Netzwerkport 'bridged' wenn UTM aus (Looping wenn 2 Ports mit einem Switch verbunden sind)

Hallo Leute,

 

wir hatten jetzt 2 Mal das Problem (bei SG210 und SG230), dass in einer Konfiguration mit 2 Newtzwerkports an einem Switch dieser nach dem Herunterfahren der UTM keine Pakete mehr transportierte. Wir haben das analysiert und festgestellt, dass die Netzwerkports nach dem Herunterfahren der UTM quasi kurzgeschlossen sind. Wenn Du also 2 Ports an einem Switch hast, dann ist es nach dem Aussachalten der UTM genauso, als ob du ein Netzwerkkabel mit beiden Enden in den Switch steckst...

Kann  da jemand was dazu sagen? Ist das als normal anzusehen, dass die Ports wenn die UTM aus ist, 'bridged' sind?

 

Gruß

Joerg

  • Hallo Jörg,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    When you say that "die UTM aus ist", do you mean that it's powered down?  If you have this looping issue then, I wonder if the problem isn't the switch.

    You've been around for a long time, so I trust that you aren't violating the middle line in #3.1 in Rulz (last updated 2019-04-17).

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    BAlfson

    Hallo Jörg,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    When you say that "die UTM aus ist", do you mean that it's powered down?  If you have this looping issue then, I wonder if the problem isn't the switch.

    Ja, genau. Wenn die UTM heruntergefahren wurde. Ich habe es mit mehreren Switches getestet (u.a. HP Prokurve 2510G, Aruba 2530G und kleine unmanaged Switche), das Ergebins war immer gleich. Das Netzwerk hängt dann...

    BAlfson

    You've been around for a long time, so I trust that you aren't violating the middle line in #3.1 in Rulz (last updated 2019-04-17).

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     

     
    Das stimmt allerdings, ich habe diese Regel für unsere Testsituation gebrochen, hast Du natürlich vollkommen recht! Allerdings war ich der Meinung, dass diese Regel sich auf Probleme im Betrieb (routing) bezieht und nicht auf Probleme im heruntergefahrenen Zustand...
     
    Wenn wir den Gedanken mal weiterführen, könnte das nämlich ja bedeuten, dass die an die UTM angeschlossenen Netzwerkgeräte, wenn die UTM heruntergefahren ist, miteinander verbunden sind...
    Das ist aber wirklich nur ein Gedankenspiel! Das habe ich nicht getestet!!
    Ich mache das, wenn ich wieder aus dem Urlaub zurück bin, sonst killt mich meine Frau... ;-)

    Gruß

    Joerg

  • In reply to effendi:

    Hi,

     

    um was für einen Switch handelt es sich? Hast Du auf dem Switch irgendwas auf den Ports konfiguriert?

    Das Fehlerbild ist jedenfalls sehr merkwürdig. Sofern die UTM ausgeschaltet ist (trotz Stromversorgung), sind die Ports eigentlich tot. Das Bridging ist ja auch erst aktiv, wenn die UTM gestartet ist. Vor dem Start und nach dem Shutdown ist der Kiste ja nicht bekannt, dass eine Bridge konfiguriert ist.

     

    Du könntest Dir ja mal die CPU am Switch prüfen, falls Du einen Loop vermutest.

  • I think you have discovered the bypass ports, which are intended for your data to allow some data to pass when the unit fails or loses power.  I believe the bypass pairs are a0-a1 and a2-a3.

    This link tells how to disable them.

    https://community.sophos.com/kb/en-us/127940

  • In reply to DouglasFoster:

    Hey Douglas, das muss es sein!!

    Gott sei Dank, ich dachte schon, ich fange an senil zu werden... ;-)

    Das 'feature' ist noch nicht so alt, oder?! Ich bin erst mit der letzten Revision darauf gestoßen...

     

    Ehrlich gesagt, sehe ich in diesem Feature wenig Sinn (oder überaupt keinen...). Warum sollte ich ungefiltert Traffic durchlassen wollen, wenn die UTM aus ist??

