Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 23 replies
  • Subscribers 10 subscribers
  • Views 10285 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SFOS 18.5.1 IPSec (remote access) stellt keine Verbindung her

initB10r

Hallo zusammen,

leider habe ich jetzt nicht nur das SIP Problem, sondern ich schaffe es auch nicht eine VPN-Verbindung herzustellen.

Ich bin bei der Einrichtung nach folgender Anleitung vorgegangen: https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/VPNIPsecSophosConnectClient.html

In der XG habe ich also 2 Einstellungen vorgenommen.

IPSec

:

FirewallRegel

Im Userportal habe ich dann das Profil auf meinem iPhone installiert und versucht zu starten.

Aber mit angeschaltetem WLAN (gleiches Netz wie XG) bekomme ich folgende Meldung: Der VPN-Server antwortet nicht.

Aus dem Internet erhalte ich folgende Meldung: Kommunikation mit dem VPN-Server fehlgeschlagen

Danach habe ich Sophos Connect unter Windows 10 installiert und die aus " IPSec (remote access)" exportierte Verbindung "Export connection" via schneckenVPN.tgb importiert.

Beim Verbindungsaufbau (gleiches Netz wie XG) erhalte ich dann folgende Meldung.

In den Logs finde ich irgendwie auch nichts brauchbare, aber ich bin Anfänger und suche ggf. noch falsch :-(

Hat jemand eine Idee, was ich falsch mache?

Vorab vielen Dank für die Hilfe.

Grüße
Marc



Added TAGs
[edited by: Erick Jan at 7:44 AM (GMT -7) on 29 May 2023]
  • 0 in reply to dirkkotte
    dirkkotte said:
    83.135.141.111

    Das ist die aktuelle IP von der XG

    Da ich ein Heimanwender bin, wird nachts eine DSL-Zwangstrennung durchgeführt und dann habe ich wieder eine neue IP

  • 0 in reply to initB10r

    ok, da komme ich nicht weiter.

    Wenn externe IP + Konfiguraion + Logfile die gleiche IP verwenden/zeigen .... sollte doch alles passen.

    Evtl. kommt der IPSec Listener nicht mit veränderlichen IP's am Interface oder dem PPPoE selbst klar...?

    Ich stelle die FritzBoxen lieber vor die Firewall und leite die nötigen Ports via PortForwarding weiter, dann habe gleich noch eine 2. Firewall-Stufe. Das funktioniertebisher n allen fällen.

    Ist natürlich blöd, wenn man das Gerät als NAS / Drucker-Box verwenden will und das lieber hinter der FW hat.  

    Du könntest die SSL-VPN/OpenVPN Variante probieren.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Dann müsst es ja bei der ersten einrichtung funktioniert haben. Wenn er seine Wan IP angibt sollte es funktionieren oder DDNS aber der Löst ja auch mit zur WAN IP auf.Ich habe Mal die Wan IP (keine PPPoE) meiner XG geändert, mein VPN geht immer nochThumbsup

  • 0 in reply to FCL

    Habe gestern noch SSL-VPN getestet und das funktioniert ohne Probleme.

    Auch ein Zugriff auf meinen Webserver funktioniert von außen ohne Probleme.

    Normalerweise würde ich jetzt sagen, dass der Zugriff über SSL in Ordnung ist, aber ich verwende seit Jahren IPSec mit einem onDemand VPN-Aufbau. Da möchte ich eigentlich nicht drauf verzichten oder gar meiner Frau erklären wollen ;-)

    Ich habe noch im Log folgenden Fehler gefunden: 16[ESP] unsupported IP version

  • 0 in reply to initB10r

    Hallo, wir haben mit dem Sophos Connect Client auch unsere Problemchen gehabt und zudem kann man dort keine Routen pushen. Jedes Mal die Datei anpassen, wenn sich im Netz etwas geändert hat war dann doch zu nervig.

    Wir haben deshalb auch wieder SSL-VPN im Einsatz wie bei der ehemaligen UTM und dort funktioniert alles ohne Probleme. Bitte beachte, dass hier ggf. MTU-Anpassungen in der Client Config erforderlich sind, solltest du Verbindungsaussetzer haben.

