leo-le
Goto Top

IPSEC Site2Site VPN zwischen 2 Sophos UTMs

Hallo zusammen,

Testweise habe ich mich daran versucht, 2 Sophos UTMs per IPsec miteinander zu verbinden.
Die Hürde dabei war, dass eine Sophos eine fest öffentliche IP hat und die andere hinter einer Fritzbox steht. (ASG120 mit Home Lizenz)
Der SSL-Tunnel funktioniert problemlos, aber per IPsec bekomme ich immer folgenden Fehler:

SiteB home: ignoring informational payload, type INVALID_Message_ID
SiteA work: cannot respond to IPsec SA request because no connection is known for 192.168.178.100.0
Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x8c2281d2 (perhaps this is a duplicated packet)

Die Sophos hinter der Fritzbox wird als Exposed Host geführt und die IPSEC Ports werden gefoarwarded.

Content-Key: 389579

Url: https://administrator.de/contentid/389579

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: aqui
Lösung aqui 16.10.2018 aktualisiert um 10:58:55 Uhr
Goto Top
und die andere hinter einer Fritzbox steht.
Dann gilt für dich zwingend das hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Hast du das entsprechend so umgesetzt ?!
Achtung bei der FB !! Die FB ist selber IPsec VPN Server. Du musst dort sicherstellen das die FB nicht "denkt" diese IPsec Pakete sind für sie selber. Dann blockt sie diese und gibt sie nicht weiter an ein kaskadiertes Gerät dahinter !
Die VPN Funktion muss also zwingend auf der FB deaktiviert sein !! Exposed Host nützt nichts.

Generell ist es immer schlecht eine Router Kaskade an der Firewall zu betreiben. Schlechtes Design aus Gründen von Performance und eben der VPN Kopplung.
Viel sinnvoller ist es dort KEINEN Router zu verwenden sondern ein reines NUR Modem.
Damit hättest du diese Problematiken gar nicht erst !
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-allnet-all033 ...
https://www.reichelt.de/adsl2-ethernet-modem-annex-b-und-j-d-link-dsl321 ...
Oder sofern du VDSL hast ein NUR Hybrid Modem:
https://www.reichelt.de/vdsl2-adsl-modem-annex-b-und-j-allnet-allbm200v- ...
https://www.draytek.de/vigor130.html
Das wäre erheblich sinnvoller als eine schlechte Router Kaskade.
Siehe dazu auch hier:
Lancom DynDNS Auflösung über IPoe (FritzBox)
Mitglied: Leo-le
Leo-le 16.10.2018 aktualisiert um 12:02:18 Uhr
Goto Top
Hi aqui,

vielen Dank erst mal für die Infos.
Der aktuelle Aufbau ist rein Testweise für mich, sonst würde ich dieses Konstrukt nicht wählen.
Natürlich würde ich es trotzdem gern hinbekommen, den IPSEC über die Kaskade aufzubauen.

Nochmal zur Konfig: Die Ports habe ich auf der FB freigegben, die Sophos als Exposed Host angegeben und alle VPN-Verbindungen gelöscht.
Die Policy läuft über 256bit SHA.

cannot respond to IPsec SA request because no connection is known for 192.xx.xx.0/24===80.xx.xx.88:4500[80.xx.xx.88]...92.xx.xx.103:4500[192.xx.xx.88]===192.xx.xx.0/24
2018:10:16-11:59:12 sophos-proxy-1 pluto[4082]: "S_SiteB Connection"[4] 92.xx.xx.103:4500 #5: sending encrypted notification INVALID_ID_INFORMATION to 92.xx.xx.103:4500

Vielleicht hast du noch einen Tipp`?
Mitglied: aqui
aqui 16.10.2018 aktualisiert um 12:12:55 Uhr
Goto Top
Natürlich würde ich es trotzdem gern hinbekommen, den IPSEC über die Kaskade aufzubauen.
Ist wie gesagt technisch nicht das Optimum, klappt aber problemlos wenn man die Vorgaben in einer Kaskade beachtet (Siehe Tutorial oben)
Die Fehlermeldung besagt das du keinerlei SA Profil eingetragen hast für die Phase 2. Es fehlt also entweder die Deklaration für das remote LAN und/oder lokale LAN Netzwerk oder beides dort in der Konfig.
Hier musst du immer beide lokalen LAN Netze, einmal das remote und das lokale mit ihren Masken eintragen auf BEIDEN IPsec Routern !
Ist das geschehen ?
https://community.sophos.com/kb/en-us/127030
Mitglied: Leo-le
Leo-le 16.10.2018 um 13:03:04 Uhr
Goto Top
Zitat von @aqui:

