Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

IPSec V2 Verbindung mit 1:2 Subnetzen

Moin,

Ich will zwei Standorte verbinden. Auf der einen Seite ist ein Subnetz die sich über eine PFSense auf die andere Seite über eine Sophos XG mit zwei Subnetzen verbinden soll. Phase 1 ist kein Problem, aber es wird nur ein Subnetz verbunden.
Wenn ich auf der Sophos anstatt der beiden IP Host Objekte "ANY" eintrage, funktioniert es. Aber das kann nicht das ergebnis sein.
Wer kann mir helfen?


VG
Karsten



Added TAGs
[edited by: Erick Jan at 1:34 PM (GMT -7) on 24 Sep 2024]
Parents
  • Hi Karsten,

    Thank you for reaching out to Sophos Community.

    I recommend comparing both packets(routes/policy) from the working and non-working hosts. Also, check the PFsense allowed configuration.

    Kindly try to do a packet capture and check the log viewer.

    Erick Jan
    Community Support Engineer | Sophos Technical Support
    Sophos Support Videos Product Documentation  |  @SophosSupport  | Sign up for SMS Alerts
    If a post solves your question use the 'Verify Answer' link.

  • i´m not firm with packet captures for ipsec connections, but i copied a part of the IPSec Log.


    IPSec_xx-1:  xxx.xxx.xxx.xxx...xxx.xxx.xxx.xxx  IKEv2, dpddelay=30s        
    IPSec_xx-1:   local:  [xxx.xxx.xxx.xxx] uses pre-shared key authentication 
    IPSec_xx-1:   remote: [xxx.xxx.xxx.xxx] uses pre-shared key authentication
    IPSec_xx-1:   child:  192.168.1.0/24 === 192.168.28.0/24 TUNNEL, dpdaction
    IPSec_xx-2:   child:  192.168.10.0/24 === 192.168.28.0/24 TUNNEL, dpdactio
    n=clear                                                                         
    Security Associations (4 up, 0 connecting):      

    IPSec_xx-1[550787]: ESTABLISHED 23 minutes ago, xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]...xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx] 
    IPSec_xx-1[550787]: IKEv2 SPIs: xxxxxxxxxxxxx1dcc_ixxxxxxxxxxxxxxxxx, re
    keying in 7 hours
    IPSec_xx-1[550787]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_S
    HA2_256/MODP_2048
    IPSec_xx-2{17297}: INSTALLED, TUNNEL, reqid 524, ESP SPIs: xxxxxxxxxxxxxxxx
    IPSec_xx-2{17297}: AES_CBC_256/HMAC_SHA2_256_128, 175819 bytes_i, 26430 b
    ytes_o (297 pkts, 22s ago), rekeying in 7 hours
    IPSec_xx-2{17297}: 192.168.10.0/24 === 192.168.28.0/24
  • Auf der PFSense sollte das gemacht werden. 

    "Enable this to split connection entries with multiple phase 2 configurations. Required for remote endpoints that support only a single traffic selector per child SA"

    Ich glaube, die Sophos FW macht genau das. Ich sehe bei je 2 Subnetzen auf 2 Seiten insgesamt 4 Verbindungen, von denen eine einzelne auch mal nicht aufgebaut werden kann.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hello Karsten,

    if I understand your configuration correctly, then this error is by design:

    in IPsec you have security associations (SA) between local and remote "subnets". These "subnets" can consist of a single host, having a subnet mask of /32. The definitions of the subnets have to match on BOTH sides of the tunnel.

    So if you have 192.168.1.0 /24 as definition at the pfsense, but have 192.168.1.12 /32 (as example for a singel host) at the XGS side, this doesn't match and the SA stays red.

    HTH

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Philipp,

    für mich sieht das so aus, als hätte er auf einer Seite ein /24er Subnetz und auf der anderen Seite zwei /24er Subnetze ... und diese auch als solche auf beiden Seiten bekanntgegeben. 
    Nur scheint die PFSense das in eine SA zu packen und die Sophos FW erwartet 2 SA


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo Philipp,

    die Subnetze sind richtig definiert mit 192.168.10.0/24, 192.168.20.0/24 auf der einen Seite und 192.168.11.0/24 auf der anderen Seite und natürlich auf der Gegenseite umgekehrt.

    VG
    Karsten

  • Hallo Karsten,

    da war ich mir nicht sicher, weil ich nur "HS-LAN" und "HS-ALN10" gesehen habe. Oben bei den SAs hätte man es sehen können ...

    OK, ich gehe dann mit der Beobachtung von Dirk mit und schlage vor, dass du auf der pfsense zwei Tunnel definierst: einen nach "HS-LAN" und einen nach "HS-LAN10". Dann sollte es gehen.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Ich baue morgen mal ein Konstellation auf, in der sich 2 PFsense untereinander austauschen sollen. Vielleicht klärt sich dann der Nebel langsam.

  • Also, ich bin kein pfsense Experte, aber entweder du machst zwei Tunnel auf der einen wie auf der anderen Seite ODER du hast beide Subnetze in DERSELBEN Tunnel-Konfiguration auf BEIDEN Seiten. Sonst geht es schief..

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Für mich sieht diese Konfiguration aus wie zwei SA-Definitionen in ein und demselben Tunnel. Das ist nicht das, was ich vorgeschlagen habe. Bitte nochmal lesen.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Moin,
    ich habe jetzt auf der PFSense 2x Phase 1 mit jeweils einer Phase2 eingerichtet.
    Auf der Sophos habe ich ebenfalls 2 Verbindungen mit jeweils nur einem Subnetz eingerichtet. 
    Das scheint so zu funktionieren, auch wenn es auf der PFSense so aussieht, als wenn die zweite Phase 1 Verbindung (S2S_XGS_V2) nicht verbunden ist.




    Vielen lieben Dank für Eure Unterstützung!

    Karsten

Reply Children
No Data