Sophos: SSL VPN Client für Benutzer über Webadmin runterladen

Sophos: SSL VPN Client für Benutzer über Webadmin runterladen

Um den SSL VPN Client herunterzuladen gehen Sie bitte wie folgt vor:

  • Öffnen Sie den Webadmin.
  • Gehen sie auf Definition & Users.
  • Anschließend wählen die den Unterpunkt Users und setzen Sie bei den entsprechenden Usern den Hacken.
  • Wählen Sie unter Actions den Punkt Download SSL VPN Packages.
  • Abschließend wählen Sie bitte was sie herunterladen möchten.

Installieren Sie auf dem entsprechenden Gerät den VPN Client (bitte mit rechter Maustaste und Als Administrator ausführen) und kopieren Sie das entsprechende Profil nach C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config.


Sophos: Umstellung von UTM auf XG

Wenn man Jahrelang mit der Sophos UTM gearbeitet hat und dann auf eine Sophos XG umstellt, steht man erst mal wie der Ochs vorm Berge (so zumindest ich), da die XG einen ganz anderen Ansatz verfolgt als die UTM.

Die XG ist ein zugekauftes Produkt und es wurde noch einige Jahre Support und gar Weiterentwicklung für UTM Produkte von Sophos zugesagt.

Sollte man eine UTM 9 Lizenz haben, so kann man diese zu einer XG Lizenz upgraden (Achtung: Dieser Vorgang ist laut Hinweismeldung nicht Reversible).

Auch hier gibt es eine kostenlose Version für den nicht kommerziellen Betrieb, welcher bis 100 Adressen unterstützt – in dieser Version ist fast alles aktiviert, bis auf die Sandstorm funktion (wie auch bei der UTM Home).

  • Dennoch könnte bei den folgenden Punkten der Umstieg interessant sein:
  • Umfangreicheres Muticast Routing
  • Umfangreiche Möglichkeiten bei der Webserververöffentlichung
  • In der kostenlosen Homeversion werden bei der XG 100 Adressen statt wie bei der UTM nur 50 Adressen unterstützt

Da ich einige Probleme mit dem Multicast Routing habe und mir eine Besserung bei diesem Problem erhoffe, habe ich mir die Lösung mal näher angeschaut.

Ich setze folgende Funktionen ein:

  • WLAN Intern und Gästenetz (mit eigenen Accesspoints)
  • Im Gästenetz Hotspot mit Vouchersystem
  • VPN Netze ins RZ und die Firma (unter anderem für Onlinebackup ins RZ)
  • VPN Einwahl
  • NAT / Firewall
  • Emailprotection
  • Webprotection
  • IPS
  • Öffentliches SSL Zertifikat für die Firewall und das Userportal

Die Umstellung hat ca. 8 Stunden gedauert.

Da  die XG einen anderer Ansatz verfolgt als bei der UTM habe ich mich mit der Umstellung schwer getan und mir hier alle Informationen zusammengeschrieben:

*: Bei den SMTP Regeln steht nicht drin, das unter Administration > Device Access > SMTP Relay noch das entsprechende Netz (z.B. WAN) noch aktiviert werden muss.

*: Bei VPN mit SSL zu einer UTM steht nicht dabei, das die Einstellungen anders sind, diese können unter VPN > SSL > Advanced angepasst werden. Bitte dabei jedoch beachten, das dies auf alle SSL Tunnel gilt.

Ich hoffe der Beitrag hilft den einem oder anderem.


Die Fritzbox und der Mac

Die meisten Programme für die Fritzbox bieten eine Menge Komfort – doch leider bietet AVM jedoch nur Windows Programme.

Jedoch gibt es einige Tools mittlerweile auch für den Mac für die Hauptfunktionen:

Faxen:

Faxen mit eigener Nummer (z.B. ISDN ode Voip mit mehreren Nummern):

  • Empfangen per Email
  • Versenden per Fritzbox selber (nur 2 Seiten) oder mit Tools wie z.B. Faxer aus dem AppStore (5,99€).

Sollte keine eigene Nummer vorhanden sein (z.B. Analog), kann man auf kostenlose Dienste (für Privatanwender) wie z.B. Cospace (sogar lokale Nummern möglich).

CTI:

Funktionen wie Anruferliste, Wählen vom Mac aus, Auswertungen, Backups des Adressbuchs bietet z.B. Dial!Fritz aus dem App-Store (10,99€).

Dank dem AppStore könne die Programme natürlich auch auf mehreren Macs genutzt werden (natürlich mit den selben Account!).

Dank der AVM iOS App kann man sogar  das iPhone als Mobiltelefon nutzen. Hierzu wird die Fritzbox als Voipserver genutzt und die App wird zum Softphone. Per VPN soll das sogar von extern gehen (habe ich jedoch noch nicht genutzt).

VPN:

VPN Verbindungen kann man mittlerweile nun in der Fritzbox selber einrichten, es wird hier nicht mehr die Windowssoftware benötigt (zuvor musste man eine Windowsanwendung nutzen um die Konfigurationsdateien zu erstellen, die danach in die Fritzbox geladen wurde).

