This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Connect v2.1 + XG v18.5, IPsec profile wird nicht übertragen (*.pro)

Hallo zusammen,
wir haben zwei Standorte mit jeweils einer xg230 / v18.5.
Wir wollen per *.pro file die Konfiguration automatisch an die Clients ausrollen.
Das geht soweit bis auf einen Standort wo nur das SSL Profile übertragen wird, jedoch nicht das IPsec Profile.
Der einzige Unterschied zu der FW bei der es funktioniert ist, das in den IPsec "Advance settings" keine Daten eingetragen wurden.

Frage, muss damit das IPSec Profile erfolgreich per *.pro file übertragen werden kann, die "Advance Settings" mit Daten ausgefüllt werden ?

Danke und Gruß
Stefan

,#,#,#

Hello all,
we have two sites, each with a xg230-v18.5 firewall.
We want to roll out the configuration automatically to the clients via *.pro file.
This works so far except for one site where only the SSL profile is transferred but not the IPsec profile.
The only difference to the FW where it works is that no settings are entered in the IPsec "Advance settings".
Question, in order for the IPSec profile to be successfully transmitted via *.pro file, does the "Advance Settings" need to be filled in with data ?

Thanks and greetings
Stefan

Added TAGs
[edited by: Erick Jan at 1:34 AM (GMT -7) on 30 May 2023]

Parents

0 LuCar Toni over 2 years ago

.pro Datei ist nur für SSLVPN. IPsec hat keinen Auto Deployment modus (bzw. update mechanismus). Hier einfach mit .SCX arbeiten, diese einmalig bauen, wie man das möchte und an die Clients mittels Software Deployment etc. ausrollen.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 StefanS over 2 years ago in reply to LuCar Toni

Hi LucarToni,
hab diesen Thread gefunden, da warst du auch mit dabei.
Hier wird bestätigt das der neuen v2.1 Client beide Profile lädt, aber anscheinend nur (zumindest bei mir) wenn Advance Settings gefüllt sind.

https://community.sophos.com/sophos-xg-firewall/f/discussions/128996/old-ipsec-vpn-automatically-populates-in-sophos-connect-client-after-switching-to-ssl-vpn
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 2 years ago in reply to StefanS

Das ist wie gesagt ein One Time Sync.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 StefanS over 2 years ago in reply to LuCar Toni

OK, das ist aber sehr verwirrend.
Bei der eine FW so und bei der anderen so (bug or feature), wie erkläre ich das den Usern ?
Also wie verteile ich den v2.1 Sophos Connect Client für "beide FW" gleich ohne hier grosse Verwirrung zu stiften ??
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 2 years ago in reply to StefanS

Nutz bei beiden Firewalls SSLVPN only über die Pro file. Aktuell sehe ich keinen Use Case für IPsec in diesem Szenario. Warum möchtest du beides nutzen?

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 StefanS over 2 years ago in reply to LuCar Toni

LuCar Toni,
gerade der v.2.1 wird von Sophos aktiv beworben das er "sowohl" SSL als auch IPSec gleichzeitig kann.
Dies wollen wir umsetzen, was uns aus den geschilderten Problemen aktuell nicht wirklich gelingt.
Deshalb noch mal die Frage, wie rollen wir mit den oben geschilderten Problemen den Sophos Connect Client v.2.1 aus,
so das wir SSL und IPSec nutzen können und das "unabhängig" ob das nun Sinn macht oder nicht.
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 2 years ago in reply to StefanS

Du kannst es via SCX manuell ausrollen an alle Clients. Wie du auch die .Pro ausrollst. Wie gesagt, wird es jedoch nicht auf Änderungen reagieren, wie es der SSLVPN Client kann.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 LuCar Toni over 2 years ago in reply to StefanS

Du kannst es via SCX manuell ausrollen an alle Clients. Wie du auch die .Pro ausrollst. Wie gesagt, wird es jedoch nicht auf Änderungen reagieren, wie es der SSLVPN Client kann.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 StefanS over 2 years ago in reply to LuCar Toni

LuCar Toni said:
Wie gesagt, wird es jedoch nicht auf Änderungen reagieren, wie es der SSLVPN Client kann

Damit können wir leben.
Kennst das Verhalten dass das IPSec Profiel nur abtragen wird wenn die "Advance Settings" ausgefüllt sind ?
Ferner ist mir aufgefallen ins Sachen "Advance Settings", wenn ich eine User in "Allowed User and Groups" hinzufüge und "Advance Settings" nicht ausgefüllt ist die FW verlangt das diese ebenfalls ausgefüllt werden.
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 2 years ago in reply to StefanS

Das kann ich so nicht beantworten, ich verwende das Feature nicht oft, da es in die SAs eingreift. Daher halte ich IPsec "simple" und steuer alles über das SCX.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel