ComputerBase Menü
Aktuelles

IPsec Site2Site VPN mit Sophos XG

MetalForLive

MetalForLive

Admiral
Registriert
Sep. 2011
Beiträge
8.183
Hallo zusammen,

ich möchte gerne mit zwei Sophos XG ein Site 2 Site VPN aufbauen, da meine beiden Ubiquiti USGs leider zu wenig CPU Leistung haben und somit nur ~16Mbit/s durch bekommen von möglichen ~35Mbit/s.

Ich habe jetzt jeweils auf beiden Sites eine Sophos XG Home Edition in Hyper-V aufgesetzt, diese haben zwei virtuelle NICs in verschiedenen VLANs, die Konfiguration hierfür sieht wie folgt aus:


Site A
InterfaceVLANIP/SubnetGateway
NIC1 (LAN)100172.10.100.200/24172.10.100.1
NIC2 (WAN)254172.10.254.2/30172.10.254.1


Site B
InterfaceVLANIP/SubnetGateway
NIC1 (LAN)100172.20.100.200/24172.20.100.1
NIC2 (WAN)254172.20.254.2/30172.20.254.1


Die VLANs (Gateways) liegen auf Layer3 Ebene jeweils pro Site auf dem Ubiquiti USG an welches auch als Internet Breakout dient und worüber das VPN laufen soll. Ich kann von der Sophos das USG Pingen und umgekehrt, alles gut soweit.

Das Site to Site VPN habe ich nach folgender Anleitung konfiguriert:
https://community.sophos.com/kb/en-us/123140
Die WAN IPs habe ich jeweils durch den DynDNS Namen jeder Site ersetzt.

Jetzt habe ich von dem USG auf jeder Site die Ports 500 UDP und 4500 UDP auf die WAN IP (172.x.254.2) der Sophos geforwarded und hier beginnt das Problem.

Wenn ich die VPN Verbindung aktivieren will, schlägt dies fehl.
Ich hab daraufhin ein Portscan auf die jeweilige aktuelle öffentliche IP jeder Site gemacht und festgestellt, dass die Ports 500 und 4500 nicht offen sind.
Andere Ports wie 80 welcher auf meinen Webserver geforwardet werden hingegen schon, daher vermute ich, liegt das Problem nicht am USG und dem Portforwarding, sondern an den Sophos Firewalls.

Muss ich hier noch irgendwelche weiteren Einstellungen tätigen damit die Ports nach außen hin freigegben werden ?
Mit dem Thema Firewalls bin ich leider nicht ganz so vertraut.
 
IPSec VPN hinter zwei NAT Routern ist irgendwie immer problematisch.
Wie hast du denn gescannt? Kann es sein das die Ports noch von der USG verwendet werden?

Schöner wäre es hier die Sophos direkt für den Internetzugang zu verwenden sodass die öffentliche IP dort ankommt. Oder du nutzt alternativ kein IPSec sondern OpenVPN (SSL), das ist wesentlich unkomplizierter in so einem Konstrukt.
 
Ich habe einfach mit einem Client aus der jeweiligen Site mit dem Angry IP Scanner die jeweiligen Ports gescannt.
Die Sophos direkt als Internetzugang verwenden möchte ich nicht.

Ich teste es sonst nochmal per SSL VPN.

Wenn es gar nicht anders geht, setz ich mir sonst eine kleine Linux VM auf und installiere dort OpenVPN.
Wäre aber schön wenn es doch irgendwie über die Sophos gehen würde.
 
Ich war eigentlich der Meinung, wenn man 4500 nutzt NAT-T dann braucht man ESP nicht ?
Problem ist nämlich, das USG kann blöderweise ESP nicht forwarden.
 
Bei IPSEC brauchst du immer ESP, und wenn das das USG nicht forwarden kann bleibt nur openvpn. Ich würde bei OpenVPN aber kein Linux installieren, nimm lieber die Firewall Distri pfSense, die hat ne schicke Weboberfläche, basiert auf FreeBSD und hat OpenVPN standardmäßig dabei.
Ergänzung ()

PS: mit der mach ich auch meine site-to-site zum gemieteten root-Server
 
  • Gefällt mir
Reaktionen: Lawnmower
Dann schau ich mir mal pfSense an, theoretisch müsste man da dann auch nen anderen Port als 443 verwenden können oder ?
Weil den benötige ich evtl. für meinen Webserver.
 
OpenVPN verwendet standardmäßig eh udp/1194 als einzigen Port ...
 
Achso, dann hatte ich das falsch im Hinterkopf.
 
Du brauchst dafür keine neue VM, Sophos kann ja OpenVPN. Du solltest nur (falls bei der XG noch nötig, bei der SG war es so) auf UDP 1194 umstellen. Sophos nimmt hier standardmäßig TCP 443 was doppelt dumm ist: Du blockierst dir 443 den man in der Regel für andere Dienste braucht und machst ein VPN über TCP was für doppelte Retransmits sorgt.
 
@Masamune2

Hab ich gerade gemacht, funktioniert wunderbar, danke !
Dann lass ich es doch über die Sophos laufen.
 
Edit:

Okay scheint doch nicht zu funktionieren...
Auf der Client Firewall ist die Verbindung zwar Grün aber er sendet immer nur ein paar Pakete, empfangen tut er nichts.
Auf der Server Firewall ist alles rot und somit "disconnected".
Der Portscan ergibt, dass Port 1194 nicht offen ist obwohl ich ihn geöffnet habe.
 
Ich würde zum scannen mal Nmap verwenden, ich bin mir nicht sicher ob der Angry Ip Scanner UDP korrekt scannt.
nmap -sU -p 1194 <IP>
sollte open ergeben.
 
Ok hast recht, Nmpa sagt es ist offen.
Dann muss ich mal weiter suchen wo der Hund begraben liegt.
 
Ahh okay unter SSL VPN Configuration musste ich noch bei "override Hostname" den dyndns Namen angeben.
 
d2boxSteve schrieb:
Ähm, neben udp/500 und udp/4500 musst du natürlich auch das Protokoll ESP weiterreichen.
Zum Vergrößern anklicken....

Falsch, das ist nicht zwingend erforderlich.

MetalForLive schrieb:
Ich war eigentlich der Meinung, wenn man 4500 nutzt NAT-T dann braucht man ESP nicht ?
Zum Vergrößern anklicken....

Richtig.

Es gibt seit 15 Jahren Standards um ESP in UDP 4500 zu verpacken. (RFC 3947 & 3948)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Zensai
DNS Abfragen seit Fritzbox Site2Site VPN teilweise langsam
Antworten
14
Aufrufe
896
Zensai
Zensai
X
Sophos XG hinter Fritzbox
Antworten
4
Aufrufe
1.291
~XxX~
X
V
Unraid VM Sophos XG
Antworten
3
Aufrufe
2.754
stinger2k
stinger2k
S
Sophos XG oder Sophos UTM und welche Hardware?
Antworten
19
Aufrufe
16.994
Hammelkopp
Hammelkopp
MetalForLive
Sophos XG redirected Proxy und Lets Encrypt SSL Zertifikat
Antworten
17
Aufrufe
8.830
kallii
K
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz