Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 12 subscribers
  • Views 453 views
  • Users 0 members are here
Options
Suggested

Sophos XGS IPSEC S2S VPN automatisch neu verbinden

OTWolf

Hallo,

ich habe eine XGS107 21.0.0 Build 169 am laufen.

Hier sind div. VPN LAN2LAN  zu unseren Kunden für Fernwartung eingerichtet.

Es kommt nun vor, dass die Tunnel Offline gehen (erhalten auch eine E-Mail) und nicht wieder starten.

Ich muss mich dann in die FW einlogen und bei Site-to-Site VPN --> IPsec unter connection auf den roten Punkt klicken. Nach einigen Sekunden ist der Tunnel dann wieder grün und alles funktioniert wieder.

Gibt es hier eine Möglichkeit, dass der Reconnect automatisch ausgeführt wird?
Habe in der Weboberfläche hier nichts dazu gefinden.

Gruß



Added TAGs
[edited by: Erick Jan at 2:08 AM (GMT -8) on 10 Jan 2025]
Parents
  • 0

    Schon mal hier geschaut:

    Solte auf beiden Seiten eingerichtet sein.

  • 0 in reply to Sophos User5900

    Hallo,
    ich glaube nicht das es direkt etwas mit der Sophos zu tun hat oder das Fortigate es besser machen würde. In einer Sophos habe ich ca. 90 VPN drin.
    Alle side-to-side Tunnelschnittstelle. Ist das letzte Bild welches du hier gepostet hast auf der "Hauptfirewall" Wo die VPN alle zusammen laufen?

    Wenn ja, ich würde nicht mit der Hauptfirewall die Verbindung aufbauen, sondern nur annehmen, warum?

    1. Falls man Standorte hat mit einem Router vor der Firewall hat, muss ein Doppel-NAT gepflegt werden.

    2. Du musst auf der Sophos selber in der ZSL IPSec anhaken damit der Port 4500 und 500 eingehend geöffnet wird.

    3. Ich muss mir keine Gedanken über DS-Lite-Anschlüsse machen, die eingehend eh nicht tauglich sind. Oder um DS Leitungen die es mal besser und mal schlechter machen, was eingehende Verbindungen angeht. Grade bei DS Leitungen Kabel-Anschluss, die immer mal wieder eingehend ihre Problemchen haben.

    Eine Firewall oder ein Router braucht bei ausgehenden Verbindungen, kein Portforwarding, logisch.

    Also haben die "Nebenstellen" die Konfiguration Verbindung herstellen und nehme das Standardprofil "Branch office (IKEv2)". Die Firewall wo alle Verbindungen annimmt, steht klar auf Annehmen und verwendet das Profil "Head office (IKEv2)". Damit laufen bei mir alle VPNs ohne Probleme, bis auf eine Ausnahme. Diese VPN hängt auch an einem Kabel-Anschluss, die VPN steht Wochenlang... und von jetzt auf gleich gehen keine Daten mehr über die VPN obwohl diese steht und "grün" ist. trenne ich die VPN und baue ich diese neu auf, ist alles wieder in Ordnung wie von dir auch beschrieben. Aber nicht ansatzweise bei so vielen Verbindungen und in der Häufigkeit.

    Eine Sache nervt mich viel mehr :), wenn ich eine RED Konfig ändere, oder die RED aus einer Sophos lösche, klappen alle 90 VPN Tunnel zusammen die auch als Tunnelschnittstelle konfiguriert sind. Wo das her kommt ist mir klar, aber das ist echt was doof :).

    Vielleicht hilft es ja die Aufbaurichtung anzupassen und die vorgeschlagen profile zu verwenden.

    PS: Im Standard Profil is DPD an und Funktioniert auch mit einer Tunnelschnittstelle! 

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Reply
  • 0 in reply to Sophos User5900

    Hallo,
    ich glaube nicht das es direkt etwas mit der Sophos zu tun hat oder das Fortigate es besser machen würde. In einer Sophos habe ich ca. 90 VPN drin.
    Alle side-to-side Tunnelschnittstelle. Ist das letzte Bild welches du hier gepostet hast auf der "Hauptfirewall" Wo die VPN alle zusammen laufen?

    Wenn ja, ich würde nicht mit der Hauptfirewall die Verbindung aufbauen, sondern nur annehmen, warum?

    1. Falls man Standorte hat mit einem Router vor der Firewall hat, muss ein Doppel-NAT gepflegt werden.

    2. Du musst auf der Sophos selber in der ZSL IPSec anhaken damit der Port 4500 und 500 eingehend geöffnet wird.

    3. Ich muss mir keine Gedanken über DS-Lite-Anschlüsse machen, die eingehend eh nicht tauglich sind. Oder um DS Leitungen die es mal besser und mal schlechter machen, was eingehende Verbindungen angeht. Grade bei DS Leitungen Kabel-Anschluss, die immer mal wieder eingehend ihre Problemchen haben.

    Eine Firewall oder ein Router braucht bei ausgehenden Verbindungen, kein Portforwarding, logisch.

    Also haben die "Nebenstellen" die Konfiguration Verbindung herstellen und nehme das Standardprofil "Branch office (IKEv2)". Die Firewall wo alle Verbindungen annimmt, steht klar auf Annehmen und verwendet das Profil "Head office (IKEv2)". Damit laufen bei mir alle VPNs ohne Probleme, bis auf eine Ausnahme. Diese VPN hängt auch an einem Kabel-Anschluss, die VPN steht Wochenlang... und von jetzt auf gleich gehen keine Daten mehr über die VPN obwohl diese steht und "grün" ist. trenne ich die VPN und baue ich diese neu auf, ist alles wieder in Ordnung wie von dir auch beschrieben. Aber nicht ansatzweise bei so vielen Verbindungen und in der Häufigkeit.

    Eine Sache nervt mich viel mehr :), wenn ich eine RED Konfig ändere, oder die RED aus einer Sophos lösche, klappen alle 90 VPN Tunnel zusammen die auch als Tunnelschnittstelle konfiguriert sind. Wo das her kommt ist mir klar, aber das ist echt was doof :).

    Vielleicht hilft es ja die Aufbaurichtung anzupassen und die vorgeschlagen profile zu verwenden.

    PS: Im Standard Profil is DPD an und Funktioniert auch mit einer Tunnelschnittstelle! 

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Children
No Data
Unfiltered HTML