{"id":569,"date":"2021-02-15T12:36:52","date_gmt":"2021-02-15T11:36:52","guid":{"rendered":"https:\/\/www.pohle.it\/?p=569"},"modified":"2021-02-15T15:52:33","modified_gmt":"2021-02-15T14:52:33","slug":"sophos-xg-openvpn-connect-ein-trauerspiel","status":"publish","type":"post","link":"https:\/\/staging.pohle.it\/index.php\/2021\/02\/15\/sophos-xg-openvpn-connect-ein-trauerspiel\/","title":{"rendered":"Sophos XG OpenVPN Connect – Ein Trauerspiel"},"content":{"rendered":"\n

Wie der Sophos Support seine Kunden verprellt!<\/h3>\n\n\n\n
\"Windows<\/figure>\n\n\n\n

Sophos stellt IT Sicherheitsprodukte her! Und Sophos stellt auch Firewalls her! F\u00fcr beides macht Sophos unglaublich viel Werbung. Es vergeht kaum eine Woche, in der ich nicht eine Email von Sophos oder einem Sophos Partner erhalte, in der nicht wieder f\u00fcr eine Pr\u00e4sentation zum Thema IT Sicherheit geworben wird.<\/p>\n\n\n\n

Was Sophos nicht macht? Sich um Nicht-Windows oder Nicht-MAC User k\u00fcmmern. Warum auch? Ist ein Nischenmarkt, k\u00f6nnte man meinen! <\/p>\n\n\n\n

Warum ich so angepi**t schreibe? Weil ich eine wirklich elendig lange Zeit gebraucht habe, um mein Problem zwischen meinem Linux (Fedora) Laptop und meiner VPN Einwahl gel\u00f6st zu bekommen! Es sei angemerkt, dass ich nat\u00fcrlich vertrauensvoll den Sophos Support kontaktiert hatte, um dort mein Problem zu schildern; mehr als einmal. Aber, man mag es glauben oder auch nicht: mehr als ein „dann schauen Sie doch auf den Seiten von OpenVPN nach“ habe ich nie erhalten. Eine Ticket Eskalation wurde nie bearbeitet und das urspr\u00fcngliche Ticket sogar irgendwann einfach aus dem Support Portal gel\u00f6scht.<\/p>\n\n\n\n

Und was ist das Problem genau?<\/h3>\n\n\n\n

Ich bin seit Jahren, eigentlich Jahrzehnten, mit Linux und im Speziellen mit Fedora unterwegs. Auf der Arbeit haben wir einen Sophos XG Cluster. Und seit wir diese Firewall haben, habe ich Probleme mit der Performance und der Stabilit\u00e4t der \u00fcber den VPN Tunnel genutzen Verbindungen. Es seit an dieser Stelle angemerkt, dass Windows User (und das ist mit 99% die Mehrzahl der Anwender in meiner Firma) bisher nie Probleme mit dem VPN hatten, wenn sie den von Sophos \u00fcber das User Portal bereit gestellten VPN Client genutzt haben. Aber um die geht es ja gerade gar nicht! <\/p>\n\n\n\n

Performance und Stabilit\u00e4t?<\/h3>\n\n\n\n

Mit Performance und Stabilit\u00e4t meine ich, dass man sich auf eine mittels OpenVPN aus Linux heraus herstellte VPN Verbindung nicht verlassen kann. Die auftretenden Effekte sind vielf\u00e4ltig. Sei es, siehe das Eingangsbild, dass sich Windows Shares mittels SMB nicht mounten lassen, oder sich bei gemounteten Shares keine Dateien verl\u00e4sslich kopieren lassen (sehr h\u00e4ufiger Fehler bei mir, dass COPY Auftr\u00e4ge erst gar nicht starteten oder aber mittendrin einfach abbrachen, weil die Verbindung zum Share nicht mehr bestand). Offene RDP Sitzungen frieren auf einmal ein und m\u00fcssen neu aufgebaut werden oder SSH Verbindungen zu Servern oder Switchen lassen sich nicht etablieren und es kommt zu Connection Timeout Fehlern.<\/p>\n\n\n\n

