Guide: Fritzbox 6.30 zu Sophos UTM 9 inkl. AES 256

Question

nach wochenlanger Testerei hier eine vollfunktionsfähige, stabile VPN Beispielkonfiguration mit .cfg und Screenshots der Sophos Config.

Testumgebung: Fritzbox 7490 mit FritzOS 6.30 (DynIP v4) und Sophos UTM 9.350-12 (feste IPv4)

192.168.1.0: Netz der Sophos
192.168.178.0: Netz der Fritzbox
192.168.1.1: IP der Sophos im Netz erreichbar per VPN für Keepalive


vpncfg {
	connections {
		enabled = yes;
		conn_type = conntype_lan;
		name = "Sophos UTM";
		always_renew = yes;
		keepalive_ip = 192.168.1.1;
		reject_not_encrypted = no;
		dont_filter_netbios = yes;
		localip = 0.0.0.0;
		local_virtualip = 0.0.0.0;
		remoteip = 0.0.0.0;
		remote_virtualip = 0.0.0.0;
		remotehostname = "sophosdns.name.here";
		localid {
			fqdn = "fritzbox.dns.name.here";
		}
		remoteid {
			fqdn = "sophosdns.name.here";
		}
		mode = phase1_mode_idp;
		phase1ss = "all/all/all";
		keytype = connkeytype_pre_shared;
		key = "secretpassphrasekeysecret";
		cert_do_server_auth = no;
		use_nat_t = no;
		use_xauth = no;
		use_cfgmode = no;

		phase2localid {
			ipnet {
				ipaddr = 192.168.178.0;
				mask = 255.255.255.0;
			}
		}
		phase2remoteid {
		ipnet {
		ipaddr = 192.168.1.0;
		mask = 255.255.255.0;
		}
		}
		phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
		accesslist = "permit ip any 192.168.1.0 255.255.255.0";
		}
		ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
		"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

This thread was automatically locked due to age.

BAlfson · Answer

Hallo Daniel, 
 Erstmal herzlich willkommen hier in der Community ! 
 (Sorry, my German-speaking brain isn't creating technical thoughts at the moment. [:(]) 
 Interesting solution with myfritz.net. 
 "verschiedene PSK f&uuml;r jede Box nimmt die Sophos nicht an. " 
 
 MfG - Bob (Bitte auf Deutsch weiterhin.)

Ben · Answer

wie meinst du das? Die Konfiguration ist ja bereits für DNS Namen. Das macht keinen Unterschied.

Daniel Jörg · Answer

Hi Ben, 
 verschiedene PSK für jede Box nimmt die Sophos nicht an. 
 Es erscheint dann die Meldung, dass unterschiedliche PSK Schlüssel vorhanden sind. *grübel* 
 Weiß auch nicht recht wieso... 
 Liegt evtl. daran, dass ich für alle Boxen die selbe Policy verwende... 
 Konnte das Problem der Verbindungsabbrüche so lösen, indem ich als KeepAlive IP die LAN IP der Sophos angegeben und alle Boxen via myfritz.net angebunden hab. 
 Seitdem bleiben alle 4 Verbindungen stabil. 
 Die Verbindungen werden lediglich 1x / Woche genutzt zur Datenübertragung von Kassensystemen. 
 Daher ist die Performance nicht entscheidend. 
 Ist für mich Neuland eine Sophos mit Fritzboxen zu verbinden. 
 Nutze normalerweise nur IPsec zwischen Sophos UTMs mit zertifikatsbasierter Authentifizierung. Finde das einfacher und vor allem sicherer und stabiler! 
 Hab dem Kunden schon vorgeschlagen als Alternative hinter die Boxen ne RED10 zu setzen. :)