Tag Archives: firewall

hardware internet

Side-to-Side VPN – Sophos UTM und FritzBOX

VPN Einstellungen in der UTM

Neulich stand ich tatsächlich vor dem Thema ein Heimarbeitsplatz, ausgestattet mit einer FritzBOX, an die Firma anzubinden. Der Betrieb selber verfügt über eine Sophos UTM (vormals Astaro ASG) Firewall. Die Herausforderung bestand eher darin herauszufinden, wie man eine gute Verschlüsselung für diese VPN-Verbindung einstellt und sich nicht mit der 3DES Verschlüsselung zufrieden zu geben, die oft im Netz beschrieben ist. Es sollte schon AES 256 zu Einsatz kommen.

Der Assistent in der FritzBOX ist so rudimentär, dass er für diesen Zweck vollkommen ungeeignet ist. Also musste eine Konfigurationsdatei erstellt und verwendet werden. Hinzu kam ein Fehler in der Dokumentation auf der AVM Seite. Die dort beschriebene Einstellung um mehrere SA zu verwenden funktionierte nicht. Als Lösung habe ich mehrere VPNs in die Konfigurationsdatei eingebetet und so zum laufen bekommen.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = " Firmenzentrale";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = WAN IP DER UTM;
remote_virtualip = 0.0.0.0;
localid {
ipaddr = WAN IP DER FRITZBOX;
}
remoteid {
ipaddr = WAN IP DER UTM;
}
mode = phase1_mode_idp;
phase1ss = "alt/all/all";
keytype = connkeytype_pre_shared;
key = "puep_123";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any NETZ IP + MASKE HINTER DER UTM (z.B. 192.168.0.0 255.255.255.0)";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Eine hervorragende Übersicht über mögliche Parameter für die FritzBOX Konfigurationsdatei bietet dieser Beitrag.

windows

Sophos – Entfernung der Fremdsoftware wurde abgebrochen

Wenn bei einem Client Rollout über die Sophos Enterprise Console der Folgende Fehler auftritt:

00000049 Die Sophos Installation, und somit auch die Entfernung der Fremdsoftware, wurde abgebrochen. Es wurde darin eine Firewall oder eine andere Komponente erkannt, die nicht ersetzt wird. Das zu installierende Paket sollte den gleichen Schutz bieten wie das zu entfernende Paket.

gibt es eine recht einfache Lösung.

Im Installationsordner unter \\SERVER\SophosUpdate\CIDs\S000\SAVSCFXP\crt befindet sich die Datei data.zip, in dieser Datei eingepackt befindet sich die Datei crt.cfg. Es muss nur die Datei crt.cfg im gleichen Ordner ausgepackt und editiert werden. Die Zeile RemoveFirewalls=0 muss durch RemoveFirewalls=1 ersetzt werden und speichern nicht vergessen. Damit greift die Sophos Enterprise Console auf die Anweisungen in dieser Datei zurück und deinstalliert den vorherigen Virenscanner mit Firewall.
Quelle: Sophos Enterprise Console 3.1 – Anleitung zur Entfernung von Fremdsoftware