This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Netzwerkport 'bridged' wenn UTM aus (Looping wenn 2 Ports mit einem Switch verbunden sind)

Hallo Leute,

 

wir hatten jetzt 2 Mal das Problem (bei SG210 und SG230), dass in einer Konfiguration mit 2 Newtzwerkports an einem Switch dieser nach dem Herunterfahren der UTM keine Pakete mehr transportierte. Wir haben das analysiert und festgestellt, dass die Netzwerkports nach dem Herunterfahren der UTM quasi kurzgeschlossen sind. Wenn Du also 2 Ports an einem Switch hast, dann ist es nach dem Aussachalten der UTM genauso, als ob du ein Netzwerkkabel mit beiden Enden in den Switch steckst...

Kann  da jemand was dazu sagen? Ist das als normal anzusehen, dass die Ports wenn die UTM aus ist, 'bridged' sind?

 

Gruß

Joerg



This thread was automatically locked due to age.
Parents
  • I think you have discovered the bypass ports, which are intended for your data to allow some data to pass when the unit fails or loses power.  I believe the bypass pairs are a0-a1 and a2-a3.

    This link tells how to disable them.

    https://community.sophos.com/kb/en-us/127940

  • Hey Douglas, das muss es sein!!

    Gott sei Dank, ich dachte schon, ich fange an senil zu werden... ;-)

    Das 'feature' ist noch nicht so alt, oder?! Ich bin erst mit der letzten Revision darauf gestoßen...

     

    Ehrlich gesagt, sehe ich in diesem Feature wenig Sinn (oder überaupt keinen...). Warum sollte ich ungefiltert Traffic durchlassen wollen, wenn die UTM aus ist??

    Ich werde das für meine Kunden ausschalten oder meine Konfiguration auf der Firewall entsprechend ändern, da ich heulende Server (HP DL380 Ventilatoren drehen voll, wenn es loopt...) nicht so lustig finde...

     

    Danke Douglas

     

    Ciao

    Joerg (right back from Italy...)

  • Hallo Jörg

    Das Brücken der jeweils zwei Ports ist genau Dein Problem.

    Das hat Sophos bei den Rack-Size UTMs seit der letzten Revision eingeführt (ab SG210 bis SG450).

    Du siehst die gebrückten Ports "Bypass-Paare" jeweils auf dem Bild der Frontansicht

    https://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophos-sg-series-appliances-brna.pdf

    E0 ist immer mit E1 gebrückt und E2 immer mit E3.

    Dies führt nicht nur zu Loops wenn Du die Box ausschaltest, sondern auch, wenn Du diese neu startest (wenn Du also mal Effekte im Netzwerk hattest - wie alle Telefone starten neu - kennst Du jetzt eventuell den Grund ;-)).

    Bei der XG-Firewall ist es meines Wissens genau anders herum -> das Bypassing ist deaktiviert und muss zur Nutzung aktiviert werden.

    Wir haben uns aber angewöhnt, die Ports E1 und E2 deshalb überhaupt nicht zu verwenden.

    Denn seitens Sophos konnte uns niemand sagen, wie sich das Netzwerk verhält, wenn ich im Cluster eine kaputte Box tausche (RMA-Fall) und ich diese dann in Werkseinstellung (vorher nicht drauf angemeldet/ irgend etwas konfiguriert) in das bestehende Netzwerk stecke -> hier wird es sicher dann auch erst einmal einen Loop geben. Das Abschalten der Bypass-Funktion im Betriebssystem ist also nur die halbe Mite, wenn man HA nutzt. Hier hat wohn beim Design dieses Hardware-Features nicht jeder im Team mitgedacht - wir haben uns schon sehr darüber geärgert.

    Bei der XG wäre das vollkommen egal, weil man einen Slave eh erst auf das HA vorbereiten muss -> da hat allerdings auch niemand im Team gesagt: Schauen wir doch mal die Astaro (SG) an und nehmen wir uns daran ein Beispiel...

    LG, Janbo

    ---

    janbo.noerskau@comedia.de UTM lover ;-)

Reply
  • Hallo Jörg

    Das Brücken der jeweils zwei Ports ist genau Dein Problem.

    Das hat Sophos bei den Rack-Size UTMs seit der letzten Revision eingeführt (ab SG210 bis SG450).

    Du siehst die gebrückten Ports "Bypass-Paare" jeweils auf dem Bild der Frontansicht

    https://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophos-sg-series-appliances-brna.pdf

    E0 ist immer mit E1 gebrückt und E2 immer mit E3.

    Dies führt nicht nur zu Loops wenn Du die Box ausschaltest, sondern auch, wenn Du diese neu startest (wenn Du also mal Effekte im Netzwerk hattest - wie alle Telefone starten neu - kennst Du jetzt eventuell den Grund ;-)).

    Bei der XG-Firewall ist es meines Wissens genau anders herum -> das Bypassing ist deaktiviert und muss zur Nutzung aktiviert werden.

    Wir haben uns aber angewöhnt, die Ports E1 und E2 deshalb überhaupt nicht zu verwenden.

    Denn seitens Sophos konnte uns niemand sagen, wie sich das Netzwerk verhält, wenn ich im Cluster eine kaputte Box tausche (RMA-Fall) und ich diese dann in Werkseinstellung (vorher nicht drauf angemeldet/ irgend etwas konfiguriert) in das bestehende Netzwerk stecke -> hier wird es sicher dann auch erst einmal einen Loop geben. Das Abschalten der Bypass-Funktion im Betriebssystem ist also nur die halbe Mite, wenn man HA nutzt. Hier hat wohn beim Design dieses Hardware-Features nicht jeder im Team mitgedacht - wir haben uns schon sehr darüber geärgert.

    Bei der XG wäre das vollkommen egal, weil man einen Slave eh erst auf das HA vorbereiten muss -> da hat allerdings auch niemand im Team gesagt: Schauen wir doch mal die Astaro (SG) an und nehmen wir uns daran ein Beispiel...

    LG, Janbo

    ---

    janbo.noerskau@comedia.de UTM lover ;-)

Children
  • Hallo Janbo,

    Du hast in meinen Augen vollkommen recht; man kann die Ports nicht (zusammen) nutzen.

    Ich fürchte nämlich, dass der Hack den Douglas beschrieben/gepostet hat,

      1. Login to the shell of the UTM as root with SSH or using a console port. 
      2. Type the commands listed below to turn off the bypass function:

              echo 0 > /sys/class/bypass/g3bp0/func
              echo 0 > /sys/class/bypass/g3bp1/func

    nicht 'Reboot Save' ist, gell?!

     

    LG

    Joerg

  • Moin Jörg

    Doch. Ich vermute, dass die Datei, die dort angelegt wird, beim Reboot ausgelesen wird. Man muss sicher nach der Erstellung die Box sogar durchstarten, damit sie es überhaupt erfährt.

    Aber auf einer "neuen" Box ist die Datei beim Booten halt nicht vorhanden -> also, wenn man einen HA-Verbund "repariert".

    Ich habe nie versucht, einen HA-Verbund zu fixen, indem ich ausschließlich die HA-Verbindung hergestelle habe, um erst nach dem Reboot den Rest zu verkabeln -> aber da denkt im Notfall ja keiner mehr dran. Deshalb nutzen wir die gebrückten Ports nicht und lassen sie "leer".

    Die Box hat ja eh genug Ports und ab der 310er dann auch SFP+ (10GB).

    Nichts desto trotz ist die ganze Diskussion und der ganze Ärger, den ich damit schon erlebt habe nervig. Das hätte Sophos besser lösen können -> eben so wie bei der XG (die ich ansonsten hasse wie die Pest...)

    Liebe Grüße aus Hamburg ;-)

    Janbo

    ---

    janbo.noerskau@comedia.de UTM lover ;-)