SFOS 18.5.1 IPSec (remote access) stellt keine Verbindung her

Hallo zusammen,

leider habe ich jetzt nicht nur das SIP Problem, sondern ich schaffe es auch nicht eine VPN-Verbindung herzustellen.

Ich bin bei der Einrichtung nach folgender Anleitung vorgegangen: https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/VPNIPsecSophosConnectClient.html

In der XG habe ich also 2 Einstellungen vorgenommen.

IPSec

 :

FirewallRegel

Im Userportal habe ich dann das Profil auf meinem iPhone installiert und versucht zu starten.

Aber mit angeschaltetem WLAN (gleiches Netz wie XG) bekomme ich folgende Meldung: Der VPN-Server antwortet nicht.

Aus dem Internet erhalte ich folgende Meldung: Kommunikation mit dem VPN-Server fehlgeschlagen

Danach habe ich Sophos Connect unter Windows 10 installiert und die aus " IPSec (remote access)" exportierte Verbindung "Export connection" via schneckenVPN.tgb importiert.

Beim Verbindungsaufbau (gleiches Netz wie XG) erhalte ich dann folgende Meldung.

In den Logs finde ich irgendwie auch nichts brauchbare, aber ich bin Anfänger und suche ggf. noch falsch :-(

Hat jemand eine Idee, was ich falsch mache?

Vorab vielen Dank für die Hilfe.

Grüße
Marc

Top Replies

Parents
  • Guck dir mal im verbindungsfile (das, welches unter Win10 importiert wird) ganz unten das Verbindungsziel an ... und korrigiere es ggf.

    Irgendwo geht das im GUI einzustellen, komme aber in der Schnelle nicht drauf.


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

  • Hallo Dirk,

    ich habe die Verbindung in Sophos Connect gelöscht und mit der aktuellen IP neu importiert.

    Leider funktioniert es noch immer nicht.

    HIer mal das Log:

    2021-09-11 02:32:20PM 00[DMN] Starting IKE service charon-svc (strongSwan 5.8.0, Windows Client 6.2.9200 (SP 0.0)
    2021-09-11 02:32:20PM 00[LIB] TAP-Windows driver version 1.0 available.
    2021-09-11 02:32:22PM 00[LIB] opened TUN device: {03E6B0D1-E3F7-440C-B570-A30C2746A133}
    2021-09-11 02:32:22PM 00[LIB] loaded plugins: charon-svc nonce x509 pubkey pkcs1 pkcs7 pkcs8 pkcs12 pem openssl kernel-libipsec kernel-iph socket-win vici eap-identity eap-gtc eap-mschapv2 xauth-generic windows-dns
    2021-09-11 02:32:22PM 00[JOB] spawning 16 worker threads
    2021-09-11 02:32:24PM 17[KNL] interface 9 'Microsoft Wi-Fi Direct Virtual Adapter' appeared
    2021-09-11 02:32:24PM 18[KNL] interface 8 'Dell GigabitEthernet' changed state from Down to Up
    2021-09-11 02:32:24PM 18[KNL] interface 21 'Intel(R) Wireless-AC 9560 160MHz' changed state from Down to Up
    2021-09-11 02:32:55PM 18[KNL] interface 21 'Intel(R) Wireless-AC 9560 160MHz' changed state from Up to Down
    2021-09-11 02:34:09PM 18[KNL] interface 19 'Microsoft Wi-Fi Direct Virtual Adapter #2' appeared
    2021-09-11 02:34:37PM 08[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-11 02:34:38PM 11[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-11 02:34:39PM 07[LIB] TAP-Windows driver version 1.0 available.
    2021-09-11 02:34:40PM 19[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-11 02:34:42PM 07[CFG] added vici connection: schneckenVPN
    2021-09-11 02:34:42PM 08[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    2021-09-11 02:34:42PM 06[IKE] <schneckenVPN|1> initiating Main Mode IKE_SA schneckenVPN[1] to 89.245.10.17
    2021-09-11 02:34:42PM 06[ENC] <schneckenVPN|1> generating ID_PROT request 0 [ SA V V V V V ]
    2021-09-11 02:34:42PM 06[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:34:45PM 11[IKE] <schneckenVPN|1> sending retransmit 1 of request message ID 0, seq 1
    2021-09-11 02:34:45PM 11[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:34:51PM 07[IKE] <schneckenVPN|1> sending retransmit 2 of request message ID 0, seq 1
    2021-09-11 02:34:51PM 07[NET] <schneckenVPN|1> sending packet: from 172.16.3.100[51793] to 89.245.10.17[500] (180 bytes)
    2021-09-11 02:35:03PM 14[IKE] <schneckenVPN|1> giving up after 2 retransmits
    2021-09-11 02:35:03PM 14[IKE] <schneckenVPN|1> establishing IKE_SA failed, peer not responding
    2021-09-11 02:35:03PM 10[CFG] vici terminate IKE_SA 'schneckenVPN'
    2021-09-11 02:35:03PM 09[ESP] unsupported IP version
    2021-09-11 02:35:03PM 19[KNL] interface 2 'Sophos TAP Adapter' changed state from Up to Down
    2021-09-11 02:35:04PM 08[CFG] unloaded shared key with id 'schneckenVPN-psk-id'
    2021-09-11 02:35:05PM 14[CFG] unloaded shared key with id 'schneckenVPN-user-id'
    2021-09-11 02:35:36PM 10[CFG] loaded IKE shared key with id 'schneckenVPN-psk-id' for: '%any'
    2021-09-11 02:35:36PM 11[CFG] loaded EAP shared key with id 'schneckenVPN-user-id' for: 'marc'
    2021-09-11 02:35:38PM 13[LIB] TAP-Windows driver version 1.0 available.
    2021-09-11 02:35:38PM 19[KNL] interface 2 'Sophos TAP Adapter' changed state from Down to Up
    2021-09-11 02:35:40PM 13[CFG] added vici connection: schneckenVPN
    2021-09-11 02:35:40PM 09[CFG] vici initiate CHILD_SA 'schneckenVPN-tunnel-1'
    

