Ich stand heute vor der Aufgabe, eine Sonicwall TZ100 an eine Sophos UTM (ehemals Astaro) anzubinden, um ein Site-to-Site-VPN aufzubauen. Da die Konfiguration ein paar Anpassungen benötigte beschreibe ich in diesem Beitrag den Aufbau und die Konfiguration.
Die UTM steht als zentraler Router an Standort A und ist über mehrere Anbindungen an das Internet angebunden. Die VPN-Strecke soll nicht über die primäre Internetanbindung erfolgen, sondern über eine parallel vorhandene Unitymedia-Leitung. Die Sonicwall TZ100 steht an Standort B und ist hier mit einer festen IP-Adresse angebunden. An Standort B gibt es nur eine Internetleitung, über diese läuft zusätzlich zu dem “normalen” Traffic noch der VPN-Traffic.
Zuerst habe ich an Standort B die TZ100 konfiguriert. Unter VPN im Hauptmenü kann eine neue Verbindung eingerichtet werden.
Unter Generel müssen die gezeigten Informationen eingestellt werden. IPsec Primary Gateway Name or Address muss auf die IP-Adresse konfiguriert werden, die das UTM-Gerät an Standort A hat. Shared Secret muss auf beiden Geräten gleich sein, was Sie hier eintragen ist völlig egal. Je kryptischer der Schlüssel desto besser.
Local IKE ID und Peer IKE ID habe ich in meinem Fall auf IPv4 Address gestellt. Als Wert wurden die jeweiligen IP-Adressen der Geräte eingetragen.
Unter Network muss konfiguriert werden, um welches lokale und um welches Remote-Netzwerk es sich bei dieser Verbindung handelt. In meinem Fall waren dies jeweils die LAN-Bereiche von Standort A und Standort B (z.B. 192.168.100.0/24 und 192.168.101.0/24).
Unter Proposals habe ich die Standartwerte gelassen.
Im Reiter Advanced habe ich nur die Einstellung Enable Keep Alive aktiviert.
An Standort A in der Konfiguration der Sophos UTM habe ich im Menü unter Site-to-site VPN => IPsec als erstes unter Policies eine neue Policy erstellt. Hierzu habe ich die vorhandene Policy TripleDES geclont und angepasst. Das Ergebnis sieht wie folgt aus:
Danach habe ich unter Remote Gateways ein neues VPN-Gateway definiert:
Unter Gateway muss die WAN-IP-Adresse der TZ100 konfiguriert werden. Der Preshared Key muss der gleiche wie in der TZ100 sein, damit eine Verbindung erfolgreich aufgebaut werden kann. VPN ID Type ist IP Address, die VPN ID ist die IP-Adresse der TZ100 an Standort B (WAN-IP-Adresse). Remote Networks definiert den LAN-Bereich an Standort B. Unter Advanced habe ich keine weiteren Einstellungen aktiviert oder geändert.
Nun kann unter Connections die eigentliche Verbindung eingerichtet werden:
Name ist hier angepasst an den Namen in der Sonicwall, wobei ich nicht weiß ob dies Bedingung ist. Remote Gateway ist die im Vorfeld konfigurierte TZ100, unter Local Interface kann das Interface konfiguriert werden, über das die VPN-Verbindung aufgebaut werden soll. Dies ist sehr nützlich, da ich hier die Unitymedia-Anbindung nutzen kann. Unter Policy kann nun die geclone Richtlinie genutzt werden. Local Networks definiert den internen LAN-Bereich, der über diese VPN-Verbindung genutzt werden kann. Mit einem Haken bei Automatic Firewall Rules werden automatisch die benötigten Firewall-Regeln angelegt.
Nun können die Einstellungen übernommen werden, und wenn alles wie gewünscht funktioniert dann wird die Verbindung direkt aufgebaut. Sowohl in der Sonicwall als auch in der Sophos wird dies angezeigt:
Hallo Herr Kappen,
sofern möglich sollte man auf 3DES und DH2 verzichten.
AES ist schneller und die 1024bit von DH2 werden nach den letzten Monaten nicht mehr als alzu sicher angesehen. DH5 oder DH14 ist also besser geeignet.
Solange es keine Probleme gibt, sollte man also lieber eine höhere Sicherheit aktivieren.
Klar kann man behaupten, das wäre paronoid aber wenn es um Unternehmssicherheit geht, sollte man doch auf die beste Verfügbare Variante zurückgreifen, da mehr Sicherheit meistens mit nur einem Häcken zu realisieren ist und außer ein paar CPU Zyklen nichts kostet.
Sehr hilfreicher Beitrag! Danke
LG