLAN (gleiches Netz wie XG) bekomme ich folgende Meldung: Der VPN-Server antwortet nicht.

Aus dem Internet erhalte ich folgende Meldung: Kommunikation mit dem VPN-Server fehlgeschlagen

Danach habe ich Sophos Connect unter Windows 10 installiert und die aus " IPSec (remote access)" exportierte Verbindung "Export connection" via schneckenVPN.tgb importiert.

Beim Verbindungsaufbau (gleiches Netz wie XG) erhalte ich dann folgende Meldung.

In den Logs finde ich irgendwie auch nichts brauchbare, aber ich bin Anfänger und suche ggf. noch falsch :-(

Hat jemand eine Idee, was ich falsch mache?

Vorab vielen Dank für die Hilfe.

Grüße
Marc



Added TAGs
[edited by: Erick Jan at 7:44 AM (GMT -7) on 29 May 2023]
Parents
  • Guck dir mal im verbindungsfile (das, welches unter Win10 importiert wird) ganz unten das Verbindungsziel an ... und korrigiere es ggf.

    Irgendwo geht das im GUI einzustellen, komme aber in der Schnelle nicht drauf.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo Dirk,

    ich habe die Verbindung in Sophos Connect gelöscht und mit der aktuellen IP neu importiert.

    Leider funktioniert es noch immer nicht.

    HIer mal das Log:

    2021-09-11 02:32:20PM 00[DMN] Starting IKE service charon-svc (strongSwan 5.8.0, Windows Client 6.2.9200 (SP 0.0)
    2021-09-11 02:32:20PM 00[LIB] TAP-Windows driver version 1.0 available.
    2021-09-11 02:32:22PM 00[LIB] opened TUN device: {03E6B0D1-E3F7-440C-B570-A30C2746A133}
    2021-09-11 02:32:22PM 00[LIB] loaded plugins: charon-svc nonce x509 pubkey pkcs1 pkcs7 pkcs8 pkcs12 pem openssl kernel-libipsec kernel-iph socket-win vici eap-identity eap-gtc eap-mschapv2 xauth-generic windows-dns
    2021-09-11 02:32:22PM 00[JOB] spawning 16 worker threads
    2021-09-11 02:32:24PM 17[KNL] interface 9 'Microsoft Wi-Fi Direct Virtual Adapter' appeared
    2021-09-11 02:32:24PM 18[KNL] interface 8 'Dell GigabitEthernet' changed state from Down to Up
    2021-09-11 02:32:24PM 18[KNL] interface 21 'Intel(R) Wireless-AC 9560 160MHz' changed state from Down to Up
    2021-09-11 02:32:55PM 18[KNL] interface 21 'Intel(R) Wireless-AC 9560 160MHz' changed state from Up to Down
    2021-09-11 02:34:09PM 18[KNL] interface 19 'Microsoft Wi-Fi Direct Virtual Adapter #2' appeared
    2021-09-11 02:34:37PM 08[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-11 02:34:38PM 11[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-11 02:34:39PM 07[LIB] TAP-Windows driver version 1.0 available.
    2021-09-11 02:34:40PM 19[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-11 02:34:42PM 07[CFG] added vici connection: schneckenVPN
    2021-09-11 02:34:42PM 08[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-11 02:34:42PM 06[IKE] <schneckenVPN|1> initiating Main Mode IKE_SA schneckenVPN[1] to 89.245.10.17
    2021-09-11 02:34:42PM 06[ENC] <schneckenVPN|1> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-11 02:34:42PM 06[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:34:45PM 11[IKE] <schneckenVPN|1> sending retransmit 1 of request message ID 0, seq 1
    2021-09-11 02:34:45PM 11[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:34:51PM 07[IKE] <schneckenVPN|1> sending retransmit 2 of request message ID 0, seq 1
    2021-09-11 02:34:51PM 07[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:35:03PM 14[IKE] <schneckenVPN|1> giving up after 2 retransmits
    2021-09-11 02:35:03PM 14[IKE] <schneckenVPN|1> establishing IKE_SA failed, peer not responding
    2021-09-11 02:35:03PM 10[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-11 02:35:03PM 09[ESP] unsupported IP version
    2021-09-11 02:35:03PM 19[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-11 02:35:04PM 08[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-11 02:35:05PM 14[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-11 02:35:36PM 10[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-11 02:35:36PM 11[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-11 02:35:38PM 13[LIB] TAP-Windows driver version 1.0 available.
    2021-09-11 02:35:38PM 19[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-11 02:35:40PM 13[CFG] added vici connection: schneckenVPN
    2021-09-11 02:35:40PM 09[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    

    Kannst du da den Grund sehen?

    Viele Grüße

    Marc

  • die IP "89.245.10.17" hat die Firewall, oder ist noch eine FritzBox.

    In letzterem fall: hat die eine Portweiterleitung auf die XG?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • "89.245.10.17" Ist die XG. Die FRITZ!Box ist als iP Client konfiguriert und ist hinter der XG

  • Hast du ein extra Netz für deine VPN Clients angelegt?
    Kannst du mal die .scx Datei nutzen?

  • ast du ein extra Netz für deine VPN Clients angelegt?

    Nee, die VPN Benutzer dürfen gerne in das normale LAN. Mein LAN Bereich ist 172.16.0.1 -172.16.7.254

    DHCP lasse ich im 172.16.7.* landen, VPN sollen im 172.16.6.* landen und der Rest im übrigen Netz.

    Kannst du mal die .scx Datei nutzen

    Heute morgen hatte ich die .scx mit der aktuellen IP angepasst und diese importiert. Hat aber auch nix gebracht.

    Vermutlich müsste ja auch meine Domain vpn.meinePublicDomain.de funktionieren oder?

  • Wenn die ext.IP unter vpn.meinePublicDomain.de aufgelöst wird, sollte das auch funktionieren.

    Sonst kommt die "IKE-port nicht erreichbar" Meldung.

    Versuche auch mal einen Adressbereich außerhalb deiner lokalen Subnetze. (10.11.12.0/24 z.B.).

    ... aber

    2021-09-11 02:34:42PM 06[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:34:45PM 11[IKE] <schneckenVPN|1> sending retransmit 1 of request message ID 0, seq 1
    2021-09-11 02:34:45PM 11[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:34:51PM 07[IKE] <schneckenVPN|1> sending retransmit 2 of request message ID 0, seq 1
    2021-09-11 02:34:51PM 07[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:35:03PM 14[IKE] <schneckenVPN|1> giving up after 2 retransmits

    sieht danach aus, als würde nix bei der XG ankommen, oder diese die Pakete nicht annehmen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • und dann noch ...

    In deinem ersten Screenshot hast du ein Interface mit einer anderen IP als 89.245.10.17 ausgewählt...

    da passt u.U. etwas nicht.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • und dann noch ...

    In deinem ersten Screenshot hast du ein Interface mit einer anderen IP als 89.245.10.17 ausgewählt...

    da passt u.U. etwas nicht.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data