Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 9 subscribers
  • Views 1669 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User-IPsec-VPN per XAuth auf einer XGS mit Fremdsoftware wie z.B. "NCP Secure Entry Client" noch möglich?

Julian Peschl

Guten Morgen SOPHOS-Community,
wir verwenden bei uns in der Firma schon lange gerne den "NCP SecureEntry VPN Client" - Ein beständiger stablier IPsec-VPN-Client, der vorallem wie wir es brauchen übersichtlich sehr viele verschiedene Einwahlen beherbergen kann.

Da es dabei natürlich auch um Sicherheit geht, war es extrem gut, dass es bei einer SG-Firewall möglich war, diesen IPsec-Fernzugriff per XAuth mit einem Individuellen Passwort pro Kunden abzusichern.

Nun bei den XG(s)-Firewalls will ich das einfach nicht mehr schaffen. Wurde hier irgendwas geändert?

Wo dies funktioniert ist ja z.B. der SOPHOS Connect client - der ist aber nicht wirklich massentauglich... Hat jemand erfahrung?
Hätte halt gerne weiterhin das gewohnte Tool aber wieder mit Authentifizierung...

Oder hat jemand alternativen für ein SSL-VPN-Tool, welches viele Verbindungen unterstützt, Authentifizierung bietet usw.?



This thread was automatically locked due to age.
Parents
  • 0

    Guten Morgen Julian,

    wir verwenden bei Windows Systemen ausschließlich den Sophos VPN Client + 2FA. Egal ob für RDP Verbindungen, VoIP-Telefonie, kleinere SMB Zugriffe, bis hin zu Autodesk Inventor Bzw. Autodesk Vault. Bei unseren größeren Kunden telefonieren und arbeiten bis zu 40 User gleichzeitig via Sophos VPN-Client. Wenn es hier Probleme gibt, sind es zu meist die Internetanschlüsse der Home-Office Arbeitsplätze. Mit anderen Worten, es läuft wirklich sehr gut und wir können uns nicht beschweren. Bei einem MAC oder Tablet verwenden wie den Open-VPN-SSL Client. Prüfe bitte mal die Option, ob du nicht generell lieber auf SSL-VPN umstellen möchtest.

    Vorteile

    1.) Mittlerweile schneller als IPSec

    2.) Port 443 over TCP möglich, das verhindert das es Probleme beim VPN Aufbau gibt, Z.B. in Hotel-Netzwerken, da ist zu meist 4500 + 500 ESP gesperrt

    3.) Jeder User hat seine eigene Konfig Datei mit einem Zertifikat drin

    Ich habe vorher auch nur IKEv2 IPSec verwendet, aber wir sehen da keinen Grund mehr für

     

    Beste Grüße und ein frohes Fest

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • 0 in reply to Patrick81

    Guten Morgen,

    Vielen Dank für die schnelle, nette und ausführliche Antwort.

    Leider glaube Ich, dass du meine Frage anders verstanden hast, als Ich es meinte...
    Dass SSL-VPN aus deinen richtig genannten Gründen grundsätzlich besser/zu empfehlen ist ist mir klar und bei den hunderten Endkunden  an deren jeweiligen Firewalls im Homeoffice setzen wir genau dies auch ein - sowohl mit Sophos-Connect als auch OpenVPN-Clients.


    Die Frage richtete sich ja nur an uns als Systembetreuer von hunderten Kunden. Ich brauche ein leistungsstarkes Tool, welches quasi sinnvoll und übersichtlich viele viele VPN-Verbindungen zu den verschiedenen Kunden bieten kann. Am liebsten als SSL-VPN, aber eben wenns nichts gscheites da gibt von mir aus auch mit IPsec aber dann mit X-Auth und da war eben die Frage wieso das mit den XGs nicht mehr funktioniert (oder ich es nicht schaffe)

    Der SOPHOS-Connect Client (der ja grundsätzlich auch für uns funktonieren würde) hat halt ne derartig schlechte Verwaltung wenns viele Verbindungen snd, keine suche usw...

  • 0 in reply to Julian Peschl

    Hallo Julian, Frohes Neues Jahr für dich.

    Entschuldige, ich habe die Frage in der Tat falsch verstanden. Wäre es eine Möglichkeit für dich.

    1.) "Wartungs-Netz" in der Sophos bauen, wo keine Clients,Server etc von euch drin sind.

    2.) Site-to-Site VPN zwischen euch und dem Kunden, die Regeln in der Firewall so stark eingrenzen das nur Ihr zum Kunden kommt aber der Kunde nicht zu euch + Dienste festlegen z.B. RDP, SSH. ICMP usw.

    3.) Zugriff von deinem Wartungs-System z.B. PC erlauben in dieses Netz zu zugreifen und entsprechend die Dienste zu verwenden.

    4.) Als Zugriffs Plattform dann " Rocket Remote Desktop", hier werden alle Daten in einer SQL Datenbank gespeichert, Zugriff für Rocket Remote Desktop 2FA anschalten. Rocket Remote spricht alle gängigen Protokolle RDP, ICA, VNC, SSH, Telnet, HTTP/S, externe Apps sind auch einfügbar.

    Bei deinem Gewünschten Konstrukt kann ich dir leider nicht helfen, da habe ich keine Erfahrung mit, sorry! Aber vielleicht kannst du dir eine für dich sinnige Alternative aus meiner Idee bauen. Falls das Wunschkonstrukt aus irgendeinem Grund nicht mehr möglich sein sollte. 

    Viele Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Reply
  • 0 in reply to Julian Peschl

    Hallo Julian, Frohes Neues Jahr für dich.

    Entschuldige, ich habe die Frage in der Tat falsch verstanden. Wäre es eine Möglichkeit für dich.

    1.) "Wartungs-Netz" in der Sophos bauen, wo keine Clients,Server etc von euch drin sind.

    2.) Site-to-Site VPN zwischen euch und dem Kunden, die Regeln in der Firewall so stark eingrenzen das nur Ihr zum Kunden kommt aber der Kunde nicht zu euch + Dienste festlegen z.B. RDP, SSH. ICMP usw.

    3.) Zugriff von deinem Wartungs-System z.B. PC erlauben in dieses Netz zu zugreifen und entsprechend die Dienste zu verwenden.

    4.) Als Zugriffs Plattform dann " Rocket Remote Desktop", hier werden alle Daten in einer SQL Datenbank gespeichert, Zugriff für Rocket Remote Desktop 2FA anschalten. Rocket Remote spricht alle gängigen Protokolle RDP, ICA, VNC, SSH, Telnet, HTTP/S, externe Apps sind auch einfügbar.

    Bei deinem Gewünschten Konstrukt kann ich dir leider nicht helfen, da habe ich keine Erfahrung mit, sorry! Aber vielleicht kannst du dir eine für dich sinnige Alternative aus meiner Idee bauen. Falls das Wunschkonstrukt aus irgendeinem Grund nicht mehr möglich sein sollte. 

    Viele Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Children
No Data
Unfiltered HTML