    Kannst du da den Grund sehen?

    Viele Grüße

    Marc

  • Habe gestern noch SSL-VPN getestet und das funktioniert ohne Probleme.

    Auch ein Zugriff auf meinen Webserver funktioniert von außen ohne Probleme.

    Normalerweise würde ich jetzt sagen, dass der Zugriff über SSL in Ordnung ist, aber ich verwende seit Jahren IPSec mit einem onDemand VPN-Aufbau. Da möchte ich eigentlich nicht drauf verzichten oder gar meiner Frau erklären wollen ;-)

    Ich habe noch im Log folgenden Fehler gefunden: 16[ESP] unsupported IP version

  • Hallo, wir haben mit dem Sophos Connect Client auch unsere Problemchen gehabt und zudem kann man dort keine Routen pushen. Jedes Mal die Datei anpassen, wenn sich im Netz etwas geändert hat war dann doch zu nervig.

    Wir haben deshalb auch wieder SSL-VPN im Einsatz wie bei der ehemaligen UTM und dort funktioniert alles ohne Probleme. Bitte beachte, dass hier ggf. MTU-Anpassungen in der Client Config erforderlich sind, solltest du Verbindungsaussetzer haben.

    Da du einen DSL-Anschluss hast, ist MTU 1492 - in die OVPN-Datei habe ich deshalb "tun-mtu 1480" und
    mssfix 1440 eingetragen.

    Einbinden ist relativ easy per OpenVPN, das schafft sogar deine Frau. :-)

    Bitte nutze UDP und nicht TCP - das bremst unnötig.

    Was für ein Internet-Gateway ist denn im Einsatz? Hat sich hier etwas geändert?

    Gruß

  • Als DSL-Modem verwende ich ein Zyxel VDSL2. Hab mich auch schon gefragt, ob das irgendwie doch blockert obwohl es nur im Bridge-Modus läuft.

    Funktioniert onDemand mit OpenVPN auf einem iPhone?

