Bei einer UTM aus 2012 ist das VPN Signing CA mit sha1 und 1024 bit; bei einer UTM aus 2018 ist das VPN Signing CA mit sha256 und 2048 bit. Wie kann ich das VPN Signing CA der alten UTM so erneuern, dass es auch sha256 und 2048 bit hat?
Bei einer UTM aus 2012 ist das VPN Signing CA mit sha1 und 1024 bit; bei einer UTM aus 2018 ist das VPN Signing CA mit sha256 und 2048 bit. Wie kann ich das VPN Signing CA der alten UTM so erneuern, dass es auch sha256 und 2048 bit hat?
Auf der UTM musste man das Zertifikat löschen, beim Neustart wird dann ein neues erstellt. ... wenn ich mich recht erinnere.
Vorher ein Backup machen. Dort sollten die Zertifikate enthalten und damit wiederherstellbar sein. Beim Cluster würde ich den 2. Node herunterfahren.
Es müssen dann alle VPN-Verbindungen/-konfigurationen neu ausgerollt werden.
Dirk
Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Wissen Sie, ob das neu erstellte VPN Signing CA mit sha256 und 2048 bit ist, oder wieder mit sha1 und 1024 bit?
An was hängt es: Hardware oder Firmware Version (ist die aktuelle 9.719-3) oder?
Sorry, das kann ich leider nicht sagen.
Evtl. ist es sogar irgendeine unzugängliche ini-datei aus Installationszeiten der UTM ...
Eine direkte Support-Anfrage an Sophos könnte das klären.
Schneller könnte es gehen, das einfach zu testen.
Dirk
Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Gerne würde ich es testen, aber wie Sie ja auch schreiben: "Es müssen dann alle VPN-Verbindungen/-konfigurationen neu ausgerollt werden."
Ich verstehe das so, dass dann die Leute im Homeoffice oder auf Reisen solange keine VPN-Verbindungen nutzen können. Ein No-Go.
Ich würde vorschlagen, sich einen alternative Plan zurecht zu legen.
Wenn man bereits Sophos Connect hat, (nicht mehr die Ampel) kann man sich eine Sophos Firewall über den Partner beziehen und bereits die VPN Clients migrieren.
Damit man nicht alle VPN Clients jetzt anfasst und ggf. in 1-2 Jahren erneut zum EOL von UTM, kann man jetzt bereits die User auf SFOS VPN umziehen.
__________________________________________________________________________________________________________________
Ich verstehe diesen Plan nicht. In der OVPN-Konfigurationsdatei steht das VPN Signing CA.
Die Idee ist, wenn du sowieso das Signing CA anfassen musst, musst du alle OVPN Dateien neu ausrollen. Daran wird kein Weg vorbei führen.
In SFOS also der XGS Firewall kannst du einen Automatismus zum Ausrollen der OVPN nutzen. Du kannst dir also das Ausrollen der neuen UTM Cert jetzt sparen, und direkt das mit einer SFOS Firewall machen.
__________________________________________________________________________________________________________________
Der Plan ist also, bereits jetzt von der UTM zur XGS zu wechseln.
Leider gibt es da noch das bisher von Sophos nicht geklärte Thema mehrerer GLEICHZEITIGER VPN-Verbindungen (auch zu pfSense- oder OPNsense-Firewalls).
Sprichst du von Verbindungen auf einem Windows Client zu mehreren Peers (Firewalls) gleichzeitig?
Das unterstützt unser Sophos Connect Client nicht. Dafür müsste man auf einen anderen VPN Client ausweichen.
Was genau ist der Use Case für so Installationen?
__________________________________________________________________________________________________________________
Es gibt zwei Gruppen von Benutzern; die eine braucht aus dem Homeoffice nur die VPN-Verbindung zur UTM und nutzt den Sophos Connect Client; die andere braucht GLEICHZEITIG noch VPN-Verbindungen zu pfSense- oder OPNsense-Firewalls, die NICHT von uns verwaltet werden; diese haben den OpenVPN-Client, mehrere Monitore und sind zufrieden.