Sicherheitguide

Sophos Site-to-Site VPN einrichten – IPsec zwischen zwei Standorten

Standortverbindung mit Sophos XGS/UTM Firewall konfigurieren

S
SeeColors IT11. Juni 20264 Min. Lesezeit172 Aufrufe

Was ist ein Site-to-Site VPN?

Ein Site-to-Site VPN verbindet zwei Netzwerke über das Internet miteinander. Im Unterschied zum Remote-Access-VPN (Einzelbenutzer) verbindet Site-to-Site ganze Netzwerksegmente.

Typische Anwendung: Hauptsitz in Heidelberg und Zweigstelle in Frankfurt sollen direkt miteinander kommunizieren können, als wären sie im selben Netzwerk.

IPsec vs. RED (Sophos Remote Ethernet Device)

Sophos bietet zwei Site-to-Site-Technologien:

Merkmal IPsec Sophos RED
Standard Ja (interoperabel) Propriätär (Sophos-zu-Sophos)
Gegenstelle Jede IPsec-Firewall Nur Sophos
Konfigurationsaufwand Mittel Gering
Performance Gut Sehr gut
Empfohlen Drittanbieter-Interop Reine Sophos-Umgebung

Voraussetzungen

  • Beide Standorte: Sophos XGS oder Sophos UTM (oder kompatible IPsec-Firewall)
  • Statische öffentliche IPs an beiden Standorten (oder DynDNS)
  • Nicht-überlappende interne Netzwerke:
    • Standort A: 192.168.1.0/24
    • Standort B: 192.168.2.0/24

IPsec Site-to-Site VPN konfigurieren

Auf Sophos Firewall A (Hauptstandort, z. B. Heidelberg)

Schritt 1: VPN-Verbindung erstellen

VPN → IPsec-Verbindungen → Hinzufügen:

Allgemein:

  • Name: VPN_HD_zu_FR
  • IP-Version: IPv4
  • Verbindungstyp: Standort-zu-Standort
  • Gateway-Typ: Initiator und Responder

Authentifizierung:

  • Authentifizierungsmethode: Pre-shared Key
  • Gemeinsamer Schlüssel: Starkes zufälliges Passwort (min. 24 Zeichen!)

Schritt 2: Gateway-Einstellungen (Phase 1)

Lokales Gateway:

  • Schnittstelle: WAN-Interface
  • Lokale ID: Ihre öffentliche IP oder Hostname

Remote-Gateway:

  • Gateway-Adresse: Öffentliche IP von Standort B
  • Remote-ID: Remote IP oder Hostname

Phase-1-Parameter (IKEv2 empfohlen):

  • Key Exchange: IKEv2
  • Verschlüsselung: AES256
  • Authentication: SHA256
  • DH-Gruppe: 14 (2048-bit)
  • SA-Laufzeit: 28800 Sekunden (8 Stunden)

Schritt 3: Tunnel-Netzwerke (Phase 2)

Lokales Netzwerk: 192.168.1.0/24 (Heidelberg-Netz)
Remote-Netzwerk: 192.168.2.0/24 (Frankfurt-Netz)

Phase-2-Parameter:

  • Verschlüsselung: AES256
  • Authentication: SHA256
  • PFS (Perfect Forward Secrecy): Gruppe 14
  • SA-Laufzeit: 3600 Sekunden (1 Stunde)

Dead Peer Detection (DPD) aktivieren: Timeout 30s, Intervall 10s

Auf Sophos Firewall B (Zweigstelle, Frankfurt)

Identische Konfiguration, aber:

  • Lokales Netzwerk: 192.168.2.0/24
  • Remote-Netzwerk: 192.168.1.0/24
  • Gateway-Adresse: IP von Firewall A

Den gleichen Pre-shared Key verwenden!

