Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 5 replies
  • Subscribers 5 subscribers
  • Views 1041 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Site2Site VPN - Sophos XGS 116 zu Fortigate

Nicolas Pfammatter

Hallo zusammen

Wir haben ein seltsames Phänomen. 

Im Einsatz Hauptstandort- Sophos XGS116 (SFOS 18.5.1 MR-1-Build326) und an 4 Aussenstandorten Fortigate, verbunden via IPSec. Die Verbindung wird auch hergestellt und Zugriff aufs Netz funktioniert. Sporadisch bricht eine Verbindung ab und kann nicht wieder hergestellt werden. Es ist auch nicht immer die selbe Verbindung. Um diese wiederherstellen zu können muss ich bei Sophos und Fortigate wieder den Presharekey eintragen, abspeichern und die Verbindung wird wieder hergestellt.

Konfiguration nach folgender Anleitung gemacht: www.sophos.com/.../Establish-IPsec-VPN-Connection-between-Sophos-and-Fortigate-with-IKEv2.pdf

Einstellungen Sophos: 

  • IP Version: IPv4
  • Connection Type: Site2Site
  • Gateway Type: Response Only
  • Policy: IKEv2
  • Authentication: Preshared Key
  • Local GTW: WAN Port
  • GTW Address: *
  • Local und Remote ID: leer

Evtl. habt Ihr einen Ansatz? Falls Ihr noch weitere Angaben benötigt, einfach Bescheid geben.

Liebe Grüsse und Danke im Voraus

Nicolas



This thread was automatically locked due to age.
Parents
  • 0

    Das Problem ist ein altes Problem mit dem PSK. Dadurch, dass du einen Wildcard verwendest, kann die Firewall den PSK nicht zuordnen. Du solltest von Wildcard weggehen und auf DNS wechseln, wenn die Fortigate DDNS unterstützt. 

    Was du effektiv jedes mal machst: Du schreibst pro speichern den PSK auf den Wert für den Tunnel. Dann änderst du für alle Wildcard Tunnel den PSK auf diesen Wert. Somit ist er für einen Tunnel ok, für alle anderen Wildcard Tunnel ist er kaputt. 

    Das kannst du lösen, in dem du der Firewall sagst, wer die Gegenstelle ist (DNS oder IP). 

    __________________________________________________________________________________________________________________

Reply
  • 0

    Das Problem ist ein altes Problem mit dem PSK. Dadurch, dass du einen Wildcard verwendest, kann die Firewall den PSK nicht zuordnen. Du solltest von Wildcard weggehen und auf DNS wechseln, wenn die Fortigate DDNS unterstützt. 

    Was du effektiv jedes mal machst: Du schreibst pro speichern den PSK auf den Wert für den Tunnel. Dann änderst du für alle Wildcard Tunnel den PSK auf diesen Wert. Somit ist er für einen Tunnel ok, für alle anderen Wildcard Tunnel ist er kaputt. 

    Das kannst du lösen, in dem du der Firewall sagst, wer die Gegenstelle ist (DNS oder IP). 

    __________________________________________________________________________________________________________________

Children
  • 0 in reply to LuCar Toni

    Vielen Dank für Ihre rasche Antwort. Ihre Problem Beschreibung trifft genau auf unser Problem zu. Ich werde heute Abend die Anpassungen vornehmen und eine Rückmeldung geben.

    Wir hatten bei einem anderen Kunden das selbe Problem ( waren alles Sophos FWs), dieses trat jedoch erst nach dem neusten Update auf. Sobald ich aber auf RSA Key Authentication gewechselt habe, wurde das Problem behoben. Nur als Ergänzung.

    Was ich noch nicht ganz verstehe. Bei den VPN Einstellungen kann ja Gatway und Remote ID angegeben werden. Worin liegt dieser Unterschied? Ich kann ja bei beiden den DDNS vom Remote eintragen, oder?

  • 0 in reply to Nicolas Pfammatter

    Die Firewall nutzt zur Zeit die Identifier in der IPsec Config nicht, um PSKs zuzuordnen. Das soll zukünftig möglich sein (Kein ETA). 

    Jedoch ist das Konzept von Policy Based Tunnel mit Wildcard Tunnel alte Schule. Kunden migrieren zur Zeit auf Route Based VPN, dort ist es zwingend notwendig eine Gegenstelle zu haben. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Das Problem konnte durch Eintragen der DNS behoben werden. Vielen Dank

Cookie Information Banner