Sophos UTM: Wie man Fehler bei L2TP über IPsec behebt

Übersicht

In diesem Artikel wird erläutert, wie Sie eine Fehlermeldung beheben können, die häufig bei dem Versuch auftritt, einen L2TP über IPsec-Tunnel mit Amazon AWS einzurichten.

Ein Beispiel für die Fehlermeldung:

2017:10:16-14:43:10 myutm pluto[7830]: "L_for testuser"[2] 123.456.789.10:4500 #1: sending encrypted notification INVALID_ID_INFORMATION to 123.456.789.10:4500

Dieses Kapitel umfasst die folgenden Themen:

  • Wie man den L2TP Fehler behebt
    • Binden Sie die zweite Netzwerkschnittstelle in die AWS-Konsole ein
    • Konfigurieren Sie die zweite Netzwerkschnittstelle im UTM WebAdmin

    • Konfigurieren Sie den DNAT für die zweite Netzwerkschnittstelle

Diese Anleitung gilt für folgende Sophos Produkte und Versionen:

UTM auf AWS Marketplace

Wie man den L2TP Fehler behebt

Um das Problem zu beheben, konfigurieren Sie eine zweite Netzwerkschnittstelle, weisen Sie ihr die elastische IP zu und konfigurieren Sie eine DNAT-Regel, um IPsec-bezogenen Datenverkehr von der primären Schnittstelle an die zweite Netzwerkschnittstelle zu senden. Das Ergebnis ist, dass die IKE-Nachrichten-ID nun mit der IP-Adresse übereinstimmt, mit der die UTM diesen Verkehr empfängt; die Verbindung kann somit hergestellt werden.

Binden Sie die zweite Netzwerkschnittstelle in die AWS-Konsole ein

1. Rufen Sie die Seite EC2 auf, wählen sie Network interfaces aus und klicken Sie auf Create Network Interface

pict1

2. Wählen Sie die VPC der UTM und weisen Sie ihr die gleiche Sicherheitsgruppe zu wie die vorhandene UTM-Schnittstelle.

3. Klicken Sie auf Yes, Create um den Vorgang zu beenden.

4. Klicken Sie mit der rechten Maustaste auf die neue Schnittstelle und wählen Sie Attach.

5. Benutzen Sie das drop-down Feld, wählen Sie die UTM Instanz aus und klicken sie auf Attach.

 pict2

Konfigurieren Sie die zweite Netzwerkschnittstelle im UTM WebAdmin

a. Starten Sie die UTM Instanz neu, um die neuen Netzwerk Interfaces zu laden

b. Melden Sie sich beim WebAdmin des UTMs an.

c. Rufen Sie die Seite Interfaces & Routing > Interfaces und klicke Sie auf New Interface

d. Konfigurieren Sie das neue Interface mit der öffentlichen IP-Adresse, die dem Interface zugewiesen werden soll.

 pict3

e. Speichern Sie das neue Interface und klicken Sie auf den „On“-Button, um es auf (UP) zu setzen

 pict4

Konfigurieren Sie den DNAT für die zweite Netzwerkschnittstelle

a. Bevor Sie die DNAT-Regel erstellen, rufen Sie die Seite Remote Access > L2TP over IPsec (Global) auf und wählen Sie im Dropdown-Feld das zweite Interface aus.

b. Klicke Sie auf Apply

 pict5

c. Rufen Sie Network Protection > NAT (NAT) auf und klicke Sie auf New NAT Rule

d. Konfigurieren Sie den DNAT mit folgenden Einstellungen:

a. For traffic from: any

b. Using services: IPsec – IKE

c. Going to: Internal (Address)

d. Change the destination to: MyUTM Second Interface (Address)

e. Automatic firewall rule: selected

e. Erstellen Sie eine zweite DNAT-Regel mit den gleichen Einstellungen, doch dieses Mal benutzen Sie IPsec-NAT-T als Service.

f. Wenn die zweite Regel erstellt wurde, sollte sie so aussehen:

 pict6

g. Stellen Sie jetzt eine Verbindung zur UTM via L2TP über IPsec her, indem Sie die elastische IP-Adresse der Instanz verwenden.

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.