Sophos/Astaro OpenVPN mit pfSense

OpenVPN ist die einfachste Lösung für Site2Site VPN’s. Allerdings mit Sophos/Astaro ist die Verbindung aufgrund der von der Sophos/Astaro verwendeten apc Dateien nicht wirklich einfach.

Um überhaupt eine Verbindung herstellen zu können, muss man auf der Astaro eine SSL Site2Site Verbindung anlegen und die Konfigurationsdatei (apc) herunterladen.

Leider gibt es im Moment noch keinen direkten Weg die Datei zu zerlegen, weswegen es am einfachsten ist, die Datei auf einer anderen Astaro zu installieren. Dies kann auch eine virtuelle Appliance sein.

Nachdem man die Datei in der Astaro als Client SSL VPN Konfigurationsdatei hochgeladen hat versucht die Astaro (Gateway Konfiguration vorausgesetzt) sich mit der Gegenstelle zu verbinden.

Um nun an die Konfigurationsdaten zu kommen, muss man sich per SSH / WinSCP auf die Astaro verbinden. In diesem Ordner befindet sich dann ein neuer Ordner mit der laufenden Konfiguration:

/var/sec/chroot-openvpn/client/

Diese Ordner holt man sich und extrahiert die folgenden Informationen.

  • „ca_cert“ Datei – diese muss in der pfSense unter System/Cert Mangager als CA importieren:
    pfSense-CA
    pfSense-CA-Import
  • „certificate“ Datei unter System/Cert Manager als Certificate importieren
    pfSense-Certificate
  • Damit die Konfiguration funktioniert müssen wir die Datei „credentials“ auf der pfSense unter „/var/log/credentials“ per SSH / WinSCP ablegen.
  • Dann unter VPN/OpenVPN einen neuen Client anlegen
    pfSense-OpenVPN
    Hier müssen die Daten aus der Datei „config“ übernommen werden. Überlicherweise sind das

    • Server Mode: Peer to Peer ( SSL/TLS )
    • Protocol: TCP
    • Device mode: tun
    • Server host or address: (steht als remote in der config)
    • Server port: (steht als remote in der config hinter dem Servernamen/der IP)
    • Proxy host, port und auth leer lassen
    • Description: VPN-2-Sophos (Beispiel)
    • TLS Authentication: ausschalten!
    • Peer Certificate Authority: hier die oben importierte Sophos-CA angeben
    • Client Certififace: hier das oben importierte Certificate angeben
    • Encryption alorithm: AES-128-CBC (128 bit)
    • Hardware crypto: abhängig von der Hardware auswählen (Alix Boards: BSD cryptodev engine)
    • Tunnel network: leer lassen!
    • Remote network: hier das Remote Netzwerk angeben (Beispiel: 192.168.168.0/24)
    • Compression: Einschalten
    • Advanced:
      auth-user-pass /var/log/credentials
      auth-retry nointeract
      auth MD5

Sobald diese Konfiguration gespeichert ist, sollte sich die VPN Verbindung aufbauen. Mit dem Speicherort für die credentials bin ich noch nicht zufireden – vielleich hat ja jemand einen Tipp Smile

Share

Ein Gedanke zu „Sophos/Astaro OpenVPN mit pfSense

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

iJSR

Bitte geben Sie den Text vor: