Sophos red 15 in Betrieb nehmen

Hallo Kollegen,
ich möchte eine RED-15 in Betrieb nehmen. Diese soll an einen Speedport W723V Typ B angeschlossen werden. Der Provider ist Deutsche Telekom AG.  Der Speedport hat wanseitig ne feste IP. (Business Anschluss)

Soweit so gut. Eine Verbindung zur sophos UTM9 kann leider nicht aufgebaut werden.
Wenn ich mir die LEDs des Gerätes anschaue  (Error States) sieht das bei mir kurz vor dem Neustart so aus, dass die Power LED an ist, die System LED rot blinkt, die Router LED an  ist und Internet blinkt, Tunnel ist komplett aus.  Also das, was unter https://community.sophos.com/kb/en-us/116173 neben  (Gateway is reachable, but mobile broadband connection failed. No connection to ASG/UTM or provisioning service.) steht.

Die Red ist am Speedport sichtbar, ich sehe die Macadresse und sehe auch, dass hier eine IP zugewiesen wurde.  Ich kann diese IP auch anpingen. Beim Neustart der Red geht der ping natürlich weg.
Am Speedport sind port 3000 bis 3500 TCP und UDP für das Gerät per Nat-Firewall freigegeben.

Was kann ich tun, damit die Red sich verbindet?
Ich habe es auch an einem anderen Standort ausprobiert mit dem gleichen Ergebnis.



  • RED braucht bei der Erstverbindung eine DHCP Adresse.

    Für die RED muss DNS, HTTPS und folgende Ports freigeschaltet werden:

    RED 10TCP 3400 + UDP 3400

    RED 15TCP 3400 + UDP 3410

    RED 50TCP 3400 + UDP 3410

     

    Die RED verbindet sich zu den Sophos Cloud und anhand der RED ID wird die Config dann übergeben und dann baut diese die Verbindung zu deiner Sophos Firewall

  • In reply to dimon:

    Hallo Dimon,
    danke für die Antwort. Die Red ist ist auch eingetragen in der UTM9.
    Die Verbindung wird aber nicht aufgebaut.

    Die Red war früher mal kurzzeitig im Lan (was man nicht machen soll) und wurde dann mit der ID registriert. Anschließend wurde sie wieder deaktiviert, weil dann kein Internet intern funktioniert hat.
    Kann man die Red irgendwie komplett resetten? Ist es möglich per Konsolen-Kabel auf das Gerät zuzugreifen?

  • In reply to Klaus Kinsky:

    für RED10 hatte ich mal folgendes benutzt. Keine Ahnung ob das mit der 15er auch funktioniert

    community.sophos.com/.../118843

  • In reply to dimon:

    Hallo Dimon,
    gibt es da vielleicht nicht noch eine andere Möglichkeit?
    Die red ist ja nicht gebrickt, sonst wäre sie ja nicht anpingbar.
    Das die Internet LED nicht dauerhaft grün wird kann ja nicht den Grund haben,
    das sie mal kurzzeitig im LAN war.

  • In reply to Klaus Kinsky:

    nicht das ich wüsste...

    Hänge die RED ins LAN oder DMZ.

    Wie gesagt die RED braucht eine DHCP IP-Adresse mit GW und DNS. TCP 3400 + UDP 3410, DNS und HTTPS müssen nach außen geöffnet werden und die Maskierung für die RED darf nicht fehlen. Dann sollte es funktionieren.

    Hast du in der Firewall auch ein Interface für die RED angelegt? Interface danach eingeschaltet? In der RED Konfiguration den richtigen UTM Hostnamen hinterlegt?

  • In reply to dimon:

    dimon
    Hänge die RED ins LAN oder DMZ.


    Im LAN hat sie den gesamten internen Internetverkehr zum Stillstand gebracht. Laut dem englischen Beipackzettel, soll man sie auch nicht ins LAN hängen. Warum, wurde leider von Sophos nicht gesagt.

     


    Wie gesagt die RED braucht eine DHCP IP-Adresse mit GW und DNS.


    Das bekommt sie, wie jeder andere Client am remote Standort bisher auch, vom Speedport.


