SFOS- SD-WAN Route – VPN

Hat man auf einer Sophos XG(S) mehrere Gateway mit SDWAN Routen und eine VPN Verbindung, durch die keine Pakete laufen, hilft es die Routing Reihenfolge auf der Console umzustellen

system route_precedence set vpn static sdwan_policyroute

Sophos XG(S) – Fritz! Box – IPSec VPN – FQDN

Einrichtung einer IPSec VPN Verbindung zwischen Sophos XG(S) mit SFOS 18 und einer Fritz! Box über den Fully-Qualified Domain Name (FQDN), auch für Hosts ohne statischer IP Adresse via einem DynDNS Dienst:

Sophos XG IPSec Richtlinie

Allgemeine Einstellungen

Name: FritzBox
Schlüsselaustausch: IKEv1
Authentifizierungsmethode: Hauptmodus
Schlüsselaushandlungsversuche: 0
Schlüsselerneuerungsverbindung: An
Daten in komprimierten Format übergeben: Aus
SHA-2 mit 96-Bit-Verkürzung: Aus

Phase 1

Schlüssel-Lebensdauer: 3600
Zeit bis zur Schlüsselerneuerung: 360
Zeit variieren um: 50
DH-Gruppe (Schlüsselgruppe): 14 [DH2048]
Verschlüsselung: AES2556
Authentifizierung: SHA2 512

Phase 2

PFS-Gruppe (DH-Gruppe): Gleich wie Phase 1
Schlüssel-Lebensdauer: 3600
Verschlüsselung: AES2556
Authentifizierung: SHA2 512

Dead Peer Detection (DPD)

Dead Peer Detection (DPD): An
Peer überprüfen alle: 30
Auf Antwort warten bis zu: 120
Wenn Peer unerreichbar: Neu initiieren

Sophos XG IPSec Verbindung

Allgemeine Einstellungen:

Name: BlaBla
IP-Version: IPv4
Verbindungstyp: Standort zu Standort
Gateway-Typ: Verbindung herstellen
Beim Speichern aktivieren: An
Firewallregel anlegen: An

Verschlüsselung

Richtlinie: FritzBox
Authentifizierung-Typ: Verteilter Schlüssel
Schlüssel: IPSEC-PASSWORT

Gateway-Einstellungen

Lausch-Schnittstelle: PortX-ExterneIP
Lokaler ID-Typ: DNS
Lokale ID: FQDN-SophosXG
Lokales Subnetz: IP-Range-SophosXG
Gateway-Adresse: FQDN-FritzBox
Entfernter ID-Typ: DNS
Entfernte ID: FQDN-FritzBox
Entferntes Subnetz: IP-Range-FritzBox
Network Address Translation (NAT): Aus

Erweitert

Benutzerauthentifizierungsmodus: Aus

FritzBox IPSec Richtlinie

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fritz to Sophos";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "FQDN-SophosXG";
localid {
fqdn = FQDN-FritzBox;
}
remoteid {
fqdn = FQDN-SophosXG;
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "IPSEC-PASSWORT";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = IP-RANGE-FRITZ-LAN;
mask = NETZWERKMASKE-FRITZ-LAN;
}
}
phase2remoteid {
ipnet {
ipaddr = IP-RANGE-SOPHOS-LAN;
mask = NETZWERKMASKE-SOPHOS-LAN;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any IP-RANGE-SOPHOS-LAN NETZWERKMASKE-SOPHOS-LAN";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}