Bei Kunden (welche insbesondere schon längerfristig Sophos UTM einsetzen) hatte ich das Problem, das nach der Umstellung auf den neuen Sophos Connect Client die SSL VPN Verbindung nicht mehr funktionierte.
Die Logs zeigten sinngemäß „CA Cipher to weak“.
Dies bedeutet, das der neuere Client auf mehr Sicherheit besteht, welche das alte VPN Signing CA Zertifikat nicht bietet – was jedoch vom alten Client so akzeptiert wurde.
Hier muss „nur“ das alte Zertifikat erneuert werden – was jedoch weitreichende Folgen hat, danach müssen alle VPN Verbindungen neu eingerichtet werden mit der neuen Konfigurationsdatei.
Um das neue Zertifikat zu erstellen, geht dazu einfach im WebAdmin zu Fernzugriff > Zertifikatsverwaltung > Erweitert.
Dort beim oberen Punkt Signierungs CA neu erstellen einfach auf Übernehmen klicken und bestätigen, das ihr neu erstellen wollt.
Danach müsst ihr dann auch alle VPN Verbindungsdateien erneuern. Die Konfigurationsdateien könnt ihr auch über WebAdmin alle auf einmal herunterladen – geht dazu wie folgt vor:
- Geht zu Definitionen und Benutzer > Benutzer und Gruppen
- Markiert alle Benutzer:innen, welche eine neue Konfigurationsdatei bekommen sollen
- Geht oben links in der Übersicht auf Aktionen
- Wählt dann den Punkt SSL VPN Konfigurationen herunterladen
- Wählt dann anschließend SSL VPN Konfigurationen herunterladen
- In der Zip Datei sind nun alle Dateien
Hinweise:
- Achtet aber bitte darauf, das ihr das nicht über einen VPN Tunnel macht, sondern schaltet euch wenigstens für die Tätigkeit den Remotezugriff frei – da ihr euch sonst ausschließt.
- Der Sophos Connect Client für Windows unterstützt IPSec und OpenVPN (SSL), der für macOS jedoch nur IPSec und KEIN OpenVPN (SSL) – zumindest Stand 06/2023.
