Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2515 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-Verbindung zwischen UTM und iOS

mauti4secure

Hallo,

zu einer VPN-Verbindung zwischen einer UTM (SG230) und iOS habe ich folgende Fragen:

1)
Welche Verbindungsart ist zu bevorzugen? L2TP over IPSec oder der Cisco VPN-Client?

2)
Ist der Cisco VPN-Client noch supported? Hier (https://support.sophos.com/support/s/article/KB-000035714) steht, dass der Cisco VPN-Client für iOS 6 oder neuer nicht mehr supportet ist. Der Artikel ist zwar für die XG, aber wenn der Client nicht mehr supportet ist, ist es egal ob ich mich zu einer UTM oder XG verbinde. Der Client mit Cisco Logo ist noch in allen aktuellen iOS Versionen enthalten.

3)
In der Hilfe zum Cisco VPN-Client der UTM steht:

"Note – By default, the 96-bit Android-friendly version of CISCO VPN authentication is enabled. If you want to follow the official RFC (e.g. to use CISCO VPN with Nokia Smartphones)"

Verlinkt wird dann auf: https://support.sophos.com/support/s/article/KB-000036559?language=en_US Da steht dann man soll die IPSec Policy L2TP-over-IPSec ändern. Wird diese Policy automatisch vom Cisco VPN Client verwendet? Die vorkonfigurierten Werte sind auf dem Stand von ca. 2005.

Die Policy L2TP-over-IPSec kann nicht gelöscht werden wird aber als "unused" angezeigt. Deswegen könnte die schon irgendwo automatisch verwendet werden.

Danke und Grüße



This thread was automatically locked due to age.
  • 0

    Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    My first choice for Remote Access with the UTM is SSL VPN.  The OpenVPN app works perfectly with it.  That also avoids IPsec problems with NAT if your UTM is behind a NAT.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo,

    ja das funktioniert, aber die UTM kann lt. Spezifikation fast 3 Mal so viele Verbindungen per IPSec handeln als per SSL VPN. Die UTM ist nicht hinter einem NAT. So schwer zu konfigurieren ist IPSec ja auch nicht. Wenn nur die Hersteller wie Sophos die Einstellungen vollständig dokumentieren würden.

    Die UTM bietet 3 Arten für VPN Verbindungen an die auf IPSec IKEv1 basieren. Bei zwei ist aber nicht dokumentiert welche Policy mit welchem Einstellungen verwendet werden. Man kann es nur vermuten. Heutzutage will doch niemand mehr 3DES mit MD5 haben. In einem Security-Audit würde man da durchfallen.

    Danke und Grüße

  • 0 in reply to mauti4secure

    You're right that there's a lot more overhead with the SSL VPN solution.  Even changing the Protocol to UDP doesn't make it able to handle as many simultaneous connections.

    The IPsec Policy for L2TP/IPsec is:

    L2TP-over-IPsec [Policy used for L2TP-over-IPsec]
    Compression off, not using strict policy.
    IKE Settings: 3DES / SHA1 / Group 14: MODP 2048   Lifetime: 28800 seconds
    IPsec Settings: 3DES / MD5 / Null (None)   Lifetime: 3600 seconds

    If your L2TP client can use AES and SHA2, there's nothing that prevents you from modifying this Policy.

    Not sure why it doesn't appear on the 'Policies' tab in WebAdmin, but the following can be seen at the command line with cc get_object REF_IPsecPolicyCisco:

                          'comment' => 'Static policy for Cisco VPN client',
                          'ike_auth_alg' => 'sha2_256',
                          'ike_dh_group' => 'modp2048',
                          'ike_enc_alg' => 'aes256',
                          'ike_sa_lifetime' => 7800,
                          'ipsec_auth_alg' => 'sha2_256',
                          'ipsec_compression' => 0,
                          'ipsec_enc_alg' => 'aes256',
                          'ipsec_pfs_group' => 'null',
                          'ipsec_sa_lifetime' => 3600,
                          'ipsec_strict_policy' => 0,
                          'name' => 'Cisco VPN Client'

    Finally, if you have an IPsec client, you can choose any Policy for IPsec remote access, even different ones for different users.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo,

    vielen Dank. Die Werte auf der Kommandozeile auszulesen ist jetzt aber schon ziemliches Insiderwissen. Das ist ja nirgendwo dokumentiert. Mit diesem Werten kann man das auf jeden Fall nutzen ohne bei einem Audit durchzufallen.

    Danke und Grüße

Unfiltered HTML