Thread Info
  • Locked Locked
  • Replies 18 replies
  • Subscribers 15 subscribers
  • Views 22502 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos SG kein Firmwareupdate auf 9.601 oder 9.602-3 mit RED!

Sascha D

Hallo Community, 

nach einigen Test bei unseren Kunden, hat sich auch mit der 9.602-3 die selben Probleme mit REDs gezeigt. Habt ihr ähnliche Erfahrungen gemacht?

Gestester Workaround

Nach einem Firmwareupdate auf die Version 9.601 oder 9.602-3, kann es dazu kommen, dass die REDs keine Verbindung mehr herstellen könnnen. Gut zu erkennen im Log: 

2019:03:06-23:15:38 fw01 red_server[17509]: SELF: Cannot do SSL handshake on socket accept from 'xxx.xxx.xxx.xxx': SSL connect accept failed because of handshake problems
 
2019:03:06-15:15:46 fw01-2 red2ctl[12420]: Missing keepalive from reds3:0, disabling peer xxx.xxx.xxx.xxx

Über die Konsole kann man temporär, das Ausrollen der neuen Firmware verhindern. Per SSH loginuser:

su -

cc get red use_unified_firmware
 
if value returned = 1
 
cc set red use_unified_firmware 0
 
reds will update and reboot
 
confirm value is 0 rerunning get command above
 
Das Problem muss dauerhaft in der Sophos UTM-Firmware behoben werden. Derzeit gibt es dazu noch keine mir bekannte Aussage von Sophos.
 


This thread was automatically locked due to age.
Parents Reply
  • in reply to LuCar Toni

    LuCar Toni said:

    Aktuell sehe ich vermehrt Kunden, die das Problem zwar haben, die Firmware deaktivieren und damit weitermachen.

    So können wir das Problem nicht reproduzieren und eine RCA (Root Cause Analyse) finden. 

     

    Ja, auf der anderen Seite brauchen wir funktionierende RED Devices und können unsere Unternehmen nicht einfach lahm legen, damit Sophos irgendwann eine RCA machen kann. 

Children
  • in reply to Matthäus Kuhn

    Hallo an Alle,

    ich kann euch für das Handshake-Problem mein Workaround anbieten, nachdem ich mich mehrere Wochen geärgert habe.

     

    Wir haben einen HA-Cluster aus 2x SG230 mit mehreren Red15s. An der Sophos haben wir einen Telekom- (100/40) und einen Vodafone-Anschluss (10mbit-sym) - mit redundanter Tunnel-Verbindung.  Wie in anderen Beiträgen geschrieben, hatte ich mehrfach die BEIDEN! IPs von der RED zur Firewall gewechselt und bei der redundanten Verbindung geblieben. Dies brachte wenig Erfolg. Aber: Wenn man nur noch auf eine! IP der Firewall verbindet, geht es sofort!

    Irgendwas wurde geändert in der letzten Firmware.

    Es liegt aber an dem Internet-Anschlüssen der RED-Seiten! Telekom geht unverändert im redundanten Verfahren - Vodafone-Cable geht nicht, und ein lokaler ISP hat auch mit redundanten Verbindungen Probleme.

    So - vielleicht hilft es jemanden. Good Luck!

  • in reply to N K

    Ich hatte gerade eben das gleiche Problem bei einem Kunden und das löschen und neu hinzufügen, hat die RED50 wieder ins Leben zurück gerufen. Sie hat dann auch das Firmwareupdate durchgeführt. 

Unfiltered HTML