This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Guide: Fritzbox 6.30 zu Sophos UTM 9 inkl. AES 256

nach wochenlanger Testerei hier eine vollfunktionsfähige, stabile VPN Beispielkonfiguration mit .cfg und Screenshots der Sophos Config.

Testumgebung: Fritzbox 7490 mit FritzOS 6.30 (DynIP v4) und Sophos UTM 9.350-12 (feste IPv4)

192.168.1.0: Netz der Sophos
192.168.178.0: Netz der Fritzbox
192.168.1.1: IP der Sophos im Netz erreichbar per VPN für Keepalive


vpncfg {
	connections {
		enabled = yes;
		conn_type = conntype_lan;
		name = "Sophos UTM";
		always_renew = yes;
		keepalive_ip = 192.168.1.1;
		reject_not_encrypted = no;
		dont_filter_netbios = yes;
		localip = 0.0.0.0;
		local_virtualip = 0.0.0.0;
		remoteip = 0.0.0.0;
		remote_virtualip = 0.0.0.0;
		remotehostname = "sophosdns.name.here";
		localid {
			fqdn = "fritzbox.dns.name.here";
		}
		remoteid {
			fqdn = "sophosdns.name.here";
		}
		mode = phase1_mode_idp;
		phase1ss = "all/all/all";
		keytype = connkeytype_pre_shared;
		key = "secretpassphrasekeysecret";
		cert_do_server_auth = no;
		use_nat_t = no;
		use_xauth = no;
		use_cfgmode = no;

		phase2localid {
			ipnet {
				ipaddr = 192.168.178.0;
				mask = 255.255.255.0;
			}
		}
		phase2remoteid {
		ipnet {
		ipaddr = 192.168.1.0;
		mask = 255.255.255.0;
		}
		}
		phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
		accesslist = "permit ip any 192.168.1.0 255.255.255.0";
		}
		ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
		"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

This thread was automatically locked due to age.

0 zfrank over 9 years ago

Danke Dir, klappt ja auf Anhieb.
Hab ne 7270 mit V6.05 angebunden.
Cancel
Vote Up 0 Vote Down
0 ben83 over 9 years ago

danke für das Feedback, ich hab mich wirklich vorher irre lange mit nicht funktionierenden Configs rumgeärgert bis ich das passende hatte. Die VPNs habe ich 3x am Laufen und funktionieren trotz DYN-IP auf den Fritz Seiten perfekt.
Cancel
Vote Up 0 Vote Down
0 GuyFawkes over 9 years ago

Hallo Ben,
änder es mal auf DH Group 5.

Du hast die Strickte Richtlinie nicht aktiviert, wird hier auch bei der Verschlüsselung AES256 benutzt?

Nach der Zwangstrennung und einer neuen IP, kommt dein Tunnel wieder hoch?

Schau mal hier:
VPN Einstellungen UTM9 -> Fritzbox 7360

Nice greetings
Cancel
Vote Up 0 Vote Down
0 ben83 over 9 years ago

Tunnel kommt direkt wieder hoch
Was bringt DH Group5? [:)]
Beim Sophos VPN Status steht das AES 256 benutzt wird, kann da noch einen Screenshot nachliefern
Cancel
Vote Up 0 Vote Down
0 GuyFawkes over 9 years ago

Höhere Verschlüsselung beim Key Exchange.
Da es durch die hohe Performance inzwischen möglich ist diese kleinen Schlüssel zu errechnen. DH5 ist im Prinzip immer noch zu klein, eher Group 14.

Increase minimum key strengths. ... Browsers and clients
should raise the minimum accepted size for Diffie-Hellman
groups to at least 1024 bits in order to avoid downgrade attacks
when communicating with servers that still use smaller
groups. Primes of less than 1024 bits should not be considered
secure, even against an attacker with moderate resources.
Our analysis suggests that 1024-bit discrete log may be
within reach for state-level actors. As such, 1024-bit DHE
(and 1024-bit RSA) must be phased out in the near term.
NIST has recommended such a transition since 2010 [4]. We
recommend that clients raise the minimum DHE group size to
2048 bits as soon as server configurations allow... Precomputation for a 2048-bit non-trapdoored group is around 109 times harder than for a 1024-bit group, so 2048-bit Diffie-Hellman will remain secure barring a major
algorithmic improvement

Quelle: https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf

Next Generation Encryption - Cisco Systems

Nice greetings
0 wawa123 over 9 years ago

Moin,
Was muss ich beachte nwenn ich auf beiden Sites Dynamische IPS hab?

Gruß
Wawa
- 0 Ben over 9 years ago in reply to wawa123
  
  wie meinst du das? Die Konfiguration ist ja bereits für DNS Namen. Das macht keinen Unterschied.
  