  • \"\"<\/figure><\/li><\/ul><\/figure>\n\n\n\n


    Und die L\u00f6sung ist…?<\/h3>\n\n\n\n

    … wie immer keine offentsichtliche und auch nicht auf den Seiten von OpenVPN zu finden \ud83d\ude42 Kleiner Exkurs: nachdem ich mit dem Support durch Sophos so gescheitert bin, habe ich bei meinem Haus-und-Hof IT Dienstleister nachgefragt, woran das denn liegen k\u00f6nnte. Direkt vorweg: der hatte jetzt auch nicht direkt die L\u00f6sung und schlug vor, ich solle auf IPSec mit Pre-Shared-Keys gehen (schon mal jemand erfolgreich eine IPSec mit Pre-Shared-Keys User VPN Einwahl konfiguriert bekommen? Dann h\u00e4tte ich gerne den Link zur Doku – meine Recherche lieferte bisher immer andere Vorgehensweisen und keine passte irgendwie) oder ein Site-2-Site VPN einrichten. Aber: von ihm kam der Hinweis, mal im Windows Client von Sophos zu schauen, welche OpenVPN Version zum Einsatz kommt. Es ist: 2.3.8 – Release Datum: August 2015! <\/p>\n\n\n\n

    Mein Fedora setzt, Bleeding Edge, Version 2.4.10 ein. Release Datum: Dezember 2020!<\/p>\n\n\n\n

    Jetzt mag man denken: ja und? Stimmt! Denn, Aussage von OpenVPN ist: „The main goal is to be as backwards compatible<\/em> as possible“. Trotzdem habe ich gegooglet, ob es da irgendwelche Kompatibilit\u00e4tsprobleme gibt. Und dabei stie\u00df ich auf das Thema Kompression. <\/p>\n\n\n\n

    Lange Rede, kurzer Sinn…<\/h3>\n\n\n\n

    Ohne noch l\u00e4nger weiter zu googlen oder OpenVPN Foren Beitr\u00e4ge zu durchforschen, habe ich, ganz pragmatisch, die OpenVPN Kompression auf Seiten der Sophos XG deaktiviert und anschlie\u00dfend in meinem NetworkManager VPN Profil f\u00fcr die Firmeneinwahl ebenfalls die Kompression aus gemacht. <\/p>\n\n\n\n

    • \"\"<\/figure><\/li>
    • \"\"<\/figure><\/li>
    • \"\"<\/figure><\/li><\/ul>
      Links & Mitte: Sophos XG VPN Settings \u00e4ndern – Rechts: Einstellungen am VPN Profil auf Client Seite<\/figcaption><\/figure>\n\n\n\n

      Seit ich diese \u00c4nderungen vorgenommen habe l\u00e4uft die VPN Verbindung stabil. Ich kann jederzeit per SSH auf Server oder Switche, die Webseiten Aufrufe ins Intranet funktionieren ohne das man ewig warten muss und auch das Kopieren von Dateien, selbst von Remote Laufwerk zu anderem Remote Laufwerk, klappt jetzt einwandfrei.<\/p>\n\n\n\n

      Vielleicht hilft ja meine Erfahrung hier dem Einen oder Anderen…<\/p>\n","protected":false},"excerpt":{"rendered":"

      Wie der Sophos Support seine Kunden verprellt! Sophos stellt IT Sicherheitsprodukte her! Und Sophos stellt auch Firewalls her! F\u00fcr beides macht Sophos unglaublich viel Werbung. Es vergeht kaum eine Woche, in der ich nicht eine Email von Sophos oder einem Sophos Partner erhalte, in der nicht wieder f\u00fcr eine Pr\u00e4sentation zum Thema IT Sicherheit geworben […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_lmt_disableupdate":"no","_lmt_disable":"","site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1,10],"tags":[15,16,19,18,17],"class_list":["post-569","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-linux","tag-linux","tag-openvpn","tag-performance","tag-sfos-17-5","tag-sophos"],"modified_by":"Markus","_links":{"self":[{"href":"https:\/\/staging.pohle.it\/index.php\/wp-json\/wp\/v2\/posts\/569","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.pohle.it\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.pohle.it\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.pohle.it\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.pohle.it\/index.php\/wp-json\/wp\/v2\/comments?post=569"}],"version-history":[{"count":9,"href":"https:\/\/staging.pohle.it\/index.php\/wp-json\/wp\/v2\/posts\/569\/revisions"}],"predecessor-version":[{"id":586,"href":"https:\/\/staging.pohle.it\/index.php\/wp-json\/wp\/v2\/posts\/569\/revisions\/586"}],"wp:attachment":[{"href":"https:\/\/staging.pohle.it\/index.php\/wp-json\/wp\/v2\/media?parent=569"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.pohle.it\/index.php\/wp-json\/wp\/v2\/categories?post=569"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.pohle.it\/index.php\/wp-json\/wp\/v2\/tags?post=569"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}