Fazit:

Mittlerweile kann man die Fritzbox auch unter Mac prima nutzen mit vielem Komfort, leider bekommt man jedoch die Anwendungen nicht kostenlos von AVM selber – jedoch sind diese mittlerweile auch für übersichtliche Preise im AppStore zu bekommen von freien Entwickler.



IPSec VPN mit Sophos

Als erstes die Einwahl einstellen auf der Sophos (Fernzugriff > IPSec > Neue Richtlinie erstellen):

Bildschirmfoto 2015-04-01 um 11.56.00

Danach den User in die entsprechende Gruppe einfügen und das User Zertifikat exportieren (Benutzer und Gruppen > Benutzer auswählen > Markieren > Aktionen > L2TP Zertifikate herunterladen – das Passwort gilt auch später für die Verbindung und auch die Konfigurationsdatei exportieren):

Bildschirmfoto 2015-04-01 um 11.59.24

Auf dem Client unter http://www.sophos.com/de-de/support/utm-downloads.aspx runterladen und installieren (danach Neustart).

Anschließend die Konfiguration importieren.

Danach die Standard-Zertifikatskonfiguration bearbeiten und das Zertifikat hinterlegen:

Bildschirmfoto 2015-04-01 um 12.04.56

Dann in der Profilkonfiguration das Zertifikat auswählen:

Bildschirmfoto 2015-04-01 um 11.52.23

 

 

 

 


AD Anmeldung per VPN

Die meisten VPN Clients werden erst nach der Anmeldung gestartet, somit ist ein Anmelden am AD nicht möglich, falls das Kennwort nicht gecached wurde.

Es gibt aber einige Clients die die Funktion „Pre-Login Connection Support for AD/Domain Logins“ bieten:


VPN mit UTM über Fritzbox

Als erstes muss die Fritzbox folgende Weiterleitungen bekommen:

  • Exposed Host -> Interne IP UTM
  • ESP -> Interne IP UTM
  • ISAKMP (UDP 500) -> Interne IP UTM
  • NAT Traversal (UDP 4500) -> Internet IP UTM

Danach müssen die Remotegateway eingerichtet werden. Dabei darauf achten, das bei der UTM OHNE Fritzbox bei der VPN ID die NAT IP des UTM Netzes eingestellt ist:

Bildschirmfoto 2014-12-08 um 15.00.57

Danach nur noch den Tunnel einrichten wie gehabt:

Bildschirmfoto 2014-12-08 um 15.02.06

Nun auf der Seite MIT der Fritzbox ebenfalls das Remotegateway einrichten, jedoch mit der VPN ID vom Ziel (öffentliche Adresse):

Bildschirmfoto 2014-12-08 um 15.06.45

Sowie den Tunnel selber:

Bildschirmfoto 2014-12-08 um 15.07.00

 

P.s.: Sollte auf dem anderen Netz auch eine Fritzbox sein, so muss natürlich nicht die externe IP in die VPN ID, sondern die NAT IP vom externen Interface der entfernten UTM.


VPN Traffic kontrollieren mit TCPDUMP

Um sicherzustellen ob Pakete überhaupt eine Firewall passieren, kann man diese mittels TCPDump kontrollieren wenn SSH freigeschaltet wurde.

  • SSH aktivieren und Netz freigeben.
  • Kennwort für root und loginuser vergeben.
  • Per SSH anmelden mit Loginuser.
  • Mit su als Root anmelden.
  • TCPDump benutzen.

TCPDump:

  • Quelle angeben: tcpdump src 1.2.3.4
  • Ziel angeben: tcpdump dst 1.2.3.4
  • Port 80 und 443 lesen: tcpdump -q ‚(tcp port 80) or (tcp port 443)‘

Fritzbox: VPN mit iOs Geräten

Kategorie: Diverse , Support

Auf der Fritzbox unter System > Fritzbox-Benutzer einen Benutzer anlegen mit den Rechten für VPN. Neben dem Benutzer den Link öffnen mit den weiteren Daten.

Dann im iOs Gerät unter VPN ein VPN vom Typ IPSec anlegen mit den angezeigten Daten.

Achtung: Das Shared Secret ist ziemlich komplex, wenn mehrere Geräte eingerichtet werden, empfiehlt es sich das Kennwort per Mail zu senden und dann zu kopieren.

Weitere Informationen: http://service.avm.de/support/de/SKB/FRITZ-Box-7390/252:VPN-Verbindung-zur-FRITZ-Box-unter-Apple-iOS-z-B-iPhone-einrichten


Alternative zu Sophos

Eine umfangreiche Alternative zur Sophos bietet die Open Source Firewall ipfire.

Sie bietet:

  • Firewall
  • SPI
  • Proxy (mit VS)
  • SMTP Schutz (mit VS)
  • usw.

www.ipfire.org