  ---
  
  Sophos UTM 9.3 Certified Engineer
0 wawa123 over 9 years ago

Moin,
also bei mir hat es nicht auf Anhieb funktioniert. Ich muss bei beim 'Remote Gateway - Gateway type" auf "Respond only" setzen.
Gruß
wawa
0 GernotMeyer over 9 years ago

Hi,

(fast) genau unser Anwendungsfall. Wir haben in der Zentrale eine Sophos UTM, in den Außenstandorten Fritzboxen. VPN via DSL sehr stabil!

Jetzt wollen wir die Fritzboxen mit Failover via LTE Sticks ausstatten, um den Tunnel zur Not via LTE weiterzuführen.

Hat das jemand schonmal konfiguriert und weiß ob und wenn ja, wie das geht?!

Wir haben das bisher nicht hinbekommen.

Grüße

Gernot
- 0 Ben over 9 years ago in reply to GernotMeyer
  
  nein, das wird nicht (vernünftig) klappen. LTE ist meist CGN ohne eigene IPv4 aber auf jeden Fall eine andere IP Adresse als der DSL Anschluss.
  
  VPN über die Fritzbox ist eine ziemliche Notlösung. Hier wäre es angebracht eine RED Hardware hinter die Fritzboxen zu schalten die sich zur Sophos verbinden. Das würde (sollte!) auch nahtlos und transparent über LTE funktionieren da es nicht per IPSec verbindet und nur der RED Server (in dem Fall die Sophos UTM) eine eigene IPv4 Adresse benötigt.
  
  ---
  
  Sophos UTM 9.3 Certified Engineer
  - 0 GernotMeyer over 9 years ago in reply to Ben
    
    Hallo,
    
    der Tunnel Sophos zu Fritz VPN funktioniert extrem stabil. Dagegen kann man nichts sagen.
    
    Bei diversen Kunden im Einsatz. Zentral immer Sophos UTM, in den Außenstellen Friotzbox.
    
    Klar ist aber, dass man das nur für kleinere Einheiten nimmt.
    
    Verfügbarkeit ist gut. Nur das Thema LTE Ausfall ist eine Baustelle.
    
    Aber ein RED dahinter könnte das lösen. Das stimmt.
    
    Danke für den Tipp.
0 UThomas over 8 years ago

Hallo,

kann hier vielleicht jemand von zu dem Speed sagen?

Mit der Konfiguration komme ich nicht über einen Download und Upload von 15 MBit/s.

Mit einem RED erreiche ich die volle Geschwindigkeit sowie im Down- als auch im Upload.

Grüße,

Ulrich
Cancel
Vote Up 0 Vote Down
- 0 Ben over 8 years ago in reply to UThomas
  
  15Mbit/s ? das ist schon echt fix, mehr schafft die Fritzbox nicht.
  
  ---
  
  Sophos UTM 9.3 Certified Engineer
  Cancel
  Vote Up 0 Vote Down
  - 0 UThomas over 8 years ago in reply to Ben
    
    Ok. Danke für die Info, dann muss ich wohl das ein RED bzw. gleich die Home-UTM nutzen.
    
    Cancel
    
    Vote Up 0 Vote Down
  - 0 Ben over 8 years ago in reply to UThomas
    
    oder schau dir zerotier.com an, hab da einen odroid c2 für im Einsatz der um 50-100Mbit VPN schafft (kostet rund 50,- € zzgl. Netzteil, SD Karte und Versand), damit kann man auch Netze verbinden, allerdings nicht direkt in die UTM integriert.
    
    ---
    
    Sophos UTM 9.3 Certified Engineer
    
    Cancel
    
    Vote Up 0 Vote Down
0 Daniel Jörg over 8 years ago

Entschuldigt wenn ich diesen alten Thread wieder aufreiße.

Aber ich habe aktuell das Problem, dass ich insgesamt 4 Fritzboxen mit meiner UTM (SG 310 mit 9.411-3) verbinden muss.

Wenn ich die erste Fritzbox verbinde funktioniert alles einwandfrei.

Sobald ich jedoch die 2. Box verbinden will (Problem schon mal, dass alle GWs mit dem selben PSK arbeiten müssen! -.-) schmiert mir nach kurzer Zeit die Verbindung zur 1. Box wieder ab.

Ich habe bereits versucht für jede Box ein eigenes VPN Profil zu erstellen sowie alle Boxen über das selbe Profil zu verbinden.

Egal wie ich es anstelle bricht mir nach max. 60 Sekunden die Verbindung zur Box weg.

Nachdem ich ja nicht für jede IPSec-VPN eine eigene Public-IP auswählen kann sondern nur das Interface (habe 36 Public-IPs an eth1 gebunden via CompanyConnect) muss alles über die selbe IP verbunden werden.

Hat hier jemand eventuell eine Idee?

Solltet ihr spezielle LOGs etc. benötigen bitte um kurze Rückmeldung.

Danke schon mal vorab.

Man kann die Messlatte der Intelligenz noch so niedrig ansetzen!

Jeden Tag läuft jemand aufrecht darunter durch!

*** Operater from Hell
- 0 Ben over 8 years ago in reply to Daniel Jörg
  
  Hi,
  
  du kannst doch für jedes GW einen eigenen PSK benutzen. (unter Remote Gateway jeweils) - den PSK dann in der Beispielkonfig mit auswechseln.
  
