Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 5 subscribers
  • Views 15773 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Der Proxy lädt ständig seine Config und steht dabei

André Bräuer

Hallo zusammen,

wir haben hier zwei UTM 525 im Einsatz. Die beiden Appliance wurden Dezember 2013 angeschafft. Verbaut sind jeweils 2 HDD’s an einem LSI-Raidcontroller. Beide Appliance laufen zusammen im HA. Wir haben hier folgendes Problem und wissen jetzt einfach nicht mehr weiter. Vielleicht kennt jemand dieses Verhalten.

Seit Oktober letzten Jahres, lädt der Proxy seine Config in unregelmäßigen Abständen neu. Dies macht er bis zu 250-mal am Tag. Dies ist erstmal nicht ungewöhnlich. Ich habe die Log-Files dementsprechend seit Januar 2016 ausgewertet.

Hier ein Beispiel.

Für den heutigen Tag (07:30) hat er es 115-mal getan.(<M> fw1:/var/log # grep "reloading config" http.log |wc –l) -> 460

Für den gesamten Monat März 2017 (ab 03.03.) hat er es 3257-mal getan. (<M> fw1:/var/log/http/2017/03 # zgrep "reloading config" http*.log.gz |wc –l ->13028)

Man muss die Anzahl durch 4 nehmen, da in den Logs „reloading config“ 4-mal auftaucht. Einmal für den Start des Reloadings, für das done des Reloadings und das für 2 UTM’s.

Für den gesamten Monat September 2016 waren es gerade 182-mal.

Während des Ladens der Config steht der Proxy. Es nicht möglich über die Dienste des Proxys nach draußen zu kommen. Die bestehenden Verbindungen frieren ein. Dies kann bis zu 5min dauern.

Was haben wir getan.

Wir haben die Viren-Engine von Double-Scan auf Single-Scan umgestellt.

Wir haben alle dynamischen Hosts / Groups (DNS-Host / DNS-Group) im Proxy für „Allowed Networks“ in statische umgewandelte.

Wir haben am 03.03. ein Re-Image der beiden UTM’s durchgeführt. Wir haben den HA aufgelöst und die erste Seite mit der aktuellen UTM-Version installiert. Wir haben dann ein aktuelles Backup eingespielt. Die neue Seite hat dann ihren Dienst übernommen und es funktionierte auch alles. Dann haben wir die zweite Seite neuinstalliert und den HA wiederaufgebaut. Ein Failover durchgeführt und es funktionierte alles wie es sollte. Die Maßnahmen haben leider nicht geholfen, es gibt keine Verbesserung. Im Gegenteil es wird immer schlimmer.

Ich hoffe, dass jemand weiß was wir noch tun können.

VG André



This thread was automatically locked due to age.
  • 0

    Könnten die vorhandenen Webfilterprofile mal deaktiviert werden und eine neues Profil erzeugt werden? Gibt es dann noch immer diese Probleme?

  • 0 in reply to ThorstenSult

    Guten Morgen,

    vielen Dank für den Tipp.

    Wir haben vor zwei Wochen unser erstes "Web Filter Profiles" angelegt, da bestand das Problem bereits.

    Wir arbeiten sonst mit dem "Default Web Filter Profile".

    Ist es dennoch einen Versuch wert?

    VG André

  • 0 in reply to André Bräuer

    Hi Andre,

    welche Firmware Version? Falls du die 9.409 verwendest ist das Problem erklärbar. Die hatte wegen der fehlerhaften Sophos Scanengine unter anderem genau solche Probleme verursacht. Wenn dem so ist spiel die 9.411 auf. Wenn das bei der 9.411 auch auftritt würde ich ein case bei Sophos über deinen Partner eröffnen.

    vg

    mod

  • 0 in reply to mod2402

    Hallo,

     

    wie angesprochen: Case eröffnen (Partner oder selbst, wenn man Support hat), wenn das Verhalten weiterhin mit 9.411 auftritt.

     

    Ggf. überprüfen, ob man Core Dumps hat im Proxy (/var/storage/cores/)

     

    Gruß Luca.

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo zusammen,

    danke für die Infos.

     

    Wir haben ein Re-Image auf die 9.411-3 gemacht und ein Backup eingespielt. Das Verhalten blieb immer das gleiche.

    Wir haben ein Case bei Sophos eröffnet. Sie meinen, dass die Config einen Knack hat.

     

    Es sind keine Core-Dumps abgelegt.

     

    Ich werde jetzt die Konfiguration 1 zu 1 abschreiben und hätte damit eine frische Config. Hat jemand dazu eine Idee wie es am schnellsten gehen könnte?

     

    VG André

  • 0 in reply to André Bräuer

    Hallo André,

    Erstmal herzlich Willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Sometimes the Up2Date process mangles part of a configuration update.  Before re-configuring, try a restore from a backup made prior to the last Up2Dates that you applied.  Any better luck with that?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    Hallo André,

    der folgende Thread hat mir als Home User geholfen:

    Ich hatte dynamische Einträge (VPN User) innerhalb von deaktivierten (!) Exception-Regeln, die speziell bei iOS On-Demand VPN (sehr häufige Connects/Disconnects) zu hunderten von Reloads am Tag führten. Vllt. bringt euch das weiter.

    Viele Grüße

    Dom Nik

  • 0 in reply to DomNik

    Guten Morgen zusammen,

    vielen Dank für die Tipps.

    Den Eintrag im Forum habe ich zu einer früheren Zeit meines Problems gefunden und ich bin nicht dran geblieben.

    Ich schau gleich mal alles durch.

     

    VG André

  • 0 in reply to André Bräuer

    Hallo zusammen,

    wir haben jetzt die UTM neu aufgesetzt und die Konfiguration händisch von der „alten UTM“ auf die „neue UTM“ übertragen.

    Zurzeit sieht es so aus, dass sie dieses Verhalten, des ständigen Nachladens weiterhin zeigt. Es kam bisher zu keinen Aussetzern in der Verbindung in das Internet bzw. im Service des Proxys.

    /var/log/http/2017/04 # zgrep "reloading config" http*.log.gz |wc –l -> 1086 (ab 21.04.17)

    /var/log # grep "reloading config" http.log |wc –l -> 120 (27.04.2017) -> 60mal die config neugeladen

    Zurzeit läuft nur eine Hälfte unseres HA. Die alte Seite habe noch im Betrieb, um noch einmal nach schauen zu können, wenn etwas nicht passt.

     VG André

    @Bob

    Wir hatten leider kein Backup mehr.

Unfiltered HTML