Firewall-Regeln für VPN-Traffic

Sophos blockiert standardmäßig auch VPN-Traffic. Fügen Sie Regeln hinzu:

Regel: Heidelberg kann Frankfurt erreichen

  • Quellenzone: LAN (Heidelberg)
  • Zielzone: VPN (Frankfurt-Tunnel)
  • Quellnetz: 192.168.1.0/24
  • Zielnetz: 192.168.2.0/24
  • Dienste: Any (oder spezifische Ports)
  • Aktion: Erlauben

Regel: Frankfurt kann Heidelberg erreichen

  • Quellenzone: VPN
  • Zielzone: LAN
  • Quellnetz: 192.168.2.0/24
  • Zielnetz: 192.168.1.0/24
  • Aktion: Erlauben

Tunnel-Status prüfen

VPN → IPsec-Verbindungen → Status:

Grüne LED = Tunnel aktiv und verbunden
Rote LED = Tunnel getrennt (Konfigurationsfehler oder Gegenstelle nicht erreichbar)

Logs:
Protokoll → VPN: Zeigt IKE-Verhandlungen und eventuelle Fehler

Test: Ping über VPN:
Auf Firewall A Shell: ping 192.168.2.1 (Gateway von Standort B)

Häufige Konfigurationsfehler

Phase-1-Fehler (IKE_SA Aufbau schlägt fehl):

  • Pre-shared Key auf beiden Seiten prüfen (Tipp- und Groß-/Kleinschreibungsfehler)
  • Phase-1-Parameter (Verschlüsselung, Hashing, DH-Gruppe) müssen exakt übereinstimmen
  • IKE-Version (IKEv1 vs IKEv2) muss auf beiden Seiten gleich sein

Phase-2-Fehler (Tunnel bleibt rot nach Phase-1-Erfolg):

  • Tunnel-Netzwerke auf beiden Seiten prüfen (Quell/Ziel müssen gespiegelt sein)
  • Phase-2-Verschlüsselung und -Hashing prüfen
  • Overlapping Subnets: Beide LANs dürfen nicht im gleichen Bereich sein

Ping geht nicht obwohl Tunnel grün:

  • Firewall-Regeln fehlen
  • Routing-Tabelle prüfen: Kennt Sophos den Weg zum Remote-Netz?

VPN-Routing und Split-Tunneling

Wenn Geräte in Frankfurt nicht nur Heidelberg, sondern auch das Internet über den Tunnel routen sollen:

In der Phase-2-Konfiguration bei Standort B:

  • Remote-Netzwerk zusätzlich: 0.0.0.0/0

Dann läuft aller Traffic über den VPN-Tunnel zu Standort A und wird dort ins Internet geleitet.

FAQ

Kann ich ein Sophos-zu-Cisco-Site-to-Site-VPN aufbauen?
Ja. Nutzen Sie IKEv2 mit AES256/SHA256 und stimmen Sie die Parameter exakt ab. Cisco nutzt andere Default-Werte – vergleichen Sie Phase 1 und 2 sorgfältig.

Was ist der Unterschied zwischen IKEv1 und IKEv2?
IKEv2 ist moderner: schnellerer Aufbau, bessere NAT-Traversal, Mobilitätsunterstützung. Verwenden Sie immer IKEv2 für neue VPN-Verbindungen.

Wie sichere ich den Pre-shared Key?
Mindestens 32 zufällige Zeichen. Bewahren Sie ihn im Passwort-Manager auf und teilen Sie ihn nur über sichere Kanäle (verschlüsselte E-Mail oder telefonisch).

Fazit

Ein korrekt konfiguriertes Site-to-Site VPN verbindet Standorte sicher und transparent. Mit IKEv2 und starken Verschlüsselungsalgorithmen erfüllen Sie aktuelle BSI-Empfehlungen.

Als Sophos-Partner in Heidelberg konfigurieren wir Site-to-Site VPNs für Unternehmen mit mehreren Standorten in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt VPN-Planung anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Netzwerk#VPN#Sophos#IPsec#Site-to-Site

Verwandte Artikel

Windows DNS Server – Zonen und Records konfigurieren 2025

4 Min.

Windows DHCP Server mit Failover – Ausfallsicher 2025

4 Min.

Authentik – Self-hosted SSO und Identity Provider 2025

4 Min.