La actualización de IPSec v16 a v17 no establece el truncamiento SHA2 en la política personalizada. Esto afectará principalmente a los túneles entre v16 y v17.
Se aplica a los siguientes productos y versiones de
Sophos Sophos Firewall XG Software v17.0.5 MR5
Los clientes que migren de v16 a v17 con túneles IPsec configurados con el cifrado AES256 y la autenticación SHA2 256 en la política personalizada en la fase 1 y la fase 2 se verán afectados.
IPsec SA se mostrará y se conectará.
Sin embargo, cuando el cliente intente llegar a la red remota, no habrá respuesta.
Los paquetes sin cifrar llegan a XG y se cifran correctamente. Pero el otro extremo no entiende los paquetes. Por lo tanto, no hay respuesta desde el extremo remoto.
Qué hacer
Vaya a VPN> Perfiles IPsec .
En Fase 1 y Fase 2, el cifrado será AES256 y la autenticación es SHA2 256. Verifique la misma configuración en el extremo remoto.
Se establecerá la SA.
Verifique el estado desde la GUI. El estado y la conexión deben ser verdes. Esto también se puede verificar desde el Shell avanzado mediante el siguiente comando:
ipsec statusall
Salida :
Status of IKE charon daemon (strongSwan 5.5.3, Linux 3.14.22-Aum, x86_64):
uptime: 68 minutes, since Nov 20 18:02:23 2017
Solución alternativa
Vaya a VPN> Perfiles IPsec .
En Configuración general, seleccione SHA2 con truncamiento de 96 bits .
Haz clic en Guardar .
