Site-to-site VPN Sophos UTM

Share

UTM <-> UTM
UTM <-> Lancom VPN Router
Lancom VPN Router <-> Lancom VPN Router

Eine Site to Site VPN verbindet 2 oder mehrere Netzwerke an verschiedenen Standorten
über eine gesicherte Verbindung durch das Internet, 


Enlarge Image

man kann die Verbindungen als Stern, Multipoint oder auch Gemischt planen.

Falls Sie eine Standortvernetzung von mehreren Niederlassungen /Home Office planen (LAN und VoIP) planen, sind Erfahrung und gute Vorbereitung zur erfolgreichen Umsetzung unbedingt notwendig.

 

.
Teil 1: Einrichtung der Sophos UTM für Site to Site
Teil 2: Einrichtung im Lancom Router für Site to Site
Teil 3: Troubleshooting in den LiveLogs UTM und Trace Lancom Router
.

.
Die Sophos UTM 9 (Astaro) sollte auf der WAN Seite eine oder mehrere feste IP Adressen haben (1 pro Interface kann genutzt werden für VPN), auf der Gegenseite (Lancom VPN Router) können auch dynamische verwendet werden, dann wird zusätzlich eine DynDNS-Auflösung benötigt.
Folgend die Anleitung für den exemplarischen Aufbau des Tunnels von der Hauptstelle Münster <-> Niederlassung Bremen 1.
Verwendent wird der Main Mode, also IKE mit IKE Schlüssel/Key & IPSEC.

balken-oben

Folgende Konfiguration vorher durchführen:
DNS Sophos UTM 9

balken-unten

Aufgebaut wird erst die IKE (Phase 1), danach IPsec (Phase 2). Die UTM baut den VPN Tunnel auf, der Lancom VPN Router "nimmt an".

 

Die Einrichtung in der UTM

Als erstes in der Sophos UTM Astaro alle Objekte hinterlegen

unter Definitions & Users-> Network Definitions:
- Remote Gateway = Gegenstelle zum S2S Tunnel der Sophos UTM //  wenn feste IP als Host, ansonsten DNS Host
- Remote Netzwerk = lokales Netzwerk des Gegenstelle //IPv6 nur mit angeben, wenn es an beiden Standorten aktiv ist

RGW= RemoteGateWay
Wenn die Gegenstelle eine feste IP hat, sollte man einen Host anlegen, keinen DNS-Host

 

NR = Network Remote

Es ist praktisch, alle RGWs und alle Remote Netzwerke in jeweils einer eigenen Gruppe zusammen zu fassen, diese kann dann für verschiedene Zwecke genutzt werden.

Unter Definitions & Users-> |Network Definitions| "New network definition" zwei 'Network group' mit den Namen
RGW = alle RemoteGateWays
NR = alle Netzwerke Remote
anlegen

Diese beiden Gruppen dann
unter Management -> WebAdmin Settings |General| „Allowed networks“ hinzufügen um ggf.  bei der Installation des Lancom Routers vor Ort Zugriff auf die Astaro zu haben.

Webadmin Site to Site VPN Sophos UTM 9 S2S Lancom Router

Je nach Konfigurationen sollten die Gruppen auch Zugriff auf DNS und NTP haben:

Unter Network Services -> DNS |Global| “Allowed Networks”  die Gruppen hinzufügen, wenn DNS von der UTM benötigt wird
Unter Network Services -> NTP |Global| “Allowed Networks”  die Gruppen hinzufügen, wenn NTP von der UTM benötigt wird

 

Achtung: Diese Policy können nur aktuelle Lancom Router. Bei älteren Modellen AES 256 testen oder gleich  AES 128 nehmen. AES 128 ist durchaus sicher, 3DES sollte man aber nicht mehr verwenden. AES ist absolut sicher mit XAUTH, auch wenn MD5 oder SH1 mitbenutzt werden. Dazu gibt es auch einen Artikel auf dieser Seite

Übersicht der empfohlenen IKE/IPsec Einstellungen
TypWert
IKE encryption algorithmAES 256
IKE authentication algorithmMD5wenn möglich : SHA2-256
IKE SA lifetime28.800
KE DH groupGroup 5 (1536)
IPsec encryption algorithmAES 256
IPsec authentication algorithmMD5wenn möglich : SHA2-256
IPsec SA lifetime28.80028.800 Sekunden = 8h
IPsec PFS groupGroup 5 (1536)
Strict policyJa
CompressionNein
Andere Einstellungen gehen natürlich auch, können aber je nach Lancom Firmware Version Probleme bereiten

 

Jetzt müssen in der Sophos UTM Astaro die Einstellungen für IKE und IPSec hinterlegt werden. Unter
Site-to-site VPN –> IPsec  |Policies| einmalig eine Policy anlegen mit dem Namen “Lancom”. Erst wird die IKE (Phase 1) ausgehandelt, dann IPSec (Phase 2).

 

8h IKE und IPsec lifetime über 28.000s werden von vielen Routern nicht unterstützt. Wenn Sie also einheitlich die selbe IKE nutzen wollen, sollten Sie 28.000s als Maximalwert nehmen. Lancom Router benutzten im Standard 108.000 Sekunden, das ist mit nur wenigen anderen Hersteller kompatibel.

 

Erstellen der eigentlichen S2S Verbindung zur Standortvernetzung: Unter
Site-to-site VPN –> IPsec  |Remote Gateway|  „+New Remote Gateway“ anlegen:

Dort wird hinterlegt welche, Gegenstelle sich wie verbinden darf und identifizieren muss, in diesem Fall über die DynDNS Auflösung, weil keine feste IP vorhanden ist.
Das gleiche Passwort wird natürlich auch im Lancom VPN Router hinterlegt und sollte mindestens 20 Zeichen lang sein.

 

Unter Site-to-site VPN –> IPsec  |Connections| wird eine neue S2S Verbindung hinterlegt:

New-S2S

Man kann auch mehrere lokale Netzwerke angeben (wenn vorhanden), diese müssen dann aber auch im Lancom zum Routen hinterlegt werden.
In diesem  Beispiel werden das interne Netzwerk und die DMZ für die Server verbunden, auf der Gegenseite nur das NR-Bremen-1.

 

Wenn man 'Automatic Firewall Rules' nicht anwählt, kann man die Ports und Dienste einzeln per Regel
unter Network Protection-> Firewall angeben -> |Rules| anlegen, das braucht aber viel Geduld und Zeit. 1. Schritt: Stabilen Tunnel aufbauen. 2. Schritt: Feintuning der Sicherheitsmöglichkeiten. Alles auf einmal in einem grossem Wurf umzusetzten überfordert "S2S-Neulinge" oft

Unter Status kann man die den Tunnel aktivieren oder deaktivieren.

Wenn an beiden Standorten verschiedene AD-Domänen vorhanden sind (zB meineDomaine.local und Domaine-Bremen.local) sollten jeweils in der Sophos UTM und im Lancom für beide Domänen DNS request Routing (DNS-Weiterleitung) eingerichtet werden. Dann kann man in jedem Netzwerk mit FQDN des jeweiligen NR arbeiten, DNS sollte schon eingerichtet sein. DNS Weiterleitungen sind dann unbedigt notwendig, wenn Intern und Extern die gleiche Domaine verwendet wird.

 

Die Auflösung für Reverse DNS .in-addr.arpa sollte man für beide Netzwerke auch jeweils eintragen, Syntax wie im Bild:

1.168.192.in-addr.arpa-interner-DNS-Server

Unter Network Services -> DNS -> Global -> Allowed Networks dann das/alle Remote Netzwerk hinzufügen

 

Unter Network Protection -> Firewall |ICMP| muss 'Allow ICMP on Gateway' und 'Allow ICMP through Gateway' aktiviert sein, damit das KeepAlive der VPN Site to Site funktioniert.
In dieser Konfiguration wird Seitens des Lancom ein Polling eingerichtet, deshalb die Option 'Gateway is Ping visible' auch aktivieren.

 

DPD wird mit
Site-to-Site VPN -> IPsec |Advenced|  "Dead peer detection (DPD)" 'Use Dead peer detection' = Ja
aktiviert.

 

Wenn auf der Astaro der Webproxy läuft, sollen die R-Netzwerke als Ausnahme eingetragen werden, sonst läuft möglicher http/https Traffic für interne Server (SharePoint/Exchange RPCoverHTTPS) durch den Proxy.
Web Protection -> Web Filtering -> Advanced -> 'Skip transparent mode destination hosts/nets'  die Gruppe NR eintragen.

Wenn die Site to Site Verbindung Sophos UTM <-> Sophos UTM erstellt wird, kann an der anderen UTM die Einrichtung genauso vorgenommen werden, natürlich sind Remote und Local Netzwerke "getauscht".

.
.

Hilfe gefunden? Laden Sie mich auf ein Bier ein! (click on Beck's)

 

.
.

Wenn Sie die Gegenstelle (UTM oder Lancom Router) auch konfiguriert haben, können Sie unter
Site-to-site VPN -> IPSec |Connections| den Status auf 'enable' setzten (bei beiden UTM/Lancom Routern), danach sollte der Status unter

Sophos UTM Site to Site VPN Lancom Rouiter

Site-to-site VPN -  Site-to-site VPN tunnel Status auf 'on' stehen

Einrichtung der S2S-VPN im Lancom Router

 

Mit folgenden Lancom VPN Routern kann ein sicherer Site-to-Site VPN Tunnel mit DHCP-Relay, IPv6 und AES 256 konfiguriert werden; prinzipiell sollte jeder Lancom VPN Router S2S zur Standortvernetzung mit der Sophos UTM können. Ältere Modelle allerdings mit eingeschränkter IPv6 Funktionalität. Die Einrichtung Lancom VPN Router <-> Lancom VPN Router kann so an beiden Standorten durchgeführt werden.

Voll IPv6 fähig:
Lancom 1781 Serie alle
Lancom 1631E
Lancom 7100+ VPN (CC)
Lancom 9100+ VPN (CC)
Lancom 1781-4G (CC)
Lancom 1781A-4G (CC)
Lancom 1781A-3G (CC)
Lancom 1781EF (CC)

Die gleichen Einstellungen, wie in der Astaro unter der Policy „Lancom“, müssen auch im Lancom angelegt werden. Im Lanconfig
unter VPN -> IKE-Param und IPSec-Param können alle Proposals und alle Proposal-Listen (falls nicht anderweitig benötigt) gelöscht werden.

Lancom Firmware Sophos UTM A

 

 

Danach unter VPN -> IKE-Param –> IKE Proposals eine neue anlegen mit folgenden Einstellungen // Schlüssellänge 128 oder 256 bit, analog den Einstellungen in der UTM

Entspricht diesem Eintrag in der UTM (ob AES 128 oder 256 geht ausprobieren)
Site-to-site VPN -> IPsec |Policies|
Sophos UTM Lancom Router IKE IPSec IKE

 

Danach eine IKE-Proposal-Liste mit einem Eintrag:

IKE Proposal Liste

 

Unter VPN -> IPSec-Param -> IPSec Proposals

Entspricht diesem Eintrag in der UTM
Site-to-site VPN -> IPsec |Policies|
Sophos UTM Lancom Router IKE IPSec

 

und IPSec-Proposal-Listen folgendes anlegen:

 

VPN -> IKE-Auth -> IKE-Schlüssel und Identitäten einen neuen Eintrag erstellen

Entspricht diesen Einträgen in der Sophos UTM
Site-to-site VPN -> IPsec |Remote Gateways|
Sophos UTM Lancom Router IKE IPSec Key

und
Site-to-site VPN -> IPsec |Connections|
Sophos UTM Lancom Router IKE IPSec IP

 

Das Passwort muss identisch sein mit dem in der Gegenstelle in der Sophos UTM (Astaro). „Flexibler Identitätsvergleich“ deaktivieren. Bei bei mehreren Gegenstellen als Bezeichnung den Ziel-Standort dem Namen anhängen.

VPN -> Defaults -> Main-Mode-Verbindungen die IKE-Liste und Default IKE „Gruppe Mod 5“ hinterlegen. Default Haltezeit ist 0.

 

VPN -> Allgemein -> Verbindungs-Parameter die PDF/IKE Gruppe und die Proposals und den Schlüssel hinterlegen.

Entspricht diesen Eintrag in der UTM
Site-to-site VPN -> IPsec |Polices|
Sophos UTM Lancom Router IKE IPSec Group

Als Bezeichnung bei mehreren Gegenstellen den Standortnamen des Ziels anhängen.

 

VPN -> Allgemein -> Verbindungsliste einen neuen Eintrag erstellen:

Verbindungs-Liste-S2S

Entspricht diesem Eintrag in der UTM
Site-to-site VPN -> IPsec |Connections|
Sophos UTM Lancom Router IKE IPSec Verbindung

Bei mehreren Gegenstellen als Bezeichnung den Standort dem Namen des Ziels anhängen.
Halte Zeit 0 Sekunden bedeutet, dass die Gegenstelle (Sophos UTM)  den Tunnel aufbaut und der Lancom annimmt, aber nie trennt. Es sollte immer nur eine Stelle den Tunnel aufbauen.

 

VPN S2S muss als 'Gemeinsam für KeepAlive' aktiviert werden:

image018

 

Der Tunnel wird aber erst vom Lancom Router aufgebaut bzw angenommen, wenn das Routing für das Gegennetzwerk (hier 192.168.100.0) hinterlegt ist:
IP-Router -> Routing -> Routing-Tabelle

Entspricht diesem Eintrag in der UTM
Site-to-site VPN -> IPsec |Remote Gateways|
Sophos UTM Lancom Router IKE IPSec NR
Keine IP Maskierung aktivieren! Die entfernten lokalen Netze werden jeweils in der UTM/im Lancom eingetragen.
Wenn man von dem Remote Netzwerk über die Sophos UTM zu einem anderen Remote Netzwerk routen will, muss man die anderen Routen auch eintragen, in dem anderen Lancom im Remote Netzwerk den Gegeneintrag. In der Sophos UTM müssen die Netze auch eingetragen werden.

