Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 23 replies
  • Subscribers 6 subscribers
  • Views 5322 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SFOS 18.5.1 IPSec (remote access) stellt keine Verbindung her

initB10r

Hallo zusammen,

leider habe ich jetzt nicht nur das SIP Problem, sondern ich schaffe es auch nicht eine VPN-Verbindung herzustellen.

Ich bin bei der Einrichtung nach folgender Anleitung vorgegangen: https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/VPNIPsecSophosConnectClient.html

In der XG habe ich also 2 Einstellungen vorgenommen.

IPSec

:

FirewallRegel

Im Userportal habe ich dann das Profil auf meinem iPhone installiert und versucht zu starten.

Aber mit angeschaltetem WLAN (gleiches Netz wie XG) bekomme ich folgende Meldung: Der VPN-Server antwortet nicht.

Aus dem Internet erhalte ich folgende Meldung: Kommunikation mit dem VPN-Server fehlgeschlagen

Danach habe ich Sophos Connect unter Windows 10 installiert und die aus " IPSec (remote access)" exportierte Verbindung "Export connection" via schneckenVPN.tgb importiert.

Beim Verbindungsaufbau (gleiches Netz wie XG) erhalte ich dann folgende Meldung.

In den Logs finde ich irgendwie auch nichts brauchbare, aber ich bin Anfänger und suche ggf. noch falsch :-(

Hat jemand eine Idee, was ich falsch mache?

Vorab vielen Dank für die Hilfe.

Grüße
Marc



This thread was automatically locked due to age.

Top Replies

  • in reply to dirkkotte +1 verified

    Vorab vielen Dank an alle, welche mich hier unterstützt haben und speziell FCL, welcher vorgestern Abend zusammen mit mir die Probleme gesucht hat.

    In der Firewallregel habe ich noch einen eigenen Netzbereich eingegeben, welcher nicht mit dem LAN kollidiert. Dies hatte ich ja schon bereits in VPN-Bereich gemacht, aber so ist es wahrscheinlich sauberer.

    Hauptproblem wahr scheinbar, dass IPSec aus dem eigenen Netzwerk in meiner Konfiguration nicht funktioniert. Ein Aufbau aus einem anderen Netzwerk funktioniert. SSL-VPN hingegen hat auch aus dem eigenen Netzwerk funktioniert.


    Nachdem Windows über IPSec funktionierte, habe ich dann noch IPSec über iOS hinbekommen und musste hier feststellen, dass Sophos meiner Meinung nach einen Bug hat. iOS erwartet den das SharedSecret base64 codiert, aber Sopohs hat da irgendwas ganz anderes.
    Nachdem ich das SharedSecret als base64 codiert hatte, funktionierte IPSec sofort. Danach habe ich noch onDemand konfiguriert. Auch das funktioniert sehr gut.

    Insgesamt funktioniert IPSec nun sehr gut und ohne Probleme.

    Hier ein paar Screenshots, um meine konfiguriert darzustellen:

    Wichtig ist auch das aktivieren von DNS in der VPN-Zone, damit DNS-Abfragen funktionieren:

    Das müssten alle Konfigurationen in der XG sein.
    Hier jetzt noch die iOS Konfiguration:

