iE Technik Blog

Willkommen im illerEDV Technik Blog !

HowTo : VPN per L2TP over IPSEC mit Sophos UTM 9.2 : Die Grundeinrichtung

Update 28.Oktober 2014

Auf Grund der guten Resonanz des Artikels habe ich mich entschieden ihn künftig in 2 Teile aufzusplitten: Zum einen die grundsätzlichen Vorarbeiten an der Sophos UTM zur Verwendung von L2TP over IPSec und zum anderen die Einstellungen an den entsprechenden Endgeräten.

Für alle Artikel im Blog gilt grundsätzlich: Wenn euch unser Artikel weitergeholfen hat freuen wir uns über ein „Like“ oder einen Kommentar!

 

13.Okt.2014 Update zu Teil 3:
Ein aufmerksamer Leser (Chris) hat mich informiert dass ab Windows Phone 8.1 Update 1 der L2TP Zugriff funktioniert. Aktuell gibt es dieses Update erst für Lumia 830, 735 und 730. Sobald entweder mein 630 oder 1320 das Update erhält wird der Beitrag aktualisiert.
 
18.Dez.2014 Update
Heute kam der Release von Windows Phone 8.1 Update 1, den entsprechenden Blog Betrag findet ihr hier : http://blog.iller-edv.de/?p=143

 1. Vorarbeiten und Voraussetzungen an der Sophos UTM

  • Die Sophos UTM ist grundkonfiguriert und mit dem Internet verbunden

  • Es ist entweder eine feste externe IP Adresse oder ein Dyndns Account vorhanden, z.b. meinedomain.dyndns.org

  • Das Userportal ist aktiviert und zumindest im internen Netz erreichbar

  • Unter Remote Access > Advanced > DNS Server ist die interne IP der UTM eingetragen, ggf. sind statische Mappings notwendig. (wenn nicht per IP sondern DNS auf interne Ressourcen zugegriffen wird)

  • Sollen bestimmt Interne Dienste oder Geräte nach Einrichtung der VPN-Verbindung vom Endgerät verwendet werden, müssen diese selbstverständlich im Paketfilter freigeben werden z.b. ipad (user) -> port 12345 -> Server-IP

1.1 Unter Management > System Settings > Hostname muss ein korrekter Hostname eingetragen sein der per DNS von extern aufgelöst werden kann. Dies kann entweder ein Dyndns Account sein der auf die externe IP der UTM zeigt, alternativ die feste IP oder eine Subdomainumleitung auf die feste IP wie im Beispiel:001 Hostname

1.2 Das Userportal muss aktiviert und die verwendeten (VPN-) User müssen Zugriff darauf haben :002 User Portal

 

 

1.3  Anlage eines Benutzers mit Kennwort für die Verbindung. Die Funktion „ Use static remote access IP“ ist dabei optional und muss nicht verwendet werden :003 User Anlegen

 

1.4 die VPN Einstellungen unter L2TP over IPSEC :

  • Unter Interface das externe Interface wählen an dem die VPN Verbindungen angenommen werden

  • Authentification mode : Preshared Key

  • Preshared Key : Das VPN Passwort

  • Unter „Access control“ den zuvor angelegten User hinzufügen, in Beispiel „ipad004 L2TP over IPSEC Einstelungen

1.5  Unter iOS Devices empfiehlt sich die Eintragung des Override Hostnames, sofern wie unter 1.1 der Hostname eingetragen ist , ist dies allerdings nicht zwingend notwendig.005 Override Hostename

Ein kostenloser Service von
iller-EDV logo Typ 7 Oktober 2013 Viereckig Kopie

 

2 thoughts on “HowTo : VPN per L2TP over IPSEC mit Sophos UTM 9.2 : Die Grundeinrichtung

  • Sonja Gruber sagt:

    Hallo,

    der Artikel ist echt gut beschrieben, jedoch komm ich nicht ganz hin mit den Einstellungen. Und zwar wird bei uns das Userportal über eine zusätzliche Schnittstelle „veröffentlicht“. Wenn ich es richtig verstanden habe, wähle ich bei Interface die Schnittstelle aus, auf der auch das Userportal liegt. Wenn das so korrekt ist, habe ich quasi ein Problem, da das Userportal wie schon erwähnt auf eine zusätzliche Schnittstelle konfiguriert ist die ich aber nicht auswählen kann. Iirgendwie komme ich jetzt nicht da hinter wie ich es trotzdem einrichten könnte. Eine Idee parat?

    Grüße

    • illeredv sagt:

      Hallo Frau Gruber,

      sofern ich Ihre Frage richtig verstehe : Ankommende VPN Verbinungen werden i.d.r. immer am WAN Interface angenommen, d.h. dem Interface das mit dem Internet verbunden ist. Gibt es mehrere WAN Interfaces kann prinzipiell gewählt werden. (idealerweise eines mit Fester IP / DynDNS oder CName Umleitung je nach Fall). Im Screenshot 1.4 ist das für im Beispiel „External (WAN) KabelBW“. An welche Schnittstelle das Userportal gebunden ist, ist dafür nicht relevant, die Konfigurationsdateien die dort heruntergeladen werden können enthalten die Einstellungen die unter Punkt 1.4 getroffen wurden. Sollten Sie noch Fragen haben, einfach nochmal posten oder eine Email an mail@iller-edv.de
      Gruß M.Ullrich

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *