In diesem Beitrag zeige ich dir Schritt für Schritt, wie du ein Site-to-Site VPN zwischen einer Sophos XG Firewall und einer Fritzbox über IPsec einrichtest. Das ist besonders nützlich, wenn du zwei Netzwerke miteinander verbinden möchtest, z. B. um eine sichere Verbindung zwischen einem Büro und einer Filiale herzustellen.
Voraussetzungen
Für die Konfiguration benötigst du:
- Sophos XG Firewall – Es wird empfohlen, vorher eine Grundinstallation der Sophos XG Firewall zu erledigen. Eine Anleitung dazu findest du hier.
- Fritzbox – Die genaue Modellbezeichnung spielt hier keine Rolle, solange die Fritzbox IPsec-VPN unterstützt.
Fritzbox konfigurieren
Um die Fritzbox korrekt mit der Sophos XG Firewall zu verbinden, musst du eine Konfigurationsdatei erstellen. Diese Datei wird später auf die Fritzbox importiert.
- Konfigurationsdatei erstellen
Erstelle eine Datei mit dem Namenvpn-fritzbox.cfgund fülle sie mit folgenden Parametern aus:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "S2S Tunnel"; // NAME der VPN Verbindung
always_renew = yes; // Verbindung immer herstellen
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remotehostname = DOMAINNAME; // FQDN oder feste IP der Sophos XG
remote_virtualip = 0.0.0.0;
localid {
fqdn = "DOMAINNAME"; // FQDN oder feste IP der Fritzbox
}
remoteid {
fqdn = DOMAINNAME; // FQDN oder feste IP der Sophos XG
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "DEIN-GEHEIMES-PASSWORT"; // Der geheime Schlüssel
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0; //Netzwerk Fritzbox
mask = 255.255.255.0; //Subnetzmaske Fritzbox
}
}
phase2remoteid {
ipnet {
ipaddr = 10.54.22.0; //Netzwerk Sophos XG
mask = 255.255.255.0; //Subnetzmaske Sophos XG
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.54.22.0 255.255.255.0"; //Subnetze Sophos XG
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
- Datei auf die Fritzbox importieren
Sobald die Datei erstellt ist, kannst du sie in die Fritzbox importieren, um die VPN-Verbindung zu aktivieren. Folge dazu einfach der Anweisung im Web-Interface deiner Fritzbox.
Sophos XG konfigurieren
Nun ist es an der Zeit, die Sophos XG Firewall zu konfigurieren. Hier legst du eine VPN-Verbindung an und definierst eine passende Firewall-Regel.
IPsec-Profile
Gehe in die Verwaltung der Sophos XG Firewall und richte die IPsec-Verbindung entsprechend der Fritzbox-Konfiguration ein. Klicke dazu auf Site-to-site-VPN im Menü ganz links, und danach oben auf IPsec-Profile.
Klicke auf Hinzufügen und erstelle ein neues Profil gemäß den Vorgaben, wie sie hier zu sehen sind.
Wechsel nun zurück zu Site-to-site-VPN und füge deinen neuen Tunnel hinzu. Wähle als Profil dein neu erstelltes IPSec Profil
Firewall-Regel erstellen
Für eine funktionierende VPN-Verbindung musst du sicherstellen, dass die richtigen Firewall-Regeln eingerichtet sind, damit der Verkehr zwischen den beiden Netzwerken erlaubt wird. Du kannst eine neue Regel erstellen oder eine bestehende anpassen, je nach Bedarf. Außerdem ist es möglich automatisch Firewallregeln beim Erstellen des IPSec Tunnels zu erstellen.
Die Regel sollte im Wesentlichen den Verkehr zwischen den Netzwerken der Fritzbox (192.168.178.0) und der Sophos XG (172.16.0.0) zulassen.
Das war’s schon! Mit dieser Konfiguration hast du nun eine sichere IPsec VPN-Verbindung zwischen deiner Sophos XG Firewall und der Fritzbox eingerichtet. Damit kannst du deine Netzwerke sicher miteinander verbinden und von beiden Seiten aus auf Ressourcen zugreifen.