Sophos UTM 9.6 - DNAT IPSec Probleme

Hallo zusammen,

wir haben uns in dieser Woche einmal an die Sophos UTM 9.6 ran getraut. Leider mussten wir mit Bedauern feststellen, dass wir in der 9.600 und auch 9.601 ein gravierendes Problem haben, welches uns die Benutzung des Releases unmöglich macht.

Wir haben ein 2-stufiges FW Konzept. Extern Sophos UTM und intern PA. Unsere "fremden" S2S Tunnel terminieren alle extern auf der Sophos UTM. Unsere "internen" S2S Tunnel terminieren alle auf der internen PA. Für dieses Szenario haben wir ein DNAT auf einer additional Address eingerichtet, welches die Services im Gruppenobjekt "IPSec" mit dem Ziel auf die additional Address zur PA weiternatet. 

Auf der 9.510 und auch auf allen Versionen davor funktioniert dieses DNAT ohne Probleme. Sobald wir auf die 9.6 aktualisieren, scheint dieses DNAT nicht mehr zu greifen. Ein Deaktivieren und wieder Aktivieren der Regel, ein Neustart des Clusters sowie auch das neue Anlegen der Regel bringt keine Besserung. Die Pakete gehen auf der UTM ein, verschwinden dann aber im Nirvana. Nach einem Downgrade auf die 9.510 funktioniert das DNAT wieder ohne Probleme.

Hat jemand von euch ähnliche Erfahrungen mit der 9.6x gemacht?

Viele Grüße,
Dominik

  • Ein Log wäre ja jetzt mal interessant!

     

    ... und nein, die Erfahrung habe ich noch nicht machen müssen...

  • In reply to ThorstenSult:

    Ein Log habe ich leider nicht angefertigt.

    Aber prinzipiell sieht man im Live-Log auf der UTM lediglich die eingehenden Pakete auf der externen Schnittstelle.
    Anschließend sieht man nichts mehr. Weder im IPS, ATP, Firewall, VPN Log noch im tcp/espdump auf der CLI.
    Die Pakete kommen auf der externen Schnittstelle und verschwinden.

    Viele Grüße,

    Dominik

  • In reply to Dominik Herzog:

    Hallo Dominik,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    This feels like a classic routing issue.  What happens if you replace the DNAT with a Full NAT?

    MfG - Bob (Bitte auf Deutsch weiterhin.)