Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Replies 2 replies
  • Subscribers 9 subscribers
  • Views 106 views
  • Users 0 members are here
Options
Suggested

Verbindung zu Sophos XG von Linux Server ... HowTo gesucht

mipo

Hallo zusammen,

ich möchte von einem Linux Server, der sich im Internet befindet, eine VPN Verbindung (SSL oder IPSec) zu meiner Sophox XG Firewall herstellen.


Bisher wurde der sich im LAN befindliche SFTP Server (Telefonanlage) über einen dedizierten Router bei Bedarf angesprochen (Script Datei per Cronjob ...). Eine per Script gesteuerte VPN Verbindung wäre nicht nur aus Securitygründen die viel bessere Lösung.

Unter Windows eigentlich kein Problem, dort gibt es ja mehr oder minder "Out of the Box" SSL/IPSec Clients. Aber wie löst man das unter Linux?

1. VPN Verbindung aufbauen2. SFTP Daten übertragen
3. VPN Verbindung abbauen

Natürlich sind nur 1 + 3 von Relevanz.

Soll natürlich unter der Kommandozeile eingerichtet, konfiguriert und gesteuert werden.

Könnt ihr mir hier einen hilfreichen Tip geben? Gibts hier ein HowTo zum "nachbauen"? Danke im Voraus!!

Gruß
Michael



Edited TAGs
[edited by: Erick Jan at 11:36 PM (GMT -8) on 20 Nov 2024]
Parents
  • 0

    Du kannst ein openvpn wählen. Such einen Guide für OpenVPN Client dial in für dein Linux Client.

    Dann lädst du aus dem VPN Portal der Sophos Firewall die OVPN herunter. Damit kannst du auch auf Linux eine Verbindung aufbauen. 
    Du musst nur immer schauen, ob der Guide einen OVPN Server einrichtet, oder einen OVPN Client verwendet. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo  

    kaum hatte ich den Thread hier gestartet, habe ich eine einfache Anleitung gefunden. Es hat den Anschein, dass es wirklich erfreulich einfach zu sein. Wenn auch nicht fehlerfrei :-(

    Als Aufruf habe ich:
    openvpn --config sslvpn-vpn_linux-client-config.ovpn --auth-user-pass pass.txt

    Ich habe mir einen neuen User in der Sophos XG Firewall angelegt und diesen eigentlich exakt so konfiguriert wie meine beiden anderen unter Windows verwendeten VPN Kennungen. Ich hoffe ich habe keine Einstellung übersehen Stuck out tongue winking eye - Fehler macht man ja leider.

    Problem ist, wenn ich die Verbindung aufbaue, werden Routings nicht korrekt eingerichtet. Zumindest einmal die meisten. Mich wundert, da diese eigentlich unte Windows funktionieren.



    Auszug aus dem Log nach Verbindungsaufbau:

    Die 217.xxx.xxx.xxx habe ich bei bisschen verfremdet ... Klar ...


    2024-11-21 22:35:07 [Appliance_Certificate_xzTWGSnOnzrd33K] Peer Connection Initiated with [AF_INET]217.xxx.xxx.xxx:1194
    2024-11-21 22:35:08 SENT CONTROL [Appliance_Certificate_xzTWGSnOnzrd33K]: 'PUSH_REQUEST' (status=1)
    2024-11-21 22:35:08 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.243.2.1,sndbuf 0,rcvbuf 0,ping 45,ping-restart 180,route 192.168.190.0 255.255.255.0,route 10.243.2.0 255.255.255.0,route 192.168.1.0 255.255.255.0,route 192.168.195.0 255.255.255.0,route 192.168.197.0 255.255.255.0,route 192.168.198.0 255.255.255.0,route 192.168.210.0 255.255.255.0,route 192.168.180.0 255.255.255.0,topology subnet,route remote_host 255.255.255.255 net_gateway,ifconfig 10.243.2.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
    2024-11-21 22:35:08 OPTIONS IMPORT: timers and/or timeouts modified
    2024-11-21 22:35:08 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
    2024-11-21 22:35:08 Socket Buffers: R=[131072->131072] S=[46080->46080]
    2024-11-21 22:35:08 OPTIONS IMPORT: --ifconfig/up options modified
    2024-11-21 22:35:08 OPTIONS IMPORT: route options modified
    2024-11-21 22:35:08 OPTIONS IMPORT: route-related options modified
    2024-11-21 22:35:08 OPTIONS IMPORT: peer-id set
    2024-11-21 22:35:08 OPTIONS IMPORT: adjusting link_mtu to 1626
    2024-11-21 22:35:08 OPTIONS IMPORT: data channel crypto options modified
    2024-11-21 22:35:08 Data Channel: using negotiated cipher 'AES-256-GCM'
    2024-11-21 22:35:08 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
    2024-11-21 22:35:08 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
    2024-11-21 22:35:08 net_route_v4_best_gw query: dst 0.0.0.0
    2024-11-21 22:35:08 net_route_v4_best_gw result: via 85.215.65.1 dev ens6
    2024-11-21 22:35:08 ROUTE_GATEWAY 85.215.65.1
    2024-11-21 22:35:08 TUN/TAP device tun0 opened
    2024-11-21 22:35:08 net_iface_mtu_set: mtu 1500 for tun0
    2024-11-21 22:35:08 net_iface_up: set tun0 up
    2024-11-21 22:35:08 net_addr_v4_add: 10.243.2.2/24 dev tun0
    2024-11-21 22:35:12 net_route_v4_add: 217.xxx.xxx.xxx/32 via 85.215.65.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 net_route_v4_add: 192.168.190.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 net_route_v4_add: 10.243.2.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 net_route_v4_add: 192.168.1.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 192.168.195.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 192.168.197.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 192.168.198.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 192.168.210.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 192.168.180.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 217.197.86.30/32 via 85.215.65.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 Initialization Sequence Completed


    Warum werden die Routen nicht korrekt (automatisch) eingerichtet? Mache ich das manuell, funktioniert es ...

    ip route add 192.168.180.0/24 dev tun0
    ip route add 192.168.195.0/24 dev tun0
    ip route add 192.168.197.0/24 dev tun0
    ip route add 192.168.198.0/24 dev tun0
    ip route add 192.168.210.0/24 dev tun0

    Hast Du / habt ihr einen Tip?

    Gruß
    Michael

Reply
  • 0 in reply to LuCar Toni

    Hallo  

    kaum hatte ich den Thread hier gestartet, habe ich eine einfache Anleitung gefunden. Es hat den Anschein, dass es wirklich erfreulich einfach zu sein. Wenn auch nicht fehlerfrei :-(

    Als Aufruf habe ich:
    openvpn --config sslvpn-vpn_linux-client-config.ovpn --auth-user-pass pass.txt

    Ich habe mir einen neuen User in der Sophos XG Firewall angelegt und diesen eigentlich exakt so konfiguriert wie meine beiden anderen unter Windows verwendeten VPN Kennungen. Ich hoffe ich habe keine Einstellung übersehen Stuck out tongue winking eye - Fehler macht man ja leider.

    Problem ist, wenn ich die Verbindung aufbaue, werden Routings nicht korrekt eingerichtet. Zumindest einmal die meisten. Mich wundert, da diese eigentlich unte Windows funktionieren.



    Auszug aus dem Log nach Verbindungsaufbau:

    Die 217.xxx.xxx.xxx habe ich bei bisschen verfremdet ... Klar ...


    2024-11-21 22:35:07 [Appliance_Certificate_xzTWGSnOnzrd33K] Peer Connection Initiated with [AF_INET]217.xxx.xxx.xxx:1194
    2024-11-21 22:35:08 SENT CONTROL [Appliance_Certificate_xzTWGSnOnzrd33K]: 'PUSH_REQUEST' (status=1)
    2024-11-21 22:35:08 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.243.2.1,sndbuf 0,rcvbuf 0,ping 45,ping-restart 180,route 192.168.190.0 255.255.255.0,route 10.243.2.0 255.255.255.0,route 192.168.1.0 255.255.255.0,route 192.168.195.0 255.255.255.0,route 192.168.197.0 255.255.255.0,route 192.168.198.0 255.255.255.0,route 192.168.210.0 255.255.255.0,route 192.168.180.0 255.255.255.0,topology subnet,route remote_host 255.255.255.255 net_gateway,ifconfig 10.243.2.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
    2024-11-21 22:35:08 OPTIONS IMPORT: timers and/or timeouts modified
    2024-11-21 22:35:08 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
    2024-11-21 22:35:08 Socket Buffers: R=[131072->131072] S=[46080->46080]
    2024-11-21 22:35:08 OPTIONS IMPORT: --ifconfig/up options modified
    2024-11-21 22:35:08 OPTIONS IMPORT: route options modified
    2024-11-21 22:35:08 OPTIONS IMPORT: route-related options modified
    2024-11-21 22:35:08 OPTIONS IMPORT: peer-id set
    2024-11-21 22:35:08 OPTIONS IMPORT: adjusting link_mtu to 1626
    2024-11-21 22:35:08 OPTIONS IMPORT: data channel crypto options modified
    2024-11-21 22:35:08 Data Channel: using negotiated cipher 'AES-256-GCM'
    2024-11-21 22:35:08 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
    2024-11-21 22:35:08 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
    2024-11-21 22:35:08 net_route_v4_best_gw query: dst 0.0.0.0
    2024-11-21 22:35:08 net_route_v4_best_gw result: via 85.215.65.1 dev ens6
    2024-11-21 22:35:08 ROUTE_GATEWAY 85.215.65.1
    2024-11-21 22:35:08 TUN/TAP device tun0 opened
    2024-11-21 22:35:08 net_iface_mtu_set: mtu 1500 for tun0
    2024-11-21 22:35:08 net_iface_up: set tun0 up
    2024-11-21 22:35:08 net_addr_v4_add: 10.243.2.2/24 dev tun0
    2024-11-21 22:35:12 net_route_v4_add: 217.xxx.xxx.xxx/32 via 85.215.65.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 net_route_v4_add: 192.168.190.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 net_route_v4_add: 10.243.2.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 net_route_v4_add: 192.168.1.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 192.168.195.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 192.168.197.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 192.168.198.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 192.168.210.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 192.168.180.0/24 via 10.243.2.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 sitnl_send: rtnl: generic error (-101): Network is unreachable
    2024-11-21 22:35:12 ERROR: Linux route add command failed
    2024-11-21 22:35:12 net_route_v4_add: 217.197.86.30/32 via 85.215.65.1 dev [NULL] table 0 metric -1
    2024-11-21 22:35:12 Initialization Sequence Completed


    Warum werden die Routen nicht korrekt (automatisch) eingerichtet? Mache ich das manuell, funktioniert es ...

    ip route add 192.168.180.0/24 dev tun0
    ip route add 192.168.195.0/24 dev tun0
    ip route add 192.168.197.0/24 dev tun0
    ip route add 192.168.198.0/24 dev tun0
    ip route add 192.168.210.0/24 dev tun0

    Hast Du / habt ihr einen Tip?

    Gruß
    Michael

Children
No Data
Unfiltered HTML