Schönen guten Tag liebe Sophos Gemeinde.
Ich würde gerne mal eure Meinung hören, da mich das Thema schon seit einiger Zeit verfolgt. Vielleicht weiß hier jemand, woran es tatsächlich liegt. Der Sophos Support konnte nur feststellen, dass eigentlich alles richtig ist….. Aber eine Erklärung oder gar Lösung hat bisher niemand wirklich. Im Prinzip habe ich sogar eine Lösung dafür, die mir aber nicht wirklich gefällt.
Firmware: SFOS 19.5.3 MR-3-Build652 auf allen angegeben Sophos
Problem: Site-to-Site IPSec IKEv2 VPN
Quelle: IPSec Head office (IKEv2), diese Sophos bauen auf.
08x XGS 136
06x XGS 126
40x XGS 107
05x XGS 87
Ziel: IPSec Branch office (IKEv2), diese Sophos nimmt an
01x XGS 136
Um die Verbindungen aufzubauen, gibt es eine extra Internetleitung. Telekom DSL 100/40 MBit/s an einem Vigor 167, Sophos 136 übernimmt die PPPoE Einwahl.
Szenario:
59 VPN Verbindungen werden von der Sophos XGS 136 gehalten. Hier ist jede Verbindung gleich konfiguriert. Verbindung annehmen, Profil „Branch Office (IKEv2)“ PSK immer 32 Zeichen (mit und ohne Sonderzeichen getestet, sowie 16 oder 20 Zeichen). Die E-Mail-Adressen, Lokale ID/ Entfernte ID, ID-Typ/Mail sind beide unterschiedlich für die lokale und entfernte Gegenstelle. Die entfernten Gegenstellen sind auch alle gleich konfiguriert. Verbindung aufbauen, Profil „Head Office (IKEv2)“, ID-Typ/Mail. Für jede Verbindung wird ein einiger PSK verwendet. Die VPN Verbindungen bauen sich auf und alles ist super, die Verbindungen laufen schnell, flüssig, einfach Top!
Die Sophos 136, die alle Verbindungen annimmt, trennt um 3:00 Uhr Morgens den DSler (24 Stunden Disconect). Schaue ich dann Morgens um 7.00 Uhr auf die Sophos 136 sind alle VPN Verbindungen getrennt, außer die letzte die eingerichtet wurde! Setze ich auf der Gegenstelle sowie auf der Sophos 136 einen neuen PSK, baut sich die Verbindung sofort wieder auf! Am nächsten Morgen sieht man wieder, alle VPNs sind getrennt bis, auf die letzte, die eingerichtet wurde.
Lösungsversuche:
Profil „Brach Office (IKEv2)“ kopiert, und zwar 59-mal für jede Verbindung ein extra Profil angelegt, auch das führt am nächsten Morgen zu dem Ergebnis, dass alle VPNs wieder getrennt sind, bis auf die Letzte, die eingerichtet wurde. Andre DSL Leitung verwendet, Aufbau und Annahme Richtung der Sophos geändert. All dies brachte keinerlei Besserung!
Lösung:
Zum Testen habe ich einen 64-stelligen PSK generiert, mit Zahlen, Groß und Kleinbuchstaben, sowie Sonderzeichen. Diesen PSK habe ich für ALLE 59 VPN Verbindungen verwendet! Siehe da morgens stehen die VPNs wieder nach einem 24 Stunden Disconect vom DSLer, schalte ich das Vigor Modem aus und starte es neu kommen die VPNs IMMER zurück. Ich habe alle nur denkbaren Varriationen versucht, weil ich eigentlich 1 nicht den gleichen PSK überall verwenden möchte und 2 muss ich den PSK entsprechend dokumentieren, was nicht so das Problem ist, aber gefallen tut es mir NICHT.
Anmerkung:
Wenn ich 20 Sophos auf eine andere Internetleitung lege z.B. auf NetCologne habe ich hier das gleiche Problem, solange die PSK gleich sind halten die Verbindungen. Ändere ich bei einer Sophos den PSK oder füge eine neue Verbindung hinzu, sind auch diese am anderen Morgen offline bis auf die letzte eingerichtete Verbindung!
Viele Grüße und besten Dank
Patrick
This thread was automatically locked due to age.