 

Falls die DPD nicht einwandfrei arbeitetet, kann man unter Kommunikation -> Gegenstellen -> Polling-Tabelle einen Eintrag erstellen:

Polling-Tabelle lancom

Angeping wird der lokale NIC der Sophos UTM.

 

Die MTU Size kann für die Verbindung optimiert werden, falls die Geschwindigkeit S2S deutlich zu langsam ist. Ein Standard DSL der Telekom hat einen MTU von 1492, der Overhead S2S-VPN beträgt 100, also sollte man den MTU Wert auf 1392 einstellen. Die Sophos UTM akzeptiert immer den MTU des Lancoms und dieser nimmt den für sich am günstigesten, also MTU WAN weniger 100. Da der MTU bei z.B. Kabelmodem-Anbindungen (UnityMedia, Kabel Deutschland) grösser ist, können die Pakete defragmentiert werden, in diesem Fall also im Lancom VPN Router den kleinsten MTU der beiden VPN Seiten einstellen -100 .
Kommunikation -> Protokolle -> MTU-Liste:

MTU Liste lancom

Im Lancom mit Telnet kann man unter CD Status/WAN/MTU alle MTU Werte aller Verbindungen einsehen.

 

Datum/Zeit -> Synchronisierung
VPN Tunnel können nicht ohne gültige/gleiche Uhrzeit vom Lancom aufgebaut oder angenommen werden.
Datum/Zeit -> Synchronisierung Zeit-Server -> Eintrag erstellen, der Abfrage-Intervall sollte auf 300 stehen.

 

Die DNS-Weiterleitung im Lancom wird
unter IPv4 -> DNS -> Weiterleitungen eingetragen:

DNS-Weiterleitungen Lancom

Damit ist die Standortvernetzung über S2S VPN Tunnel abgeschlossen.

Wenn die Site to Site läuft den Artikel Einrichtung DNS in der Sophos UTM noch mal lesen!

 

Troubleshooting

Wenn es beim Aufbau Probleme gibt, kann man unter
Site-to-site VPN -> IPsec |Debug| da IKE Debugging aktivieren, dann werden im live log ausführliche Meldungen angezeigt

Sophos-UTM-debug-VPN Tools

Der live log ist unter Site-to-site VPN -> IPsec |Connections| zu finden

'IKE encryption algorithm' passt nicht:
#23103: responding to Main Mode from unknown peer (IP)

'IKE authentication algorithm' passt nicht:
***emit ISAKMP Nonce Payload
next payload type: ISAKMP_NEXT_NONE
inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #23108

'IKE SA lifetime' passt nicht
#23114: next payload type of ISAKMP Identification Payload has an unknown value

'IKE DH group' passt nicht
emitting length of ISAKMP Vendor ID Payload
emitting length of ISAKMP Message
inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #23123

'IPsec encryption algorithm' passt nicht
*received whack message
Queuing pending
Quick Mode next event EVENT_RETRANSMIT in 10 seconds for #23126

'IPsec authentication algorithm' passt nicht
emitting length of ISAKMP Vendor ID Payload
emitting length of ISAKMP Message inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #23132

'IPsec PFS group' passt nicht
rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0; policy: PSK+ENCRYPT+TUNNEL+PFS
next event EVENT_RETRANSMIT in 7 seconds for #23136
*received whack message
Queuing pending Quick Mode  "S2S-Bremen"
next event EVENT_RETRANSMIT in 7 seconds for #23136

 Netzwerkrouting passt nicht oder Netzwerke nicht identisch:
*received whack message
Queuing pending Quick Mode with "S2S-Bremen"
next event EVENT_RETRANSMIT in 3 seconds for #23201

Bei Supportfragen kontaktieren Sie mich  unter utmfaq@neise.de

Um die VPN Meldungen im Lancom Router zu sehen, muss man den Lanmonitor aufrufen, den Router anwählen und "Trace Ausgabe erstellen". Als Daten 'VPN Status' anklicken

 

balken-oben

Danach kann folgendes konfiguriert werden:

DHCP-Relay
Verbindung  mit XAUTH absichern
KomplettRouting Niederlassung mit Lancom VPN Router

balken-unten

Münster AD 2013 

Share