Natürlich würde ich es trotzdem gern hinbekommen, den IPSEC über die Kaskade aufzubauen.
Ist wie gesagt technisch nicht das Optimum, klappt aber problemlos wenn man die Vorgaben in einer Kaskade beachtet (Siehe Tutorial oben)
Tutorial ist umgesetzt
Die Fehlermeldung besagt das du keinerlei SA Profil eingetragen hast für die Phase 2. Es fehlt also entweder die Deklaration für das remote LAN und/oder lokale LAN Netzwerk oder beides dort in der Konfig.
Hier musst du immer beide lokalen LAN Netze, einmal das remote und das lokale mit ihren Masken eintragen auf BEIDEN IPsec Routern !
Ist das geschehen ?
beide lokale Netze aber blo dort, wo die Kaskade gebaut ist oder?
Mitglied: Leo-le
Leo-le 16.10.2018 um 13:07:04 Uhr
Goto Top
Die UTM hinter der FritzBox muss auch die sein, wo innitiate konfiguriert ist? Die UTM mit der öffentlich festen IP wird auf respond only gestellt.
Die Remotenetze auf der Sophos hinter der FB sind dann das LAN-Netz der Sophos und das LAN-Netz der FB.

Insgesamt sieht die Konfig ganz gut aus, vielleicht hat die Sophos damit allgemein ein Problem.
Mitglied: aqui
Lösung aqui 16.10.2018 aktualisiert um 13:38:54 Uhr
Goto Top
beide lokale Netze aber blo dort, wo die Kaskade gebaut ist oder?
Damit ist immer das lokale LAN Netz gemeint was an der Sophos dran ist. NICHT das Transfer Netz zur FB !
Das Transfer netz spielt keinerlei Rolle, für die Sophos ist das schon das "Internet" !
Gemeint sind also immer die jeweiligen lokalen LAN Segmente an der Sopohs. Die müssen im Setup bei den SA Credentials beide eingetragen werden auf beiden Seiten.
Die UTM hinter der FritzBox muss auch die sein, wo innitiate konfiguriert ist?
Muss nicht...wäre aber besser.
Die UTM mit der öffentlich festen IP wird auf respond only gestellt.
Kann man so machen. Geht auch beide auf Initiate solange die dann das auskaspern dynmaisch.
Denk dran das du auf der Sophos die direkt am Internet ist als Peer Adresse für den remoten Peer die FritzBox WAN IP als Ziel Peer Adresse einträgst !!
Da darf natürlich keinesfalls die WAN IP der Sophos stehen die diese im Koppelnetz hat. Ist dir aber sicher selber klar, oder ?!
vielleicht hat die Sophos damit allgemein ein Problem.
Sollte eigentlich nicht !! Sowas ist ein Allerweltsdesign da Router Kaskaden häufig verwendet werden wo Kunden "Zwangsrouter" vom Provider bekommen. Dort hast du ja dann oft keine Wahl und bist auf so eine schlechte Kaskadenlösung gezwungen.
Aber IPsec kann durch NAT Traversal (UDP 4500) problemlos damit umgehen !
Natürlich sollte NAT Traversal zwingend im Sophos Setup auf beiden Seiten aktiv sein ! Siehe Sophos_Tutorial unter Additional Information !
Mitglied: Leo-le
Leo-le 16.10.2018 um 14:16:37 Uhr
Goto Top
Zitat von @aqui:

