Man findet einiges an Anleitungen und Hinweisen zur Vernetzung einer Sophos UTM und einer Fritzbox per Site2Site über IPsec. VIele Infos dazu sind schon älter und funktionieren so nicht mehr. Auch diese Anleitung bezieht sich jeweils auf einen bestimmten Firmwarestand als Funktionsfähig. Letztendlich ist ein Site2Site zwischen 2 Herstellern immer als problematisch anzusehen. Die Fritzbox 7490 schafft ca. 10 Mbit VPN mit dieser Config. Zwischendurch kann es kurze Aussetzer geben.
Wenn man eine gute, stabile Standortvernetzung braucht ist eine zweite Sophos oder eine RED angebracht. Ich habe auch schon ein Site2Site über einen Lancom 1781EF+ stabil über Monate betrieben. Eine super Anleitung für Lancom <-> Sophos VPN Site2Site gibt es beim Kollegen auf https://www.neise.de
Hier aber erstmal die ziemlich funktionsfähige Beispielkonfiguration für eine Fritzbox
Testumgebung: Fritzbox 7490 mit FritzOS 6.30 (DynIP v4) und Sophos UTM 9.350-12 (feste IPv4)
192.168.1.0: Netz der Sophos
192.168.178.0: Netz der Fritzbox
192.168.1.1: IP der Sophos im Netz erreichbar per VPN für Keepalive
VPN Config File für die Fritzbox:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Sophos UTM";
always_renew = yes;
keepalive_ip = 192.168.1.1;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "sophosdns.name.here";
localid {
fqdn = "fritzbox.dns.name.here";
}
remoteid {
fqdn = "sophosdns.name.here";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "secretpassphrasekeysecret";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
weiter auf der Sophos Seite bei den Policys:
und das Gateway
Und die Verbindung selbst
Hallo,
vielen Dank für die Anleitung! Ich habe zwei Standorte an die Sophos angebunden. Die Standorte können aber nur mit dem Hauptstandort kommunizieren. Leider aber nicht von Standort 2 zu Standort 3. kann ich das irgendwie lösen?
Grüße Marcus
Hi,
seit spätestens Fritz OS 6.5 kann man keine Konfigurationen importieren.
In einer früheren Version hatte ich das auch zum laufen gebracht und auch ein update hat es überlebt. Allerdings kann ich keine neue VPN Verbindung bauen oder die alte (aus frühren Fritz OS Versionen) bearbeiten.
Ich bekomme nur folgende Fehler in der UTM
Any idea?
unsupported exchange type ISAKMP_XCHG_AGGR das sollte noch in den Kommentar