    <plist version="1.0">
<dict>
        <key>PayloadContent</key>
        <array>
                <dict>
                        <key>IPSec</key>
                        <dict>
                                <key>AuthenticationMethod</key>
                                <string>SharedSecret</string>
                                <key>RemoteAddress</key>
                                <string>xg.myhome.de</string>
                                <key>SharedSecret</key>
                                <data>***SharedSecret als BASE64***</data>
                                <key>XAuthEnabled</key>
                                <integer>1</integer>
																<!-- VPN-On-Demand Codeblock -->
																<key>OnDemandEnabled</key>
																<integer>1</integer>
																<key>OnDemandRules</key>
																<array>
																<!-- VPN beim Zugriff auf Heimnetz-Adressen aufbauen -->
																	<dict>
																		<key>Action</key>
																		<string>EvaluateConnection</string>
																		<key>ActionParameters</key>
																		<array>
																			<dict>
																				<key>Domains</key>
																				<array>
																					<string>HOST1</string>
																					<string>HOST2</string>
																					<string>....</string>
												                  <string>fritz.box</string>
												                  <string>*.fritz.box</string>
												                  <string>*.myhome.intern</string>
																				</array>
																				<key>RequiredDNSServers</key>
																				<string>172.16.0.1</string>
																				<key>DomainAction</key>
																				<string>ConnectIfNeeded</string>
																			</dict>
																		</array>
																	</dict>
																	<dict>
																		<key>DNSServerAddressMatch</key>
																			<array>
																				<string>172.16.0.1</string>
																				<string>172.16.0.*</string>
																				<string>172.16.1.*</string>
																				<string>172.16.2.*</string>
																				<string>172.16.3.*</string>
																				<string>172.16.4.*</string>
																				<string>172.16.5.*</string>
																				<string>172.16.6.*</string>
																				<string>172.16.7.*</string>
																			</array>
																		<key>Action</key>
																		<string>Connect</string>
																	</dict>
																	<dict>
																		<!-- VPN bei ausgewählten WLAN-Netzen deaktivieren -->
																		<key>InterfaceTypeMatch</key>
																		<string>WiFi</string>
																		<key>SSIDMatch</key>
																		<array>
																			<string>*** SSID 1 ****</string>
																			<string>*** SSID 2 ****</string>
																		</array>
																		<key>Action</key>
																		<string>Disconnect</string>
																	</dict>
																	<dict>
																		<!-- VPN bei aktiver WLAN-Verbindung aktivieren -->
																		<!-- "Connect", "Disconnect", or "Ignore" if device is connected to any other WiFi network -->
																		<key>InterfaceTypeMatch</key>
																		<string>WiFi</string>
																		<key>Action</key>
																		<string>Connect</string>
																	</dict>
																	<dict>
												             <!-- VPN im Mobilfunknetz nicht aktivieren - falls eine Verbindung auch beim Mobilfunk gewünscht ist, dann muss hier die Action auf "Connect" geändert werden -->
												             <!-- "Connect", "Disconnect", or "Ignore" if device is connected to a Cellular network -->
												 						<key>InterfaceTypeMatch</key>
																		<string>Cellular</string>
																		<key>Action</key>
																		<string>Connect</string>
																	</dict>
																	<dict>
																		<!-- VPN Default state -->
																		<key>Action</key>
																		<string>Ignore</string>
																	</dict>
																</array>
																<!-- VPN-On-Demand Codeblock ENDE-->
                        </dict>
                        <key>IPv4</key>
                        <dict>
                                <key>OverridePrimary</key>
                                <integer>0</integer>
                        </dict>
                        <key>PayloadDescription</key>
                        <string>Configures VPN settings, including authentication.</string>
                        <key>PayloadDisplayName</key>
                        <string>Sophos IPSEC settings</string>
                        <key>PayloadIdentifier</key>
                        <string>com.sophos.iphone.profile.vpn1</string>
                        <key>PayloadOrganization</key>
                        <string>Sophos</string>
                        <key>PayloadType</key>
                        <string>com.apple.vpn.managed</string>
                        <key>PayloadUUID</key>
                        <string>***PayloadUUID von Sophos***</string>
                        <key>PayloadVersion</key>
                        <integer>1</integer>
                        <key>Proxies</key>
                        <dict/>
                        <key>UserDefinedName</key>
                        <string>*** name vom IPSec Tunnel in Sophos***</string>
                        <key>VPNType</key>
                        <string>IPSec</string>
                </dict>
        </array>
        <key>PayloadDescription</key>
        <string>Sophos profile for iPhone.</string>
        <key>PayloadDisplayName</key>
        <string>Sophos profile</string>
        <key>PayloadIdentifier</key>
        <string>com.sophos.iphone.profile</string>
        <key>PayloadOrganization</key>
        <string>Sophos</string>
        <key>PayloadRemovalDisallowed</key>
        <false/>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadUUID</key>
        <string>***PayloadUUID von Sophos***</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
</dict>
</plist>

    Vielleicht hilft dies anderen mit ähnlichen Problemen und TechSmile bei einem onDemand Test mit iPhone und Co

    Viele Grüße
    Marc

    Jump to answer