OpenVPN unterstützt kein IPsec sondern nutzt ein eigenes SSL basiertes VPN Protokoll. Du kannst einen Site-to-Site IPSec Tunnel zu deiner Sophos mit Strongswan erstellen. Zu Beachten ist dabei dass die Sophos UTM9 Home Edition kein IKEv2 kann! Angenommen du hast 2 Sites
- Site A (Linux Strongswan), Public IP: 1.1.1.1, LAN: 192.168.10.0/24
- Site B (Sophos UTM 9) - Public IP: 2.2.2.2, LAN: 192.168.20.0/24
Ich gehe davon aus, dass du weißt wie du ein Site-to-Site VPN auf der Sophos einrichtest und gehe daher nur auf den Strongswan Teil ein. Zuerst installiere Strongswan auf deinem Linux System.
sudo apt update
sudo apt install strongswan
Danach erstellst du 2 Konfigurationsdateien. In die Datei /etc/ipsec.conf kommt die IPSec Konfiguration.
config setup
charondebug="ike 1, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
conn site-to-site
auto=start
keyexchange=ikev2
authby=secret
left=1.1.1.1 # öffentliche IP von A
leftsubnet=192.168.10.0/24 # internes Netz von A
right=2.2.2.2 # öffentliche IP von B
rightsubnet=192.168.20.0/24 # internes Netz von B
ike=aes256-sha256-modp1024!
esp=aes256-sha256!
dpdaction=restart
dpddelay=30s
dpdtimeout=120sDen PSK musst du in der Datei /etc/ipsec.secrets eintragen.
1.1.1.1 2.2.2.2 : PSK "EinStarkesPasswort123!"
Damit wäre die Grundkonfiguration erledigt und der Tunnel kann aufgebaut werden.
sudo systemctl restart strongswan-starter
sudo ipsec statusall
ip xfrm policy
Du wirst auf dem Linux System allerdings IP Forwarding aktivieren müssen (Sophos macht das automatisch)
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
Außerdem musst du evtl. die Firewall Einstellungen anpassen. Z.B
sudo ufw allow 500,4500/udp
Und den "interesting traffic" (Traffic der über den Tunnel geleitet werden soll) entsprechend routen.
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -d 192.168.20.0/24 -j ACCEPT
