This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing Problem Site-to-Site VPN

Morgen,

wir haben ein sehr kurioses VPN-Problem.

Beide Standorte haben die aktuelle UTM-Version 9-7005.

Am Standort A haben wir mehrere Webserver die wir von Standort B erreichen möchten.

Plötzlich waren die Server nicht mehr über den Proxy erreichbar. Ohne Proxy kann ich die Webserver erreichen.

Wenn ich von der UTM am Standort B versuche die Server am Standort A zu pingen kommt nichts mehr zurück. Von den Clients am Standort B funktioniert der ping immer noch.

Wenn ich die Standort B UTM neu starte geht alles wieder über mehrere Stunden. Anschließend habe ich wieder das selbe Problem.



This thread was automatically locked due to age.
Parents
  • Guten Morgen,

    das Klingt sehr spannend. Ich habe ein sehr ähnliches Problem mit einem Site-to-Site Ipsec Tunnel.Das Ping Problem ist 1:1 das gleiche, bei mir sind die Auswirkungen nur keine Webserver, sondern WLAN; das ist aber an dieser Stelle Egal.

    Kannst Du bitte einmal nachschauen, ob die nötigen Netze in den IPSEC Tunnel geroutet werden?

    Entweder über die CLI (Support -> Advanced -> Routig Tables) oder über die CLI via SSH (ip r s table ipsec)? Irgendwo müssten die Netze auftauchen. Bei mir sieht es so aus:

    <M> xxxx:/root # ip r s table ipsec
    <M> xxxx:/root #

    Auf einer anderen SG (gleiche Firmware, gleiche Config) sehe ich hier die IP Netze.

     

    Edit: Ich habe dazu schon einen Case bei Sophos seit einiger Zeit offen. Leider hat man bis jetzt in meinem Falle festgestellt, dass es kein Config Fehler sei, aber noch keine Root Cause gefunden.

     

    Viele Grüße

    Patrick

  • UTM:/home/login # ip r s table ipsec
    UTM:/home/login #

     

    Sieht aus wie bei dir

  • Spannend. Das Thema mit dem "geht ein paar Stunden" habe ich auch - aber noch etwas ausgeprägter. Wenn ich ein neues Netz zu dem Tunnel hinzufüge, funktioniert nur dieses Eine Netz; aber auch nur für kurze Zeit und verschwindet dann auch aus der Routing Table. Ich gehe hier also wirklich vorsichtig von einem Software-Fehler aus.

    Die IPSEC SAs sind im übrigen alle sauber da, die Objekte im CC sehen alle gut aus und auch in den generierten configs finde ich die Netze. Nur eben in der Routing Table nicht, was die Symptome ziemlich gut erklärt.

    Ich pack diesen Topic auch nochmal in den Case rein, evtl. bringt es was. Evtl. liest auch irgendjemand von Sophos das hier und kann uns helfen.

  • Wann hat das bei dir angefangen? Bei uns ist das Problem plötzlich aufgetaucht.

    Die UTM läuft ja schon seit Jahren ohne Probleme.

  • Den Tunnel  hab ich neu eingerichtet. Dann hats funktioniert und nach nem Failover hats dann geknallt.

    Lustigerweise versucht die ipsec-Dienst beim Failover die route zu löschen und beschwert sich im Log, dass er die Routen nicht findet. Ein bisschen kennen tut er die Netze also noch..

  • Hallo und herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Have you tried creating a new, duplicate tunnel configuration on both sides, disabling the existing one and then enabling the new one?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Hallo und herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Have you tried creating a new, duplicate tunnel configuration on both sides, disabling the existing one and then enabling the new one?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Hallo, ich habe soeben die Tunnel geklont. Mal schauen ob das was bringt.

    Wir hatten jetzt 4 Tage lang keine Probleme, bis heute Morgen.

  • Hi,

     

    danke für das Feedback! Den Tunnel hatte ich ja auch schon neu angelegt und er ist in kurzer Zeit "Kaputt" gegangen. Nachdem das ja anscheinend mehr Personen trifft, gehe ich persönlich hier von einem Software defekt aus. Ich warte noch auf die Antwort vom Sophos Support dazu. Ich muss mir halt sicher sein, dass es nicht an mehr Stellen kaputt geht und hätte daher gerne ein Root Cause ermittelt.

    Vg

    Patrick

  • die Lösung: Es scheint ein Software-Fehler zu sein. Wenn ich den Tunnel neu einrichte geht es, bis ich Änderungen an einem Interface (in diesem Falle WLAN-Interface) vornehme. Danach verschwinden die routen aus der Tabelle. Das verhalten ist reproduzierbar. Der Case ist bei Sophos mit dem Hinweis hinterlegt.

  • Das Problem wurde vom Support nachgestellt und liegt nun bei den Entwicklern. Das nur der Vollständigkeithalber, falls irgendwer diesen Topic irgendwann mal finden sollte ;-)