This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Guide: Fritzbox 6.30 zu Sophos UTM 9 inkl. AES 256

nach wochenlanger Testerei hier eine vollfunktionsfähige, stabile VPN Beispielkonfiguration mit .cfg und Screenshots der Sophos Config.

Testumgebung: Fritzbox 7490 mit FritzOS 6.30 (DynIP v4) und Sophos UTM 9.350-12 (feste IPv4)

192.168.1.0: Netz der Sophos
192.168.178.0: Netz der Fritzbox
192.168.1.1: IP der Sophos im Netz erreichbar per VPN für Keepalive


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Sophos UTM";
always_renew = yes;
keepalive_ip = 192.168.1.1;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "sophosdns.name.here";
localid {
fqdn = "fritzbox.dns.name.here";
}
remoteid {
fqdn = "sophosdns.name.here";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "secretpassphrasekeysecret";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;

phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


This thread was automatically locked due to age.
  • Danke Dir, klappt ja auf Anhieb.
    Hab ne 7270 mit V6.05 angebunden.
  • danke für das Feedback, ich hab mich wirklich vorher irre lange mit nicht funktionierenden Configs rumgeärgert bis ich das passende hatte. Die VPNs habe ich 3x am Laufen und funktionieren trotz DYN-IP auf den Fritz Seiten perfekt.
  • Hallo Ben,
    änder es mal auf DH Group 5.

    Du hast die Strickte Richtlinie nicht aktiviert, wird hier auch bei der Verschlüsselung AES256 benutzt?

    Nach der Zwangstrennung und einer neuen IP, kommt dein Tunnel wieder hoch?

    Schau mal hier:
    VPN Einstellungen UTM9 -> Fritzbox 7360

    Nice greetings
  • Tunnel kommt direkt wieder hoch
    Was bringt DH Group5? [:)]
    Beim Sophos VPN Status steht das AES 256 benutzt wird, kann da noch einen Screenshot nachliefern
  • Höhere Verschlüsselung beim Key Exchange.
    Da es durch die hohe Performance inzwischen möglich ist diese kleinen Schlüssel zu errechnen. DH5 ist im Prinzip immer noch zu klein, eher Group 14.

    Increase minimum key strengths. ... Browsers and clients
    should raise the minimum accepted size for Diffie-Hellman
    groups to at least 1024 bits in order to avoid downgrade attacks
    when communicating with servers that still use smaller
    groups. Primes of less than 1024 bits should not be considered
    secure, even against an attacker with moderate resources.
    Our analysis suggests that 1024-bit discrete log may be
    within reach for state-level actors. As such, 1024-bit DHE
    (and 1024-bit RSA) must be phased out in the near term.
    NIST has recommended such a transition since 2010 [4]. We
    recommend that clients raise the minimum DHE group size to
    2048 bits as soon as server configurations allow... Precomputation for a 2048-bit non-trapdoored group is around 109 times harder than for a 1024-bit group, so 2048-bit Diffie-Hellman will remain secure barring a major
    algorithmic improvement


    Quelle: https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf

    Next Generation Encryption - Cisco Systems

    Nice greetings
  • Moin,
    Was muss ich beachte nwenn ich auf beiden Sites Dynamische IPS hab?

    Gruß
    Wawa
  • wie meinst du das? Die Konfiguration ist ja bereits für DNS Namen. Das macht keinen Unterschied.

    ---

    Sophos UTM 9.3 Certified Engineer

  • Moin,
    also bei mir hat es nicht auf Anhieb funktioniert. Ich muss bei beim 'Remote Gateway - Gateway type" auf "Respond only" setzen.
    Gruß
    wawa
  • Hi,

    (fast) genau unser Anwendungsfall. Wir haben in der Zentrale eine Sophos UTM, in den Außenstandorten Fritzboxen. VPN via DSL sehr stabil!

    Jetzt wollen wir die Fritzboxen mit Failover via LTE Sticks ausstatten, um den Tunnel zur Not via LTE weiterzuführen.

    Hat das jemand schonmal konfiguriert und weiß ob und wenn ja, wie das geht?!

    Wir haben das bisher nicht hinbekommen.

    Grüße

    Gernot

  • nein, das wird nicht (vernünftig) klappen. LTE ist meist CGN ohne eigene IPv4 aber auf jeden Fall eine andere IP Adresse als der DSL Anschluss. 

    VPN über die Fritzbox ist eine ziemliche Notlösung. Hier wäre es angebracht eine RED Hardware hinter die Fritzboxen zu schalten die sich zur Sophos verbinden. Das würde (sollte!) auch nahtlos und transparent über LTE funktionieren da es nicht per IPSec verbindet und nur der RED Server (in dem Fall die Sophos UTM) eine eigene IPv4 Adresse benötigt.

    ---

    Sophos UTM 9.3 Certified Engineer