  IPsec zur Fritzbox scheint generell Probleme zu machen. Ich hatte schon eine UTM wo dadurch die VPN zu einer anderen Stelle öfters abbrach.
  
  Ich kann dir nur den Tip geben dir z.B. mal www.zerotier.com anzuschauen. Performanter als jede Fritzbox VPN Lösung. Man kann das ganze über eine Gateway Node lösen (dafür würde z.B. auch ein Raspberry Pi ausreichen, oder besser odroid, beides schneller als eine Fritzbox). In der Sophos kannst du dann Gateway Regeln anlegen um in die entsprechenden Aussenstellen Netze zu routen. Mehrere Fritzboxen wäre interessant sich mal anzuschauen. Bei Bedarf schick mir eine PN (sowohl zu den Fritzboxen als auch Zerotier)
  
  ---
  
  Sophos UTM 9.3 Certified Engineer
  - 0 Daniel Jörg over 8 years ago in reply to Ben
    
    Hi Ben,
    
    verschiedene PSK für jede Box nimmt die Sophos nicht an.
    
    Es erscheint dann die Meldung, dass unterschiedliche PSK Schlüssel vorhanden sind. *grübel*
    
    Weiß auch nicht recht wieso...
    
    Liegt evtl. daran, dass ich für alle Boxen die selbe Policy verwende...
    
    Konnte das Problem der Verbindungsabbrüche so lösen, indem ich als KeepAlive IP die LAN IP der Sophos angegeben und alle Boxen via myfritz.net angebunden hab.
    
    Seitdem bleiben alle 4 Verbindungen stabil.
    
    Die Verbindungen werden lediglich 1x / Woche genutzt zur Datenübertragung von Kassensystemen.
    
    Daher ist die Performance nicht entscheidend.
    
    Ist für mich Neuland eine Sophos mit Fritzboxen zu verbinden.
    
    Nutze normalerweise nur IPsec zwischen Sophos UTMs mit zertifikatsbasierter Authentifizierung. Finde das einfacher und vor allem sicherer und stabiler!
    
    Hab dem Kunden schon vorgeschlagen als Alternative hinter die Boxen ne RED10 zu setzen. :)
    
    Man kann die Messlatte der Intelligenz noch so niedrig ansetzen!
    
    Jeden Tag läuft jemand aufrecht darunter durch!
    
    *** Operater from Hell
  - +1 BAlfson over 8 years ago in reply to Daniel Jörg
    
    Hallo Daniel,
    
    Erstmal herzlich willkommen hier in der Community !
    
    (Sorry, my German-speaking brain isn't creating technical thoughts at the moment. [:(])
    
    Interesting solution with myfritz.net.
    
    "verschiedene PSK für jede Box nimmt die Sophos nicht an. "
    
    MfG - Bob (Bitte auf Deutsch weiterhin.)
    
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    
    MediaSoft, Inc. USA
  - 0 Daniel Jörg over 8 years ago in reply to BAlfson
    
    Hi Bob,
    
    danke für den Tipp. Den Haken hab ich ganz vergessen.
    
    Da sieht man sprichwörtlich den Wald vor lauter Bäumen nicht mehr. :)
    
    Grüße Daniel
    
    Man kann die Messlatte der Intelligenz noch so niedrig ansetzen!
    
    Jeden Tag läuft jemand aufrecht darunter durch!
    
    *** Operater from Hell
  - 0 Ben over 8 years ago in reply to Daniel Jörg
    
    guter Tip. Klappt es damit denn?
    
    ---
    
    Sophos UTM 9.3 Certified Engineer
  - 0 Daniel Jörg over 8 years ago in reply to Ben
    
    Hi Ben,
    
    die Einstellung funktioniert wunderbar.
    
    Ich kam dann später auf den Gedanken, dass diese Einstellung ja nötig ist, da die Sophos bei den Fritzboxen auf "Respond Only" eingestellt ist.
    Meine bisherigen VPNs sind alle im "Initiate connection" Mode gesetzt weshalb dort auch unterschiedliche PSKs geduldet sind. :)
    
    Man kann die Messlatte der Intelligenz noch so niedrig ansetzen!
    
    Jeden Tag läuft jemand aufrecht darunter durch!
    
    *** Operater from Hell
  - 0 R1100 R1100 over 5 years ago in reply to Daniel Jörg
    
    Hallo Zusammen,
    
    ich muss die Tage ein paar Home Office einrichten. Die User haben alle eine FritzBox 7490. Nach diesem Artikel soll VPN einwandfrei funktionieren. Wir haben in der Firma eine IP Telefonanlage. Der Hersteller schreibt vor, eine VPN aufzubauen und darüber auch die IP-Telefone zu betreiben. Hat jemand damit Erfahrung ob das funktioniert mit der Fritzbox und VPN nach diesem Artikel?
    
    Dankeschön.