Tunnelinterface bei der Nutzung von IPSec

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
darnea94
Beiträge: 2
Registriert: Fr 16.01.2026, 14:36

Tunnelinterface bei der Nutzung von IPSec

Beitrag von darnea94 »

Hallo zusammen,
ich versuche aktuell auf einer Securepoint UTM (Version 14.0.10) eine Route-Based IPsec-Verbindung zu einer Sophos XGS aufzubauen. Mein Ziel ist es, ein virtuelles Tunnel-Interface (XFRM) zu erhalten, um darauf basierend Routing-Entscheidungen (Failover/SD-WAN) zu treffen.
Mein Problem: In den Einstellungen der IPsec-Phase-1 wird mir das Feld "Anschlussart" bzw. die Auswahl für eine "Tunnelschnittstelle" überhaupt nicht angezeigt.
Was ich bereits geprüft habe:
  • IKE-Version: Steht auf IKEv2.
  • Remote Host: Ein festes Host-Objekt (öffentliche IP der Gegenstelle) ist ausgewählt (kein "Any").
  • Local Gateway: Steht auf dem WAN-Interface (kein internes LAN-Interface).
  • MOBIKE: Ist deaktiviert.
  • Authentifizierung: Sowohl mit PSK als auch mit Zertifikat bleibt das Feld verschwunden.
Auch in der CLI (

Code: Alles auswählen

spcli
) wird mir unter

Code: Alles auswählen

interface new type ...
der Typ

Code: Alles auswählen

vpn-xfrm
oder

Code: Alles auswählen

vpn
nicht angeboten. In der Liste der verfügbaren Schnittstellen-Typen tauchen lediglich Ethernet, VLAN, Bridge, Bond, GRE, PPPoE und 6in4 auf.
Frage: Ist das XFRM-Feature in der v14.0.10 an bestimmte Hardware-Voraussetzungen oder Lizenzen gebunden? Oder gibt es einen "versteckten" Schalter, um die Unterstützung für virtuelle VPN-Interfaces global zu aktivieren?
Über einen Hinweis, warum das Feld in der Web-GUI (und der Typ in der CLI) fehlt, würde ich mich sehr freuen.
Vielen Dank vorab!
Nach oben
kennethj
Beiträge: 422
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:
Kontaktdaten von kennethj

Beitrag von kennethj »

Moin,

Relativ kurz und knackig:
XFRM ist nicht implementiert.

Gruß 
Nach oben
darnea94
Beiträge: 2
Registriert: Fr 16.01.2026, 14:36

Beitrag von darnea94 »

Oh nein :(

Gibt es eine Roadmap, ob und wann das Feature Implementiert wird ?

Viele Grüße!
Nach oben
Benutzeravatar
Lauritzl
Securepoint
Beiträge: 132
Registriert: Mo 09.12.2019, 10:29

Beitrag von Lauritzl »

Ausnahmsweise muss ich kennethj hier - zumindest Teilweise - widersprechen:
Es ist bereits rudimentär implementiert - allerdings nur auf CLI Ebene und ohne Dokumentation (bisher).
Wenn Sie sich per ssh auf die UTM schalten, wird Ihnen XFRM als Type auch in der Autovervollständigung angeboten.

Hier ohne Gewähr ein Syntax-Vorschlag:

Code: Alles auswählen

interface new name "ipsec0" type "XFRM" options [ xfrm_parent=<existierende eth-Schnittstelle, z.B. A0, LAN1> xfrm_interface_id=<beliebige, eindeutige ID> ]
system update interface
ipsec get // id der gewünschten Verbindung ermitteln
ipsec set id <gewünschte ipsec-Verbindung-ID> xfrm_if_name ipsec0
ipsec update
Achtung: Es handelt sich bisher nicht um ein offizielles Feature. Sie müssten dann z.B. auch darauf achten, daß die XFRM-Policy passt.
Wir können keinen Support dafür leisten.
Mit freundlichen Grüßen

Lauritz Laatzen
Support / Wiki
Tel. 04131/2401-0 ◦ Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28 ◦ D-21337 Lüneburg
Nach oben
Antworten

Zurück zu „Allgemeines“