  • Schwer zu sagen, kann aber gut möglich sein. Für IPSec ist das ESP-Protokoll nötig, ggf. wird das gefiltert.

    Ich verstehe nur nicht, was du mit onDemand meinst?

  • Mit OnDemand meine ich, dass beim Zugriff auf eine Domain des internen Netzwerks automatisch ein VPN-Tunnel aufgebaut wird
  • Coole funktion fürs iPhone - kannte ich so noch nicht. Scheinbar soll es aber klappen, muss ich ebenfalls mal testen.

    www.heiko-zimmermann.com/.../24

  • Vorab vielen Dank an alle, welche mich hier unterstützt haben und speziell , welcher vorgestern Abend zusammen mit mir die Probleme gesucht hat.

    In der Firewallregel habe ich noch einen eigenen Netzbereich eingegeben, welcher nicht mit dem LAN kollidiert. Dies hatte ich ja schon bereits in VPN-Bereich gemacht, aber so ist es wahrscheinlich sauberer.

    Hauptproblem wahr scheinbar, dass IPSec aus dem eigenen Netzwerk in meiner Konfiguration nicht funktioniert. Ein Aufbau aus einem anderen Netzwerk funktioniert. SSL-VPN hingegen hat auch aus dem eigenen Netzwerk funktioniert.


    Nachdem Windows über IPSec funktionierte, habe ich dann noch IPSec über iOS hinbekommen und musste hier feststellen, dass Sophos meiner Meinung nach einen Bug hat. iOS erwartet den das SharedSecret base64 codiert, aber Sopohs hat da irgendwas ganz anderes.
    Nachdem ich das SharedSecret als base64 codiert hatte, funktionierte IPSec sofort. Danach habe ich noch onDemand konfiguriert. Auch das funktioniert sehr gut.

    Insgesamt funktioniert IPSec nun sehr gut und ohne Probleme.

    Hier ein paar Screenshots, um meine konfiguriert darzustellen:

    Wichtig ist auch das aktivieren von DNS in der VPN-Zone, damit DNS-Abfragen funktionieren:

    Das müssten alle Konfigurationen in der XG sein.
    Hier jetzt noch die iOS Konfiguration:

