Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site IPSec IKEv2 VPN

Schönen guten Tag liebe Sophos Gemeinde.
Ich würde gerne mal eure Meinung hören, da mich das Thema schon seit einiger Zeit verfolgt. Vielleicht weiß hier jemand, woran es tatsächlich liegt. Der Sophos Support konnte nur feststellen, dass eigentlich alles richtig ist.. Aber eine Erklärung oder gar Lösung hat bisher niemand wirklich. Im Prinzip habe ich sogar eine Lösung dafür, die mir aber nicht wirklich gefällt.

Firmware:           SFOS 19.5.3 MR-3-Build652 auf allen angegeben Sophos
Problem:             Site-to-Site IPSec IKEv2 VPN

Quelle: IPSec Head office (IKEv2), diese Sophos bauen auf.                          
08x XGS 136
06x XGS 126
40x XGS 107
05x XGS   87

Ziel: IPSec Branch office (IKEv2), diese Sophos nimmt an
01x XGS 136

Um die Verbindungen aufzubauen, gibt es eine extra Internetleitung. Telekom DSL 100/40 MBit/s an einem Vigor 167, Sophos 136 übernimmt die PPPoE Einwahl.


Szenario:
59 VPN Verbindungen werden von der Sophos XGS 136 gehalten. Hier ist jede Verbindung gleich konfiguriert. Verbindung annehmen, Profil „Branch Office (IKEv2)“ PSK immer 32 Zeichen (mit und ohne Sonderzeichen getestet, sowie 16 oder 20 Zeichen). Die E-Mail-Adressen, Lokale ID/ Entfernte ID, ID-Typ/Mail sind beide unterschiedlich für die lokale und entfernte Gegenstelle. Die entfernten Gegenstellen sind auch alle gleich konfiguriert. Verbindung aufbauen, Profil „Head Office (IKEv2)“, ID-Typ/Mail. Für jede Verbindung wird ein einiger PSK verwendet. Die VPN Verbindungen bauen sich auf und alles ist super, die Verbindungen laufen schnell, flüssig, einfach Top!
Die Sophos 136, die alle Verbindungen annimmt, trennt um 3:00 Uhr Morgens den DSler (24 Stunden Disconect). Schaue ich dann Morgens um 7.00 Uhr auf die Sophos 136 sind alle VPN Verbindungen getrennt, außer die letzte die eingerichtet wurde! Setze ich auf der Gegenstelle sowie auf der Sophos 136 einen neuen PSK, baut sich die Verbindung sofort wieder auf! Am nächsten Morgen sieht man wieder, alle VPNs sind getrennt bis, auf die letzte, die eingerichtet wurde.


Lösungsversuche:
Profil „Brach Office (IKEv2)“ kopiert, und zwar 59-mal für jede Verbindung ein extra Profil angelegt, auch das führt am nächsten Morgen zu dem Ergebnis, dass alle VPNs wieder getrennt sind, bis auf die Letzte, die eingerichtet wurde. Andre DSL Leitung verwendet, Aufbau und Annahme Richtung der Sophos geändert. All dies brachte keinerlei Besserung!


Lösung:
Zum Testen habe ich einen 64-stelligen PSK generiert, mit Zahlen, Groß und Kleinbuchstaben, sowie Sonderzeichen. Diesen PSK habe ich für ALLE 59 VPN Verbindungen verwendet! Siehe da morgens stehen die VPNs wieder nach einem 24 Stunden Disconect vom DSLer, schalte ich das Vigor Modem aus und starte es neu kommen die VPNs IMMER zurück. Ich habe alle nur denkbaren Varriationen versucht, weil ich eigentlich 1 nicht den gleichen PSK überall verwenden möchte und 2 muss ich den PSK entsprechend dokumentieren, was nicht so das Problem ist, aber gefallen tut es mir NICHT.

Anmerkung:
Wenn ich 20 Sophos auf eine andere Internetleitung lege z.B. auf NetCologne habe ich hier das gleiche Problem, solange die PSK gleich sind halten die Verbindungen. Ändere ich bei einer Sophos den PSK oder füge eine neue Verbindung hinzu, sind auch diese am anderen Morgen offline bis auf die letzte eingerichtete Verbindung!

Viele Grüße und besten Dank

Patrick



This thread was automatically locked due to age.
  • Hallo Herr Rusch,

    alles gut ich wollte auch nicht bös oder empfindlich rüber kommen. Aber es hat mich schon ein wenig gefuchst Slight smile. Das Sie im Nachgang PKCS1 und DNS anführen würden war mir auch schon klar (Im Sinne Verkopieren) *grinst und lacht*. Aber nein ich habe stets DNS (RFC3110) verwendet.

    Nochmal vielen vielen lieben Dank für die Interessante und offene Diskussion - So macht es doch auch mal Spaß.

    Viele liebe Grüße
    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Update IPSec VPN: Umstellung von PSK auf RSA.

    Schönen guten Morgen Herr Rusch, gerne wollte ich berichten das die VPN-Verbindungen die letzten 3-4 Tage sauber funktionieren und sich wieder aufbauen nach dem 24/h disconnect vom DSLer.

    Vielen lieben Dank für die Unterstützung!

    Grüße
    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!