Bei einer UTM aus 2012 ist das VPN Signing CA mit sha1 und 1024 bit; bei einer UTM aus 2018 ist das VPN Signing CA mit sha256 und 2048 bit. Wie kann ich das VPN Signing CA der alten UTM so erneuern, dass es auch sha256 und 2048 bit hat?
Bei einer UTM aus 2012 ist das VPN Signing CA mit sha1 und 1024 bit; bei einer UTM aus 2018 ist das VPN Signing CA mit sha256 und 2048 bit. Wie kann ich das VPN Signing CA der alten UTM so erneuern, dass es auch sha256 und 2048 bit hat?
Ich würde vorschlagen, sich einen alternative Plan zurecht zu legen.
Wenn man bereits Sophos Connect hat, (nicht mehr die Ampel) kann man sich eine Sophos Firewall über den Partner beziehen und bereits die VPN Clients migrieren.
Damit man nicht alle VPN Clients jetzt anfasst und ggf. in 1-2 Jahren erneut zum EOL von UTM, kann man jetzt bereits die User auf SFOS VPN umziehen.
__________________________________________________________________________________________________________________
Ich verstehe diesen Plan nicht. In der OVPN-Konfigurationsdatei steht das VPN Signing CA.
Die Idee ist, wenn du sowieso das Signing CA anfassen musst, musst du alle OVPN Dateien neu ausrollen. Daran wird kein Weg vorbei führen.
In SFOS also der XGS Firewall kannst du einen Automatismus zum Ausrollen der OVPN nutzen. Du kannst dir also das Ausrollen der neuen UTM Cert jetzt sparen, und direkt das mit einer SFOS Firewall machen.
__________________________________________________________________________________________________________________
Der Plan ist also, bereits jetzt von der UTM zur XGS zu wechseln.
Leider gibt es da noch das bisher von Sophos nicht geklärte Thema mehrerer GLEICHZEITIGER VPN-Verbindungen (auch zu pfSense- oder OPNsense-Firewalls).
Sprichst du von Verbindungen auf einem Windows Client zu mehreren Peers (Firewalls) gleichzeitig?
Das unterstützt unser Sophos Connect Client nicht. Dafür müsste man auf einen anderen VPN Client ausweichen.
Was genau ist der Use Case für so Installationen?
__________________________________________________________________________________________________________________
Es gibt zwei Gruppen von Benutzern; die eine braucht aus dem Homeoffice nur die VPN-Verbindung zur UTM und nutzt den Sophos Connect Client; die andere braucht GLEICHZEITIG noch VPN-Verbindungen zu pfSense- oder OPNsense-Firewalls, die NICHT von uns verwaltet werden; diese haben den OpenVPN-Client, mehrere Monitore und sind zufrieden.
Für diese könnte man dann auch weiter den OpenVPN Client verwenden und denen dann von der XGS SFOS Firewall das Zertifikat zukommen lassen.
Migrieren wird man die nicht können.
__________________________________________________________________________________________________________________
Können Sie erläutern, wie das geht? Ich kenne es nur so, dass man für den OpenVPN-Client eine .ovpn-Konfigurationsdatei braucht. Gibt es eine Anleitung, wie man die mithilfe des Zertifikats baut?
Sophos Connect braucht eine .pro File - Damit kann der Client das eigenständig herunterladen.
OpenVPN benötigt eine ovpn Datei, die ein User im VPN Portal herunterladen kann.
__________________________________________________________________________________________________________________
Im Benutzerportal der XGS gibt es bei mir unter "Client herunterladen" nur die Punkte:
Authentifizierungsclients
- Download für Windows
- Download für macOS
- Download für Linux 32
- Download für Linux 64
- Zertifikat für iOS 12 und früher und Android herunterladen
- Clientzertifikat in iOS 13 und später installieren
Ehe Sie auf den Link klicken, fügen Sie das Zertifikat, das Ihnen Ihr Administrator gesendet hat, zu den vertrauenswürdigen Zertifikaten Ihres iOS-Profils hinzu.
SPX Add-in
- Sophos Outlook Add-in herunterladen
Im Benutzerportal der XGS gibt es bei mir unter "Client herunterladen" nur die Punkte:
Authentifizierungsclients
- Download für Windows
- Download für macOS
- Download für Linux 32
- Download für Linux 64
- Zertifikat für iOS 12 und früher und Android herunterladen
- Clientzertifikat in iOS 13 und später installieren
Ehe Sie auf den Link klicken, fügen Sie das Zertifikat, das Ihnen Ihr Administrator gesendet hat, zu den vertrauenswürdigen Zertifikaten Ihres iOS-Profils hinzu.
SPX Add-in
- Sophos Outlook Add-in herunterladen
Seit V20.0 GA gibt es ein VPN Portal.
Das ist nur für VPN.
__________________________________________________________________________________________________________________
Danke, das habe ich übersehen. Ich werde es dann mal ausprobieren.
Wissen Sie, ob man die .ovpn-Konfigurationsdatei auch als Admin herunterladen kann? Meine letzte Info war, dass es nicht geht. Bei der Vorbereitung neuer Endgeräte wäre es schön, das zu können.
Nein, das geht (aktuell) nicht.
Wäre auch nicht sehr hilfreich, da die VPN-Konfiguration jetzt nicht mehr Zentral für alle auf dem PC liegt, sondern benutzerbezogen importiert wird.
Dirk
Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.