beide lokale Netze aber blo dort, wo die Kaskade gebaut ist oder?
Damit ist immer das lokale LAN Netz gemeint was an der Sophos dran ist. NICHT das Transfer Netz zur FB !
Das Transfer netz spielt keinerlei Rolle, für die Sophos ist das schon das "Internet" !
Gemeint sind also immer die jeweiligen lokalen LAN Segmente an der Sopohs. Die müssen im Setup bei den SA Credentials beide eingetragen werden auf beiden Seiten.
Wieso dann beide? Das wäre ja bei mir das eine lokale Netz am LAN-Port der UTM hinter der FB und auf der anderen Seite ebenfalls das ein e Netz am LAN Port der UTM. Oder sollen die über Kreuz eingetragen werden?
Die UTM hinter der FritzBox muss auch die sein, wo innitiate konfiguriert ist?
Muss nicht...wäre aber besser.
Gut, habe ich noch mit umgestellt.
Die UTM mit der öffentlich festen IP wird auf respond only gestellt.
Kann man so machen. Geht auch beide auf Initiate solange die dann das auskaspern dynmaisch.
Denk dran das du auf der Sophos die direkt am Internet ist als Peer Adresse für den remoten Peer die FritzBox WAN IP als Ziel Peer Adresse einträgst !!
VPN ID ist die öffentliche IP der FB und als Gateway habe ich die dyn Adresse der FB genommen.
Da darf natürlich keinesfalls die WAN IP der Sophos stehen die diese im Koppelnetz hat. Ist dir aber sicher selber klar, oder ?! Ja, klar. Wie gesagt der Verbibndungsaufbau klappt ja schon fast, es kann eben mit der privaten Adresse anscheinend nicht anfangen.
vielleicht hat die Sophos damit allgemein ein Problem.
Sollte eigentlich nicht !! Sowas ist ein Allerweltsdesign da Router Kaskaden häufig verwendet werden wo Kunden "Zwangsrouter" vom Provider bekommen. Dort hast du ja dann oft keine Wahl und bist auf so eine schlechte Kaskadenlösung gezwungen.
Aber IPsec kann durch NAT Traversal (UDP 4500) problemlos damit umgehen !
Natürlich sollte NAT Traversal zwingend im Sophos Setup auf beiden Seiten aktiv sein ! Siehe Sophos_Tutorial unter Additional Information !
Ist aktiviert
Mitglied: Leo-le
Leo-le 16.10.2018 um 14:40:03 Uhr
Goto Top
Anscheinend kommt die Sophos mit der öffentlichen IP nicht mit der Sophos mit der privaten Adresse am WAN klar.
Die .26 ist die WAN-Adresse von der Sophos hinter dem Router.
2018:10:16-14:37:42 sophos-proxy-1 pluto[24610]: "S_Site Work Conn" #9: Peer ID is ID_IPV4_ADDR: '192.168.xx.26'
2018:10:16-14:37:42 sophos-proxy-1 pluto[24610]: "S_Site Work Conn" #9: no suitable connection for peer '192.168.xx.26'
2018:10:16-14:37:42 sophos-proxy-1 pluto[24610]: "S_Site Work Conn" #9: sending encrypted notification INVALID_ID_INFORMATION to 92.xx.xx.103:4500
2018:10:16-14:37:43 sophos-proxy-1 pluto[24610]: "S_Site Work Conn" #10: DPD: Received R_U_THERE for unestablished ISAKMP SA
2018:10:16-14:37:47 sophos-proxy-1 pluto[24610]: packet from 92.117.xx.xx:4500: Informational Exchange is for an unknown (expired?) SA
Mitglied: aqui
Lösung aqui 18.10.2018 um 11:31:35 Uhr
Goto Top
Anscheinend kommt die Sophos mit der öffentlichen IP nicht mit der Sophos mit der privaten Adresse am WAN klar.
Das ist auch klar wenn du als Peer ID auf der einen Sophos die WAN IP Adresse der kaskadierten Sophos eingetragen hast:
Peer ID is ID_IPV4_ADDR: '192.168.xx.26'

Das kann natürlich niemals gehen !!
Als Peer ID müsste die öffentliche IP der davor kaskadierten FritzBox verwendet werden !
Du solltest in so einem Kaskade Setup niemals die Peer IDs mit den IP Adressen machen sondern immer wenn möglich einen String (fiktive Email) verwenden oder einen FQDN.
Im Kaskade Umfeld mit IPs zu arbeiten ist kontraproduktiv und schlägt fast immer fehl wegen der RFC 1918 Problematik.
Das IPsec Setup bietet immer auch die Option den gegenseitigen ID Check über Strings oder FQDNs zu machen was hier sinnvoller ist.
Mitglied: Leo-le
Leo-le 23.10.2018 um 10:13:41 Uhr
Goto Top
Zitat von @aqui:

Anscheinend kommt die Sophos mit der öffentlichen IP nicht mit der Sophos mit der privaten Adresse am WAN klar.
Das ist auch klar wenn du als Peer ID auf der einen Sophos die WAN IP Adresse der kaskadierten Sophos eingetragen hast:
Peer ID is ID_IPV4_ADDR: '192.168.xx.26'

Das kann natürlich niemals gehen !!
Als Peer ID müsste die öffentliche IP der davor kaskadierten FritzBox verwendet werden !
Du solltest in so einem Kaskade Setup niemals die Peer IDs mit den IP Adressen machen sondern immer wenn möglich einen String (fiktive Email) verwenden oder einen FQDN.
Im Kaskade Umfeld mit IPs zu arbeiten ist kontraproduktiv und schlägt fast immer fehl wegen der RFC 1918 Problematik.
Das IPsec Setup bietet immer auch die Option den gegenseitigen ID Check über Strings oder FQDNs zu machen was hier sinnvoller ist.


Servus aqui,

vielen Dank für deine Hilfe, jetzt funktioniert alles.
Ich habe nun zusätzlich die Fritte per PPOE Passthrough am laufen und die UTM wählt sich ein.
Mitglied: aqui
aqui 23.10.2018 um 10:45:30 Uhr
Goto Top
Schwere Geburt... face-wink
Besser wäre hier dennoch ein dediziertes NUR Modem.
Aber gut wenns nun rennt wie es soll !
Case closed...