    <plist version="1.0">
    <dict>
            <key>PayloadContent</key>
            <array>
                    <dict>
                            <key>IPSec</key>
                            <dict>
                                    <key>AuthenticationMethod</key>
                                    <string>SharedSecret</string>
                                    <key>RemoteAddress</key>
                                    <string>xg.myhome.de</string>
                                    <key>SharedSecret</key>
                                    <data>***SharedSecret als BASE64***</data>
                                    <key>XAuthEnabled</key>
                                    <integer>1</integer>
    																<!-- VPN-On-Demand Codeblock -->
    																<key>OnDemandEnabled</key>
    																<integer>1</integer>
    																<key>OnDemandRules</key>
    																<array>
    																<!-- VPN beim Zugriff auf Heimnetz-Adressen aufbauen -->
    																	<dict>
    																		<key>Action</key>
    																		<string>EvaluateConnection</string>
    																		<key>ActionParameters</key>
    																		<array>
    																			<dict>
    																				<key>Domains</key>
    																				<array>
    																					<string>HOST1</string>
    																					<string>HOST2</string>
    																					<string>....</string>
    												                  <string>fritz.box</string>
    												                  <string>*.fritz.box</string>
    												                  <string>*.myhome.intern</string>
    																				</array>
    																				<key>RequiredDNSServers</key>
    																				<string>172.16.0.1</string>
    																				<key>DomainAction</key>
    																				<string>ConnectIfNeeded</string>
    																			</dict>
    																		</array>
    																	</dict>
    																	<dict>
    																		<key>DNSServerAddressMatch</key>
    																			<array>
    																				<string>172.16.0.1</string>
    																				<string>172.16.0.*</string>
    																				<string>172.16.1.*</string>
    																				<string>172.16.2.*</string>
    																				<string>172.16.3.*</string>
    																				<string>172.16.4.*</string>
    																				<string>172.16.5.*</string>
    																				<string>172.16.6.*</string>
    																				<string>172.16.7.*</string>
    																			</array>
    																		<key>Action</key>
    																		<string>Connect</string>
    																	</dict>
    																	<dict>
    																		<!-- VPN bei ausgewählten WLAN-Netzen deaktivieren -->
    																		<key>InterfaceTypeMatch</key>
    																		<string>WiFi</string>
    																		<key>SSIDMatch</key>
    																		<array>
    																			<string>*** SSID 1 ****</string>
    																			<string>*** SSID 2 ****</string>
    																		</array>
    																		<key>Action</key>
    																		<string>Disconnect</string>
    																	</dict>
    																	<dict>
    																		<!-- VPN bei aktiver WLAN-Verbindung aktivieren -->
    																		<!-- "Connect", "Disconnect", or "Ignore" if device is connected to any other WiFi network -->
    																		<key>InterfaceTypeMatch</key>
    																		<string>WiFi</string>
    																		<key>Action</key>
    																		<string>Connect</string>
    																	</dict>
    																	<dict>
    												             <!-- VPN im Mobilfunknetz nicht aktivieren - falls eine Verbindung auch beim Mobilfunk gewünscht ist, dann muss hier die Action auf "Connect" geändert werden -->
    												             <!-- "Connect", "Disconnect", or "Ignore" if device is connected to a Cellular network -->
    												 						<key>InterfaceTypeMatch</key>
    																		<string>Cellular</string>
    																		<key>Action</key>
    																		<string>Connect</string>
    																	</dict>
    																	<dict>
    																		<!-- VPN Default state -->
    																		<key>Action</key>
    																		<string>Ignore</string>
    																	</dict>
    																</array>
    																<!-- VPN-On-Demand Codeblock ENDE-->
                            </dict>
                            <key>IPv4</key>
                            <dict>
                                    <key>OverridePrimary</key>
                                    <integer>0</integer>
                            </dict>
                            <key>PayloadDescription</key>
                            <string>Configures VPN settings, including authentication.</string>
                            <key>PayloadDisplayName</key>
                            <string>Sophos IPSEC settings</string>
                            <key>PayloadIdentifier</key>
                            <string>com.sophos.iphone.profile.vpn1</string>
                            <key>PayloadOrganization</key>
                            <string>Sophos</string>
                            <key>PayloadType</key>
                            <string>com.apple.vpn.managed</string>
                            <key>PayloadUUID</key>
                            <string>***PayloadUUID von Sophos***</string>
                            <key>PayloadVersion</key>
                            <integer>1</integer>
                            <key>Proxies</key>
                            <dict/>
                            <key>UserDefinedName</key>
                            <string>*** name vom IPSec Tunnel in Sophos***</string>
                            <key>VPNType</key>
                            <string>IPSec</string>
                    </dict>
            </array>
            <key>PayloadDescription</key>
            <string>Sophos profile for iPhone.</string>
            <key>PayloadDisplayName</key>
            <string>Sophos profile</string>
            <key>PayloadIdentifier</key>
            <string>com.sophos.iphone.profile</string>
            <key>PayloadOrganization</key>
            <string>Sophos</string>
            <key>PayloadRemovalDisallowed</key>
            <false/>
            <key>PayloadType</key>
            <string>Configuration</string>
            <key>PayloadUUID</key>
            <string>***PayloadUUID von Sophos***</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
    </dict>
    </plist>
    

    Vielleicht hilft dies anderen mit ähnlichen Problemen und  bei einem onDemand Test mit iPhone und Co

    Viele Grüße
    Marc

  • Cool. Vielen Dank für die Rückmeldung! 

  • Finde es immer sehr schade, wenn Benutzer keine Rückmeldung geben und somit ein bisschen egoistisch handeln. Es sollen doch allen davon profitieren.

  • Da stimme ich dir zu 100% zu. Ist leider viel zu oft der Fall.

Reply Children
No Data