    Ich werde das für meine Kunden ausschalten oder meine Konfiguration auf der Firewall entsprechend ändern, da ich heulende Server (HP DL380 Ventilatoren drehen voll, wenn es loopt...) nicht so lustig finde...

     

    Danke Douglas

     

    Ciao

    Joerg (right back from Italy...)

  • In reply to effendi:

    Hallo Jörg

    Das Brücken der jeweils zwei Ports ist genau Dein Problem.

    Das hat Sophos bei den Rack-Size UTMs seit der letzten Revision eingeführt (ab SG210 bis SG450).

    Du siehst die gebrückten Ports "Bypass-Paare" jeweils auf dem Bild der Frontansicht

    https://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophos-sg-series-appliances-brna.pdf

    E0 ist immer mit E1 gebrückt und E2 immer mit E3.

    Dies führt nicht nur zu Loops wenn Du die Box ausschaltest, sondern auch, wenn Du diese neu startest (wenn Du also mal Effekte im Netzwerk hattest - wie alle Telefone starten neu - kennst Du jetzt eventuell den Grund ;-)).

    Bei der XG-Firewall ist es meines Wissens genau anders herum -> das Bypassing ist deaktiviert und muss zur Nutzung aktiviert werden.

    Wir haben uns aber angewöhnt, die Ports E1 und E2 deshalb überhaupt nicht zu verwenden.

    Denn seitens Sophos konnte uns niemand sagen, wie sich das Netzwerk verhält, wenn ich im Cluster eine kaputte Box tausche (RMA-Fall) und ich diese dann in Werkseinstellung (vorher nicht drauf angemeldet/ irgend etwas konfiguriert) in das bestehende Netzwerk stecke -> hier wird es sicher dann auch erst einmal einen Loop geben. Das Abschalten der Bypass-Funktion im Betriebssystem ist also nur die halbe Mite, wenn man HA nutzt. Hier hat wohn beim Design dieses Hardware-Features nicht jeder im Team mitgedacht - wir haben uns schon sehr darüber geärgert.

    Bei der XG wäre das vollkommen egal, weil man einen Slave eh erst auf das HA vorbereiten muss -> da hat allerdings auch niemand im Team gesagt: Schauen wir doch mal die Astaro (SG) an und nehmen wir uns daran ein Beispiel...

    LG, Janbo

  • In reply to Janbo Noerskau:

    Hallo Janbo,

    Du hast in meinen Augen vollkommen recht; man kann die Ports nicht (zusammen) nutzen.

    Ich fürchte nämlich, dass der Hack den Douglas beschrieben/gepostet hat,

      1. Login to the shell of the UTM as root with SSH or using a console port. 
      2. Type the commands listed below to turn off the bypass function:

              echo 0 > /sys/class/bypass/g3bp0/func
              echo 0 > /sys/class/bypass/g3bp1/func

    nicht 'Reboot Save' ist, gell?!

     

    LG

    Joerg

  • In reply to effendi:

    Moin Jörg

    Doch. Ich vermute, dass die Datei, die dort angelegt wird, beim Reboot ausgelesen wird. Man muss sicher nach der Erstellung die Box sogar durchstarten, damit sie es überhaupt erfährt.

    Aber auf einer "neuen" Box ist die Datei beim Booten halt nicht vorhanden -> also, wenn man einen HA-Verbund "repariert".

    Ich habe nie versucht, einen HA-Verbund zu fixen, indem ich ausschließlich die HA-Verbindung hergestelle habe, um erst nach dem Reboot den Rest zu verkabeln -> aber da denkt im Notfall ja keiner mehr dran. Deshalb nutzen wir die gebrückten Ports nicht und lassen sie "leer".

    Die Box hat ja eh genug Ports und ab der 310er dann auch SFP+ (10GB).

    Nichts desto trotz ist die ganze Diskussion und der ganze Ärger, den ich damit schon erlebt habe nervig. Das hätte Sophos besser lösen können -> eben so wie bei der XG (die ich ansonsten hasse wie die Pest...)

    Liebe Grüße aus Hamburg ;-)

    Janbo