This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XGS VPN (IPsec + SSL)

Hallo zusammen!

Wir nutzen eine Sophos XGS 3300 zusammen mit dem Central Endpoint. Mit dem Thema VPN haben wir immer wieder Probleme, vielleicht hat jemand hier eine Idee.

Die aktuellste Software (v19) ist installiert. Sophos Connect auf Windows 10 Laptops ist in der Version 2.1.20.0309 installiert. Wir nutzen ein full-tunneling.

Problem 1: Teilweise verlieren die VPN Clients den "Heartbeat" Status und werden dadurch blockiert (weil die entsprechende Option in den Firewall-Regeln aktiviert ist). Wenn ich auf dem entsprechenden VPN Client dann den Browser öffne kommt die Meldung mit "cannot confirm security status of your device". Virenscanner funktioniert ohne Einschränkungen, lege ich eine Regel an ohne jegliche Prüfung (Heartbeat Status) klappt die Verbindung auch. Mir lässt sich nicht erklären, warum die Clients manchmal aufhören Heartbeats zu senden. Die Häufigkeit variiert von mehrmals täglich zu fast gar nicht (1x Woche).

Problem 2: VPN Verbindung (IPSEC) bricht nach fast exakt immer 255 Minunten ab (4h15min, 15300 Sekunden). Wir nutzen das Profil "DefaultRemoteAccess" wo eine Schlüssellebensdauer von 18000 Sekunden angegeben ist und die Option Zeitlimit bei inaktiver Sitzung ist auf 21600 Sekunden. Allerdings sollte er bei der IPsec die Schlüssel - wie ich es verstehe - automatisch erneuern und nicht wie bei der SSL-Verbindung einen fixen Wert haben, oder?

Problem 3: Bei der Sophos SSL Verbindung irrtümlicherweise - da dies auch die Default-Option ist - auf 28800 Sekunden (8 Stunden). Kann ich den Wert einfach passen OHNE die Konfiguration neu ausrollen zu müssen?

Problem 4: Bei der SSL VPN Verbindung funktionieren teilweise die DNS Server nicht. Dieses Problem hatten wir bereits mit der alten Sophos UTM. User stellen die VPN Verbindung her und in ca. 1 von 20 Versuchen kann der Client deine DNS-Anfragen auflösen, manchmal klappte es bei der UTM dann noch die DNS Server manuell im Sophos Adapter zu setzen, dass scheint wohl auch nicht mehr zu gehen jetzt mit dem Sophos Connect.

Vielleicht kann mir jemand helfen! :)

Die XGS läuft super, nur das Thema VPN hat noch nicht wirklich die Stabilität die man von solch teuren Geräten erwartet.

This thread was automatically locked due to age.

Parents

0 LuCar Toni over 2 years ago

Die Heartbeat Thematik könnte ein Client Problem sein. Effektiv arbeitet EP mit der Heartbeat IP: https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/SophosCentral/SecurityHeartbeatOverview/index.html Diese IP wird über den Port 8347 erreicht. Wenn der Client sich dazu entscheidet, die Pakete nicht mehr zu senden (sondern über das Lokale WAN), dann fällt auch der Heartbeat aus. Du kannst eingerenzen, ob das der Fall ist, wenn du ein Paket Capture in dieser Zeit durchführst. Wenn du keine Pakete siehst, schickt der Client das woanders hin.

Du musst die Lifetime vom IKE in Phase1 erhöhen, wenn dir der Tunnel zu früh abbricht. Die Lifetime ist eine "bis zu" Angabe. Daher wäre ein Renewal später besser. Daher ein neues Profile erstellen, die Lifetime vom IPsec auf einen höheren Wert setzen und die Policy neu ausrollen an alle Clients.

Allgemein kannst du auch mit Sophos Connect auch mit der .pro File arbeiten. Dort wird der SSLVPN Client automatisch ausgerollt. https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/VPN/RemoteAccessVPN/VPNSConProvisioningFile/index.html#provisioning-file-settings Wenn du damit arbeitest, brauchst dir auch keine sorgen mit der Änderung von SSLVPN machen. Der Client rollt das eigenständig aus.

Diese DNS Thematik ist eine alte OpenVPN Problematik. So richtig eine Lösung scheint es dort immer noch nicht zu geben. SplitDNS ist eine Thematik, die abhängig vom Client geregelt wird.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 LuCar Toni over 2 years ago

Die Heartbeat Thematik könnte ein Client Problem sein. Effektiv arbeitet EP mit der Heartbeat IP: https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/SophosCentral/SecurityHeartbeatOverview/index.html Diese IP wird über den Port 8347 erreicht. Wenn der Client sich dazu entscheidet, die Pakete nicht mehr zu senden (sondern über das Lokale WAN), dann fällt auch der Heartbeat aus. Du kannst eingerenzen, ob das der Fall ist, wenn du ein Paket Capture in dieser Zeit durchführst. Wenn du keine Pakete siehst, schickt der Client das woanders hin.

Du musst die Lifetime vom IKE in Phase1 erhöhen, wenn dir der Tunnel zu früh abbricht. Die Lifetime ist eine "bis zu" Angabe. Daher wäre ein Renewal später besser. Daher ein neues Profile erstellen, die Lifetime vom IPsec auf einen höheren Wert setzen und die Policy neu ausrollen an alle Clients.

Allgemein kannst du auch mit Sophos Connect auch mit der .pro File arbeiten. Dort wird der SSLVPN Client automatisch ausgerollt. https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/VPN/RemoteAccessVPN/VPNSConProvisioningFile/index.html#provisioning-file-settings Wenn du damit arbeitest, brauchst dir auch keine sorgen mit der Änderung von SSLVPN machen. Der Client rollt das eigenständig aus.

Diese DNS Thematik ist eine alte OpenVPN Problematik. So richtig eine Lösung scheint es dort immer noch nicht zu geben. SplitDNS ist eine Thematik, die abhängig vom Client geregelt wird.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel

Children

No Data