Wechseln zu:Navigation, Suche
Wiki


































Konfiguration einer IPSec-VPN-Verbindung mit einer Sophos-Firewall als Gegenstelle
Neuer Artikel: 01.2023

Vorherige Versionen: -

De.png
En.png
Fr.png

Vorbemerkung

  • Dieses Best Practice verwendet die Softwareversionen
    • Securepoint UTM: v12.2.3.1 Es sollte mindestens Version 12.2.5.1 verwendet werden
    • Sophos: SFOS v19.0.0 GA-Build317
  • Einstellungsmöglichkeiten können sich in zukünftigen Softwareversionen ändern, umbenannt oder verschoben werden.

    Die grundsätzliche Funktionalität sollte dadurch nicht eingeschränkt werden

  • Unterstütze VPN-Typen:
    • IPSec mit IKEv1
    • IPSec mit IKEv2

  • SSL / OpenVPN wird nicht unterstützt:
    • Sophos verwendet Proprietäre Konfigurationsdateien (.apc statt .ovpn)
    • Es gibt nur wenige Einstellungsmöglichkeiten


Folgende Netzwerk Situationen wurden getestet:

  • Sophos (Öffentliche, feste IP) <-> UTM (Öffentliche, feste IP)
  • Sophos (Öffentliche, feste IP) <-> UTM (NAT ohne Portweiterleitung)
  • Sophos (Öffentliche, feste IP) <-> UTM (NAT mit Portweiterleitung)
  • Sophos (NAT ohne Portweiterleitung) <-> UTM (Öffentliche, feste IP)
  • Sophos (NAT mit Portweiterleitung) <-> UTM (NAT ohne Portweiterleitung)

Zusätzliche Router

Stehen die Securepoint UTM oder die Sophos Firewall zusätzlich hinter einem weiteren Router (z.B. einer Fritzbox, die den Internetzugang bereit stellt), so müssen dort folgende Ports weitergeleitet werden:

  • Kein NAT auf beiden Seiten: Port 500/UDP (ISAKMP)
  • NAT auf einer Seite: Port 500/UDP + 4500/UDP (NAT-T)


Konfiguration auf der Securepoint UTM

Die Einrichtung der Verbindung auf der UTM erfolgt, wie im Wiki Artikel IPSec Site-to-Site beschrieben.
Folgende Parameter müssen dabei beachtet werden:

Assistent

Securepoint UTM IPSec-Assistent: → VPN →IPSecReiter Verbindungen Schaltfläche IPSec Verbindung hinzufügen
Schritt 2

Parameter Empfohlene Einstellung
IKE-Protokoll: IKEv2
(Bei nicht lösbaren Problemen, IKEv1 benutzen)

Phase 1

Reiter Allgemein

Startverhalten: Outgoing / Incoming Incoming, auf der Seite wo das Gerät am "direktesten" mit dem Internet verbunden ist.
Rangfolge:
  1. Öffentliche, feste IP
  2. Öffentliche, dynamische IP
  3. Private IP hinter NAT-Router (Fritzbox)
  4. Startverhalten der Sophos im IKEv1 Modus kann nicht angepasst werden
    Sie versucht die Verbindung selber aufzubauen, nimmt aber auch Verbindungen an
DPD Ein Aktiv
Verschlüsselung: Empfohlene Werte:
  • AES256 (stärkste Verschlüsselung)
  • AES192
    oder
  • AES128
  • Die Länge des Verschlüsselungs-Schlüssels hat Auswirkungen auf die Performance der Verbindung
Authentifizierung: Empfohlene Werte:
  • SHA2_512
  • SHA2_384
  • SHA2_256
Diffie-Hellman Group: ecp521, ecp384, ecp256, modp8192, modp6144, modp4096
  • Wir empfehlen ecp521
  • Strict Ein Aktiv
    IKE Lifetime: Child_SA Lifetime ≦ IKE_SA Lifetime < 8 Stunden
    Grund: Auf der Sophos muss die Child_SA Lifetime kleiner oder gleich der IKE_SA Lifetime sein
    Rekeying unbegrenzt

    Phase 2

    Verschlüsselung: AES256, AES198, AES128
    Authentifizierung: SHA2_512, SHA2_384, SHA2_512
    Diffie-Hellman Group: ecp512, ecp384, ecp256, modp8192, modp6144, modp4096
  • Wir empfehlen ecp521
  • IKE_SA Lifetime: Child_SA Lifetime ≦ IKE_SA Lifetime < 8 Stunden
    Grund: Auf der Sophos muss die Child_SA Lifetime kleiner oder gleich der IKE_SA Lifetime sein
    Neustart nach Abbruch: ggf. Ein Aktiv (Nur auf der Outgoing Seite)
    Subnetzkombinationen gruppieren: Option wird nicht von Sophos unterstützt bzw. ist nicht verfügbar
  • Wird diese Option auf der Securepoint UTM aktiviert, wird nur für die erste Subnetzkombination ein SA erstellt und in Folge dessen eine Verbindung hergestellt
  • Konfiguration auf der Sophos Firewall

    Erstellen eines IPsec Profils

    Anlegen eines IPsec Profils:

    • Login auf das Administrations-Interface der Sophos (Port 4444)
    • Menü: Konfigurieren / Site-to-Site-VPN
    • Reiter IPsec
    • Untermenü (Link): IPsec-Profile

    Das Profil dient neben der Bestimmung der IKE Protokoll Version (IKEv2/IKEv1), den DPD Einstellungen, hauptsächlich dafür um Verschlüsselungsalgorithmen festzulegen.

    IPSec SP-Sophos 1.png
    Abb.1
    IPSec SP-Sophos 2.png
    Abb.2
    Im Reiter IPsec-Profile ein Profil erstellen mit der Schaltfläche Hinzufügen IPSec SP-Sophos 2b.png
    Abb.3
    Allgemeine Einstellungen
    Name
    Securepoint IKEv2
    Aussagekräftiger Name unter dem das IPsec Profil gespeichert wird 
  • Eintrag erforderlich
  • IPSec SP-Sophos 3.png
    Abb.4
    Beschreibung
       
    Kann optional für jedes IPsec Profil angegeben werden
    Schlüsselaustausch
    IKEv2
    IKE Protokoll Version
    (Das Startverhalten der Sophos kann bei IKEv1 nicht angepasst werden.)
    Authentifizierungsmethode
    Hauptmodus
    Die Securepoint UTM unterstützt als Authentifizierungsmethode (auch Austausch-Modus) aus Sicherheitsgründen ausschließlich den Hauptmodus / Main-Mode und nicht den Aggressive Mode
    Schlüsselaushandlungsversuche
    0
    Maximale Anzahl der Versuche, um die Verbindung herzustellen. Der Wert 0 erlaubt unbegrenzt viele Aushandlungsversuche.

    Phase 1
    Schlüssel-Lebensdauer
    3600
    Zeit in Sekunden, bis eine neue IKE SA ausgehandelt wird.
    Entspricht dem Wert 1 Stunde der IKE Lifetime im Reiter IKE der Phase 1 in der UTM.
  • Der Sophos Default-Wert muss angepasst werden
  • DH-Gruppe (Schlüsselgruppe)
    ecp521, ecp384, ecp256, modp8192, modp6144, modp4096
    Festlegen der IKE Diffie-Hellman-Gruppe für IKEv2 Phase 1
    Verschlüsselung
    AES256
    Festlegen des Verschlüsselungsstandards für IKEv2 Phase 1
    Authentifizierung
    SHA2_256
    Festlegen des Authentifizierungsstandards für IKEv2 Phase 1

    Phase 2
    PFS-Gruppe (DH-Gruppe)
    Gleich wie Phase 1
    Festlegen der IKE Diffie-Hellman-Gruppe für IKEv2 Phase 2
  • Der Sophos Default-Wert muss angepasst werden
  • Schlüssel-Lebensdauer
    3600
    Zeit, bis eine neue IKE CHILD SA ausgehandelt wird.
    Entspricht dem Wert 1 Stunde der Schlüssel-Lebensdauer im Reiter Allgemein der Phase 2 in der UTM ?
    Verschlüsselung
    AES256
    Festlegen des Verschlüsselungsstandards für IKEv2 Phase 2
    Authentifizierung
    SHA2_256
    Festlegen des Authentifizierungsstandards für IKEv2 Phase 2
    Dead Peer Detection (DPD)

    Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, wird dieser neu initiiert.

    Peer überprüfen alle
    30
    Zeit in Sekunden bis zur nächsten Überprüfung
    Auf Antwort warten bis zu
    120
    Zeit, bis der IPSec Tunnel nach einer fehlerhaften Überprüfung als unerreichbar behandelt wird
    Wenn Peer unerreichbar
    Neu initiieren
    • Verbindung Trennen, wenn die Securepoint UTM die Verbindung einleitet
    • Neu initiieren, wenn die Sophos Firewall die Verbindung einleitet
    • Der Sophos Default-Wert muss ggf. angepasst werden
    Mit Klick auf die so bezeichnete Schaltfläche das IPSec-Profil Speichern

    Erstellen der IPsec-Verbindung

    • Menü: Konfigurieren / Site-to-Site-VPN
    • Reiter IPsec
    • Abschnitt IPsec-Verbindungen
    • Schaltfläche Hinzufügen
    IPSec SP-Sophos 4.png
    Abb.5
    Allgemeine Einstellungen
    Name
    Securepoint_UTM_Zentrale
    Name, unter dem die IPsec Verbindung gespeichert wird 
  • Eintrag erforderlich
  • IPSec SP-Sophos 5.png
    Abb.6
    Beschreibung
       
    Kann optional für jede IPsec Verbindung angegeben werden
    IP-Version
    IPv4 / IPv6 / Dual
    IP-Version, über die der Tunnel aufgebaut werden soll (IPv4/Ipv6)
    Verbindungstyp
    Standort-zu-Standort
    Site-to-Site Verbindung
    Gateway-Typ
    Nur antworten
    • Nur Antworten (≙ Incoming):
      Die Sophos Firewall wartet auf eine SPSec-Verbindung und initiiert nicht die Tunnel-Verbindung
    • Verbindung herstellen (≙ Outgoing):
      Die Sophos Firewall initiiert die Tunnel Verbindung
    • Der Sophos Default-Wert muss ggf. angepasst werden
    Beim Speichern aktivieren Startet beim Speichern die Verbindung gemäß Gateway-Typ
  • Der Sophos Default-Wert sollte angepasst werden
  • Firewallregel anlegen Automatisches Anlegen von benötigten Portfilterregeln

    Verschlüsselung
    Profil
    Securepoint IKEv2
    Das zuvor erstellte IPsec Profil auswählen
  • Der Sophos Default-Wert muss angepasst werden
  • Authentifizierungsmethode
    Verteilter Schlüssel
    Mögliche Optionen:
    • Verteilter Schlüssel (=Pre Shared Key, PSK)
    • Digitales Zertifikat (entfernt und lokal müssen hinterlegt werden)
    • RSA-Schlüssel (entfernt und lokal müssen hinterlegt werden)

    Gateway-Einstellungen
    Lokales Gateway
    Lausch-Schnittstelle
       
    Interface, über das der Tunnel aufgebaut werden soll
  • Eintrag erforderlich
  • IPSec SP-Sophos 6.png
    Abb.7
    Lokaler ID-Typ
    Lokale ID wählen
    Frei wählbar (kann ein DNS Name, eine IP-Adresse oder eine E-Mail-Adresse sein).
    Lokale ID
       
    Frei wählbar
  • Dieser Wert muss auf der Securepoint UTM im IPSec-Assistenten im Schritt 4 - Gegenstelle als Remote Gateway ID eingetragen werden
  • Lokales Subnetz
    Neues Element hinzufügen
    Lokales Netzwerk auf der Sophos Firewall, das in den Tunnel eingebunden werden soll.

    Existiert das Netzwerkelement nicht in der Liste, kann es in diesem Schritt erstellt werden

    Entferntes Gateway
    Gateway-Adresse
    *
    Adresse des Remote Gateway (≙Securepoint UTM)
  • Der Wert * sollte gesetzt werden, wenn die Sophos Firewall nicht die Verbindung initiiert und die UTM keine feste IP Adresse besitzt, mit der die Anfragen gestellt werden.
  • Entfernter ID-Typ
    Entfernte ID wählen
    Frei wählbar (kann ein DNS Name, eine IP-Adresse oder eine E-Mail-Adresse sein).
    Remote-ID
       
  • Dieser Wert muss auf der Securepoint UTM im IPSec-Assistenten im Schritt 3 - Lokal als Local Gateway ID eingetragen werden
  • Entferntes Subnetz

    Neues Element hinzufügen
    Entferntes Netzwerk auf der Securepoint UTM, das über den Tunnel erreichbar sein soll.

    Existiert das Netzwerkelement nicht in der Liste, kann es in diesem Schritt erstellt werden

    Erweitert
    Benutzerauthentifizierung
    Keine
    Vorgabe unverändert auf Keine belassen
    Verbindung trennen im Leerlauf Nicht aktivieren

    Verbindung anlegen mit der Schaltfläche Speichern

    Netzwerkelemente erstellen

    Hierzu kann während dem Anlegen der IPSec Verbindung in den Dialogen Lokales Subnetz und Entferntes Subnetz ein neues Element über die Option Hinzufügen angelegt werden. IPSec SP-Sophos 7.png
    Abb.8 - nach Klick in das jeweilige Feld
    Entferntes Netzwerkelement erstellen
    Die Werte für das Entfernte Subnetz (also das Netzwerk der Securepoint UTM, das über den Tunnel erreichbar sein soll)
    Name Hostname eingeben Name des Netzwerkelements IPSec SP-Sophos 8.png
    Abb.9
    IP-Version IPv4 IPv6 Art der IP-Adressen (IPv4/IPv6) in dem Remote Netzwerk (hier: Das Netzwerk der Securepoint UTM)
    Typ Netzwerk Es muss der Typ Netzwerk gewählt werden
    IP-Adresse     Netzadresse des Remote UTM Netzwerks
    Subnetz /24 (255.255.255.0) Subnetzmaske des Remote UTM Netzwerks

    Netzwerkelement mit Klick auf die so bezeichnete Schaltfläche Speichern

    Troubleshooting

    IPsec Log

    Abb.10

    Einsehbar unter dem Menüpunkt Kontrollzentrum im Abschnitt Überwachen & Analysieren, Link Protokollansicht am oberen rechten Rand des Sophos Admin Panels.

    Abb.11
    • Nach dem Auswählen dieser Option öffnet sich ein PopUp Fenster
    • Hier im Dropdownmenü die Log Kategorie Firewall auswählen


    Abb.12
    • Jetzt lässt sich im Dropdownmenü die Log Kategorie VPN auswählen


    Tcpdump

    Für TCPdump wird der Zugriff über SSH benötigt.
    Freigabe auf der Sophos Firewall:
    • Menü Verwaltung / Appliance-Zugriff / Zugriffssteuerungsliste (ZSL) für lokale Dienste
    • Spalte Admin-Dienste / SSH, freigeben für LAN bzw. WAN SSH für WAN sollte nur temporär bei Bedarf freigegben werden.
    • Einstellung mit der so bezeichneten Schaltfläche Übernehmen
    IPSec SP-Sophos 11.png
    Abb.13
    • Verbindung zur Sophos Firewall über SSH (Port 22) mit den Sophos Admin-Zugangsdaten
    • Im Main Menu Option 5. Device Management wählen
    • Im Menü Device Managment die Option 3. Advanced Shell wählen
    IPSec SP-Sophos 13.png
    Abb.15
    IPSec SP-Sophos 12.png
    Abb.14
    • Befehle wie tcpdump, ping oder ip können nun ausgeführt werden
    IPSec SP-Sophos 14.png
    Abb.16