    Da du einen DSL-Anschluss hast, ist MTU 1492 - in die OVPN-Datei habe ich deshalb "tun-mtu 1480" und
    mssfix 1440 eingetragen.

    Einbinden ist relativ easy per OpenVPN, das schafft sogar deine Frau. :-)

    Bitte nutze UDP und nicht TCP - das bremst unnötig.

    Was für ein Internet-Gateway ist denn im Einsatz? Hat sich hier etwas geändert?

    Gruß

  • 0 in reply to TechSmile

    Als DSL-Modem verwende ich ein Zyxel VDSL2. Hab mich auch schon gefragt, ob das irgendwie doch blockert obwohl es nur im Bridge-Modus läuft.

    Funktioniert onDemand mit OpenVPN auf einem iPhone?

  • 0 in reply to initB10r

    Schwer zu sagen, kann aber gut möglich sein. Für IPSec ist das ESP-Protokoll nötig, ggf. wird das gefiltert.

    Ich verstehe nur nicht, was du mit onDemand meinst?

  • 0 in reply to TechSmile
    Mit OnDemand meine ich, dass beim Zugriff auf eine Domain des internen Netzwerks automatisch ein VPN-Tunnel aufgebaut wird
  • 0 in reply to initB10r

    Coole funktion fürs iPhone - kannte ich so noch nicht. Scheinbar soll es aber klappen, muss ich ebenfalls mal testen.

    www.heiko-zimmermann.com/.../24

  • +1 in reply to dirkkotte

    Vorab vielen Dank an alle, welche mich hier unterstützt haben und speziell , welcher vorgestern Abend zusammen mit mir die Probleme gesucht hat.

    In der Firewallregel habe ich noch einen eigenen Netzbereich eingegeben, welcher nicht mit dem LAN kollidiert. Dies hatte ich ja schon bereits in VPN-Bereich gemacht, aber so ist es wahrscheinlich sauberer.

    Hauptproblem wahr scheinbar, dass IPSec aus dem eigenen Netzwerk in meiner Konfiguration nicht funktioniert. Ein Aufbau aus einem anderen Netzwerk funktioniert. SSL-VPN hingegen hat auch aus dem eigenen Netzwerk funktioniert.


    Nachdem Windows über IPSec funktionierte, habe ich dann noch IPSec über iOS hinbekommen und musste hier feststellen, dass Sophos meiner Meinung nach einen Bug hat. iOS erwartet den das SharedSecret base64 codiert, aber Sopohs hat da irgendwas ganz anderes.
    Nachdem ich das SharedSecret als base64 codiert hatte, funktionierte IPSec sofort. Danach habe ich noch onDemand konfiguriert. Auch das funktioniert sehr gut.

    Insgesamt funktioniert IPSec nun sehr gut und ohne Probleme.

    Hier ein paar Screenshots, um meine konfiguriert darzustellen:

    Wichtig ist auch das aktivieren von DNS in der VPN-Zone, damit DNS-Abfragen funktionieren:

    Das müssten alle Konfigurationen in der XG sein.
    Hier jetzt noch die iOS Konfiguration:

    <plist version="1.0">
<dict>
        <key>PayloadContent</key>
        <array>
                <dict>
                        <key>IPSec</key>
                        <dict>
                                <key>AuthenticationMethod</key>
                                <string>SharedSecret</string>
                                <key>RemoteAddress</key>
                                <string>xg.myhome.de</string>
                                <key>SharedSecret</key>
                                <data>***SharedSecret als BASE64***</data>
                                <key>XAuthEnabled</key>
                                <integer>1</integer>
																<!-- VPN-On-Demand Codeblock -->
																<key>OnDemandEnabled</key>
																<integer>1</integer>
																<key>OnDemandRules</key>
																<array>
																<!-- VPN beim Zugriff auf Heimnetz-Adressen aufbauen -->
																	<dict>
																		<key>Action</key>
																		<string>EvaluateConnection</string>
																		<key>ActionParameters</key>
																		<array>
																			<dict>
																				<key>Domains</key>
																				<array>
																					<string>HOST1</string>
																					<string>HOST2</string>
																					<string>....</string>
												                  <string>fritz.box</string>
												                  <string>*.fritz.box</string>
												                  <string>*.myhome.intern</string>
																				</array>
																				<key>RequiredDNSServers</key>
																				<string>172.16.0.1</string>
																				<key>DomainAction</key>
																				<string>ConnectIfNeeded</string>
																			</dict>
																		</array>
																	</dict>
																	<dict>
																		<key>DNSServerAddressMatch</key>
																			<array>
																				<string>172.16.0.1</string>
																				<string>172.16.0.*</string>
																				<string>172.16.1.*</string>
																				<string>172.16.2.*</string>
																				<string>172.16.3.*</string>
																				<string>172.16.4.*</string>
																				<string>172.16.5.*</string>
																				<string>172.16.6.*</string>
																				<string>172.16.7.*</string>
																			</array>
																		<key>Action</key>
																		<string>Connect</string>
																	</dict>
																	<dict>
																		<!-- VPN bei ausgewählten WLAN-Netzen deaktivieren -->
																		<key>InterfaceTypeMatch</key>
																		<string>WiFi</string>
																		<key>SSIDMatch</key>
																		<array>
																			<string>*** SSID 1 ****</string>
																			<string>*** SSID 2 ****</string>
																		</array>
																		<key>Action</key>
																		<string>Disconnect</string>
																	</dict>
																	<dict>
																		<!-- VPN bei aktiver WLAN-Verbindung aktivieren -->
																		<!-- "Connect", "Disconnect", or "Ignore" if device is connected to any other WiFi network -->
																		<key>InterfaceTypeMatch</key>
																		<string>WiFi</string>
																		<key>Action</key>
																		<string>Connect</string>
																	</dict>
																	<dict>
												             <!-- VPN im Mobilfunknetz nicht aktivieren - falls eine Verbindung auch beim Mobilfunk gewünscht ist, dann muss hier die Action auf "Connect" geändert werden -->
												             <!-- "Connect", "Disconnect", or "Ignore" if device is connected to a Cellular network -->
												 						<key>InterfaceTypeMatch</key>
																		<string>Cellular</string>
																		<key>Action</key>
																		<string>Connect</string>
																	</dict>
																	<dict>
																		<!-- VPN Default state -->
																		<key>Action</key>
																		<string>Ignore</string>
																	</dict>
																</array>
																<!-- VPN-On-Demand Codeblock ENDE-->
                        </dict>
                        <key>IPv4</key>
                        <dict>
                                <key>OverridePrimary</key>
                                <integer>0</integer>
                        </dict>
                        <key>PayloadDescription</key>
                        <string>Configures VPN settings, including authentication.</string>
                        <key>PayloadDisplayName</key>
                        <string>Sophos IPSEC settings</string>
                        <key>PayloadIdentifier</key>
                        <string>com.sophos.iphone.profile.vpn1</string>
                        <key>PayloadOrganization</key>
                        <string>Sophos</string>
                        <key>PayloadType</key>
                        <string>com.apple.vpn.managed</string>
                        <key>PayloadUUID</key>
                        <string>***PayloadUUID von Sophos***</string>
                        <key>PayloadVersion</key>
                        <integer>1</integer>
                        <key>Proxies</key>
                        <dict/>
                        <key>UserDefinedName</key>
                        <string>*** name vom IPSec Tunnel in Sophos***</string>
                        <key>VPNType</key>
                        <string>IPSec</string>
                </dict>
        </array>
        <key>PayloadDescription</key>
        <string>Sophos profile for iPhone.</string>
        <key>PayloadDisplayName</key>
        <string>Sophos profile</string>
        <key>PayloadIdentifier</key>
        <string>com.sophos.iphone.profile</string>
        <key>PayloadOrganization</key>
        <string>Sophos</string>
        <key>PayloadRemovalDisallowed</key>
        <false/>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadUUID</key>
        <string>***PayloadUUID von Sophos***</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
</dict>
</plist>

    Vielleicht hilft dies anderen mit ähnlichen Problemen und  bei einem onDemand Test mit iPhone und Co

    Viele Grüße
    Marc

Unfiltered HTML