Sophos XG OpenVPN Connect – Ein Trauerspiel

Wie der Sophos Support seine Kunden verprellt!

Windows share mount error - Eine häufige Fehlermedung wenn man mit Linux und OpenVPN auf einer Sophos XG arbeitet

Sophos stellt IT Sicherheitsprodukte her! Und Sophos stellt auch Firewalls her! Für beides macht Sophos unglaublich viel Werbung. Es vergeht kaum eine Woche, in der ich nicht eine Email von Sophos oder einem Sophos Partner erhalte, in der nicht wieder für eine Präsentation zum Thema IT Sicherheit geworben wird.

Was Sophos nicht macht? Sich um Nicht-Windows oder Nicht-MAC User kümmern. Warum auch? Ist ein Nischenmarkt, könnte man meinen!

Warum ich so angepi**t schreibe? Weil ich eine wirklich elendig lange Zeit gebraucht habe, um mein Problem zwischen meinem Linux (Fedora) Laptop und meiner VPN Einwahl gelöst zu bekommen! Es sei angemerkt, dass ich natürlich vertrauensvoll den Sophos Support kontaktiert hatte, um dort mein Problem zu schildern; mehr als einmal. Aber, man mag es glauben oder auch nicht: mehr als ein „dann schauen Sie doch auf den Seiten von OpenVPN nach“ habe ich nie erhalten. Eine Ticket Eskalation wurde nie bearbeitet und das ursprüngliche Ticket sogar irgendwann einfach aus dem Support Portal gelöscht.

Und was ist das Problem genau?

Ich bin seit Jahren, eigentlich Jahrzehnten, mit Linux und im Speziellen mit Fedora unterwegs. Auf der Arbeit haben wir einen Sophos XG Cluster. Und seit wir diese Firewall haben, habe ich Probleme mit der Performance und der Stabilität der über den VPN Tunnel genutzen Verbindungen. Es seit an dieser Stelle angemerkt, dass Windows User (und das ist mit 99% die Mehrzahl der Anwender in meiner Firma) bisher nie Probleme mit dem VPN hatten, wenn sie den von Sophos über das User Portal bereit gestellten VPN Client genutzt haben. Aber um die geht es ja gerade gar nicht!

Performance und Stabilität?

Mit Performance und Stabilität meine ich, dass man sich auf eine mittels OpenVPN aus Linux heraus herstellte VPN Verbindung nicht verlassen kann. Die auftretenden Effekte sind vielfältig. Sei es, siehe das Eingangsbild, dass sich Windows Shares mittels SMB nicht mounten lassen, oder sich bei gemounteten Shares keine Dateien verlässlich kopieren lassen (sehr häufiger Fehler bei mir, dass COPY Aufträge erst gar nicht starteten oder aber mittendrin einfach abbrachen, weil die Verbindung zum Share nicht mehr bestand). Offene RDP Sitzungen frieren auf einmal ein und müssen neu aufgebaut werden oder SSH Verbindungen zu Servern oder Switchen lassen sich nicht etablieren und es kommt zu Connection Timeout Fehlern.


Und die Lösung ist…?

… wie immer keine offentsichtliche und auch nicht auf den Seiten von OpenVPN zu finden 🙂 Kleiner Exkurs: nachdem ich mit dem Support durch Sophos so gescheitert bin, habe ich bei meinem Haus-und-Hof IT Dienstleister nachgefragt, woran das denn liegen könnte. Direkt vorweg: der hatte jetzt auch nicht direkt die Lösung und schlug vor, ich solle auf IPSec mit Pre-Shared-Keys gehen (schon mal jemand erfolgreich eine IPSec mit Pre-Shared-Keys User VPN Einwahl konfiguriert bekommen? Dann hätte ich gerne den Link zur Doku – meine Recherche lieferte bisher immer andere Vorgehensweisen und keine passte irgendwie) oder ein Site-2-Site VPN einrichten. Aber: von ihm kam der Hinweis, mal im Windows Client von Sophos zu schauen, welche OpenVPN Version zum Einsatz kommt. Es ist: 2.3.8 – Release Datum: August 2015!

Mein Fedora setzt, Bleeding Edge, Version 2.4.10 ein. Release Datum: Dezember 2020!

Jetzt mag man denken: ja und? Stimmt! Denn, Aussage von OpenVPN ist: „The main goal is to be as backwards compatible as possible“. Trotzdem habe ich gegooglet, ob es da irgendwelche Kompatibilitätsprobleme gibt. Und dabei stieß ich auf das Thema Kompression.

Lange Rede, kurzer Sinn…

Ohne noch länger weiter zu googlen oder OpenVPN Foren Beiträge zu durchforschen, habe ich, ganz pragmatisch, die OpenVPN Kompression auf Seiten der Sophos XG deaktiviert und anschließend in meinem NetworkManager VPN Profil für die Firmeneinwahl ebenfalls die Kompression aus gemacht.

Seit ich diese Änderungen vorgenommen habe läuft die VPN Verbindung stabil. Ich kann jederzeit per SSH auf Server oder Switche, die Webseiten Aufrufe ins Intranet funktionieren ohne das man ewig warten muss und auch das Kopieren von Dateien, selbst von Remote Laufwerk zu anderem Remote Laufwerk, klappt jetzt einwandfrei.

Vielleicht hilft ja meine Erfahrung hier dem Einen oder Anderen…

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert