Sophos S2S zu Securepoint
Anleitung wie eine Site2Site Verbindung zwischen einer Sophos Firewall und einer Securepoint Firewall hergestellt werden kann.
ÜBERSICHT
---------
Dieses Dokument beschreibt die Einrichtung einer IPsec IKEv2 Site-to-Site
VPN-Verbindung zwischen einer Sophos Firewall (XG/XGS) und einer Securepoint
UTM sowie die Lösung bekannter Authentifizierungsprobleme.
Parameter | Sophos (Standort A) | Securepoint (Standort B)
---------------------|----------------------------|---------------------------
Protokoll | IPsec IKEv2 | IPsec IKEv2
Authentifizierung | Pre-Shared Key (PSK) | Pre-Shared Key (PSK)
Öffentliche IP | <WAN-IP Sophos> | <WAN-IP Securepoint>
Lokales Netz | z.B. 192.168.1.0/24 | z.B. 192.168.2.0/24
Encryption | AES-256 | AES-256
Hash | SHA-256 | SHA-256
DH-Gruppe | Group 14 (2048-bit) | Group 14 (2048-bit)
Phase 1 Lifetime | 28800 Sekunden | 28800 Sekunden
Phase 2 Lifetime | 3600 Sekunden | 3600 Sekunden
! Beide Seiten müssen exakt dieselben Krypto-Parameter verwenden.
================================================================================
1. KONFIGURATION SOPHOS FIREWALL
================================================================================
1.1 IPsec-Profil erstellen
Pfad: VPN -> IPsec Profiles -> + Hinzufügen
Name : z.B. SecurePoint-IKEv2-Profile
Key Exchange : IKEv2
Authentication : Pre-Shared Key
Phase 1 Encryption : AES-256
Phase 1 Hash : SHA-256
Phase 1 DH Group : Group 14
Phase 1 Lifetime : 28800 Sekunden
Phase 2 Encryption : AES-256
Phase 2 Hash : SHA-256
Phase 2 PFS Group : Group 14
Phase 2 Lifetime : 3600 Sekunden
1.2 IPsec-Verbindung erstellen
Pfad: VPN -> IPsec Connections -> + Hinzufügen
Name : z.B. VPN-zu-Securepoint
IP Version : IPv4
Connection Type : Site-to-Site
Profile : (Profil aus 1.1)
Authentication : Pre-Shared Key
Local Gateway : WAN-Interface der Sophos
Local ID : Eigene WAN-IP der Sophos <-- explizit eintragen!
Remote Gateway : WAN-IP der Securepoint
Remote ID : WAN-IP der Securepoint <-- explizit eintragen!
Local Subnet : z.B. 192.168.1.0/24
Remote Subnet : z.B. 192.168.2.0/24
!! Local ID und Remote ID MÜSSEN explizit als IP-Adressen eingetragen
werden. Ein leeres Feld führt zum Fehler:
"Couldn't authenticate the remote gateway"
1.3 Firewall-Regeln erstellen
Pfad: Firewall -> + Regel hinzufügen
Regel 1 – Ausgehend (Standort A nach B):
Source Zone : LAN
Source Network : 192.168.1.0/24
Destination Zone : VPN
Destination Network : 192.168.2.0/24
Action : Accept
Regel 2 – Eingehend (Standort B nach A):
Source Zone : VPN
Source Network : 192.168.2.0/24
Destination Zone : LAN
Destination Network : 192.168.1.0/24
Action : Accept
================================================================================
2. KONFIGURATION SECUREPOINT UTM
================================================================================
!! Verbindungstyp MUSS "S2S" (Site-to-Site) sein, NICHT "Roadwarrior"!
2.1 Neue IPsec-Verbindung anlegen
Pfad: VPN -> IPsec -> Verbindungen -> Neu
Verbindungstyp : S2S (Site-to-Site)
Name : z.B. VPN-zu-Sophos
Aktiv : Ja
Verbindung initiieren : Ja
2.2 IKE-Einstellungen (Phase 1)
IKE-Version : IKEv2
Verschlüsselung : AES-256
Integrität / Hash : SHA-256
DH-Gruppe : 14 (2048-bit)
Lifetime : 28800 Sekunden
Lokale Identität : Eigene WAN-IP der Securepoint <-- explizit eintragen!
Remote Identität : WAN-IP der Sophos <-- explizit eintragen!
2.3 ESP-Einstellungen (Phase 2)
Verschlüsselung : AES-256
Integrität : SHA-256
PFS-Gruppe : 14 (2048-bit)
Lifetime : 3600 Sekunden
2.4 Gateway & Netzwerke
Lokale Adresse : Eigene WAN-IP der Securepoint
Remote-Adresse : WAN-IP der Sophos
Lokales Netz : z.B. 192.168.2.0/24
Remote-Netz : z.B. 192.168.1.0/24
2.5 Paketfilter-Regeln
Regel 1 – Ausgehend:
Quelle : 192.168.2.0/24
Ziel : 192.168.1.0/24
Dienst : Any
Aktion : ACCEPT
Regel 2 – Eingehend:
Quelle : 192.168.1.0/24
Ziel : 192.168.2.0/24
Dienst : Any
Aktion : ACCEPT
================================================================================
3. TROUBLESHOOTING & BEKANNTE FEHLER
================================================================================
3.1 "Couldn't authenticate the local gateway"
---------------------------------------------
Volltext: S2S_... - Couldn't authenticate the local gateway.
Check the authentication settings on both devices.
Ursache:
Die Sophos sendet eine Local ID, die die Securepoint nicht akzeptiert.
Lösung:
- Sophos: Local ID explizit auf eigene WAN-IP setzen (nicht leer)
- Securepoint: Remote Identität muss exakt dieser IP entsprechen
- Prüfen: PSK auf beiden Seiten identisch?
3.2 "(unnamed) - Couldn't authenticate the remote gateway"
--------------------------------------------------------
Volltext: (unnamed) - Couldn't authenticate the remote gateway.
(Remote: <Securepoint-IP>)
Ursache:
Die Securepoint sendet eine IKE-Anfrage, aber Sophos kann sie keiner
Konfiguration zuordnen. Der Tunnel erscheint als "(unnamed)" weil keine
passende Verbindungsdefinition gefunden wird.
Lösung:
- Sophos: Remote Gateway muss die exakte WAN-IP der Securepoint enthalten
- Sophos: Remote ID muss der Local ID der Securepoint entsprechen
- Securepoint: Local ID muss der Remote ID in der Sophos entsprechen
- Schnelltest: Auf BEIDEN Seiten IP-Adressen als ID-Typ verwenden,
kein FQDN, keine leeren Felder
3.3 Phase-1 / Phase-2 Mismatch
----------------------------
Symptom: Tunnel baut sich auf, bricht aber sofort wieder ab.
Lösung:
- Krypto-Parameter auf beiden Seiten identisch (Encryption, Hash, DH)
- PFS-Gruppe in Phase 2 auf beiden Seiten gleich oder beide deaktiviert
3.4 NAT-Traversal
---------------
Wenn eine Firewall hinter einem NAT-Router steht:
-> NAT-T (UDP 4500) auf beiden Seiten aktivieren
4. VERIFIKATION & TEST
4.1 Status prüfen
Sophos:
VPN -> IPsec Connections -> Status: "Connected"
Log Viewer -> Filter "VPN" -> keine Fehlermeldungen
Securepoint:
VPN -> IPsec -> Status -> Tunnel grün / aktiv
Logs -> VPN-Log -> erfolgreiche IKE-Aushandlung
4.2 Ping-Test
Von einem Gerät hinter der Sophos (z.B. 192.168.1.10):
ping 192.168.2.10
Antwort erhalten = Tunnel funktioniert, Firewall-Regeln greifen.
5. CHECKLISTE VOR INBETRIEBNAHME
[ ] PSK auf beiden Seiten identisch eingetragen
[ ] IKEv2 auf beiden Seiten ausgewählt
[ ] AES-256 / SHA-256 / DH-14 auf beiden Seiten identisch
[ ] Local ID in Sophos: eigene WAN-IP explizit eingetragen
[ ] Remote ID in Sophos: WAN-IP Securepoint explizit eingetragen
[ ] Lokale Identität in Securepoint: eigene WAN-IP explizit eingetragen
[ ] Remote Identität in Securepoint: WAN-IP Sophos explizit eingetragen
[ ] Verbindungstyp Securepoint: S2S (nicht Roadwarrior)
[ ] Subnetze korrekt (kein Overlap)
[ ] Firewall-Regeln auf beiden Seiten erstellt (beide Richtungen)
[ ] Verbindung auf beiden Seiten aktiviert