Vorwort
In diesem Beitrag findest du eine Step-by-Step Anleitung zur Konfiguration eines Site2Site VPNs für eine Sophos XG Firewall Appliance mit einer Fritzbox via IPSec.
Voraussetzungen
- Sophos XG Firewall
- Empfohlen siehe: Sophos XG Grundinstallation
- Fritzbox
Fritzbox Konfiguration
Um die VPN-Verbindung der Fritzbox hinzuzufügen ist eine Anlage und Anpassung der Datei “vpn-fritzbox.cfg” wie folgt notwendig, welche im späteren Schritt auf der Fritzbox importiert werden kann.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Site2Site_DOMAIN"; // NAME der Verbindung
always_renew = yes; // Verbindung immer herstellen
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remotehostname = DOMAIN.de; // FQDN Sophos XG
remote_virtualip = 0.0.0.0;
localid {
fqdn = "SUBDOMAIN.DOMAIN.de"; // FQDN Fritzbox
}
remoteid {
fqdn = DOMAIN.de; // FQDN Sophos XG
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "SECRETKEY";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0; //Netzwerk Fritzbox
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 172.16.0.0; //Subnetze Sophos XG
mask = 255.255.0.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 172.16.0.0 255.255.0.0"; //Subnetze Sophos XG
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Sophos XG Konfiguration
Zum Schluss ist lediglich noch eine passende Konfiguration inkl. Basis Firewall-Regel wie folgt auf der Sophos XG Appliance angelegen.
Die Firewall Regel gilt es entsprechend nach den Bedürfnissen anzupassen.