    TCP 3400 + UDP 3410, DNS und HTTPS müssen nach außen geöffnet werden und

    Der Gesamte Port-Range ist für die IP der Red freigegeben und über eine NAT Regel am speedport geöffnet.


    die Maskierung für die RED darf nicht fehlen. Dann sollte es funktionieren.


    Was bedeutet in diesem Fall Maskierung?


    Hast du in der Firewall auch ein Interface für die RED angelegt? Interface danach eingeschaltet? In der RED Konfiguration den richtigen UTM Hostnamen hinterlegt?



    Ja und auch eine Firewallregel mit der RED als Quelle und dem Ziel any und auch den diensten any.

    Der IP-Adressbereich 192.168.44.X /24 wird natürlich nicht am Hauptstandort verwendet.  Er soll von der RED am remote-Standort verwendet werden.
    Es kann also auch keine IP-Adressüberschneidung passieren.
    Der speedport am remote-standort verteilt LAN-seitig Adressen aus dem Bereich 192.168.1.X Die Red hat die IP 192.168.1.54 per DHCP am remote-Standort zugewiesen bekommen. Ich habe auch die komplette MAC, aufgedruckt auf der RED, mit der MAC verglichen, die der Speedport nach dem login anzeigt wird.

  • In reply to Klaus Kinsky:

    sieht soweit alles richtig aus.

    Hast du die RED neu oder gebraucht gekauft? Wenn du Sie gebraucht gekauft hast, dann musst du umbedingt den Unlock code eintragen.

    Was mich stutzig macht, dass Sie dein LAN Netzwerk lahm legt.

    Welche LEDs blinken wie? Vielleicht hilft dir diese Anleitung community.sophos.com/.../116173

  • In reply to dimon:

    dimon

    Hast du die RED neu oder gebraucht gekauft? Wenn du Sie gebraucht gekauft hast, dann musst du umbedingt den Unlock code eintragen.


    Die Red wurde fabrikneu gekauft.
    Das Dokument kb116173 habe ich bereits im ersten Post dieses Threads verlinkt, wo ich auch die LEDs beschrieben habe.
    Internet leuchtet nicht dauerhaft grün. Ich versuche ja schon meine Hausaufgaben zu machen, bevor ich hier Fragen stelle :.)

     

    Der Code wäre also  „Connection to router successful .
    Trying ASG/UTM or provisioning server connect“.

    Bzw Gateway is reachable, but mobile broadband connection failed.
    No connection to ASG/UTM or provisioning service.

    Was ist hier gemeint mit Gateway bzw. Router? Das standardgateway des Remote-Standortes, also mein Speedport-router oder ist mit Gateway die UTM9 am Hauptstandort gemeint?

    Rein der Logik der LEDs müsste es für mich der Speedport-router sein, da die Internet LED ja wohl eine Internetverbindung signalisieren soll und die wohl nicht aufgebaut wird.

     

     

     

    dimon

    Was mich stutzig macht, dass Sie dein LAN Netzwerk lahm legt.

    Mich auch, ich meine ich habe irgendwo gelesen, dass man die Red nicht ins LAN anschliessen soll, ich finde das jetzt allerdings nicht mehr.

    Vielleich kann hier ne routingschleife entstehen?

    Im log am Hauptstandort steht
    2017:08:11-00:02:52 XYZ-Astaro9-1 red_server[7326]: SELF: (Re-)loading device configurations

    2017:08:11-01:02:46 XYZ-Astaro9-1 red_server[7326]: SELF: (Re-)loading device configurations

    2017:08:11-03:17:51 XYZ-Astaro9-1 red_server[7326]: SELF: (Re-)loading device configurations

    2017:08:11-04:02:56 XYZ-Astaro9-1 red_server[7326]: SELF: (Re-)loading device configurations

    2017:08:11-05:17:23 XYZ-Astaro9-1 red_server[5488]: Self: SSL accept attempt failed with unknown error error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol

    2017:08:11-05:17:23 XYZ-Astaro9-1 red_server[5489]: Self: SSL accept attempt failed with unknown error error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol

    2017:08:11-06:02:52 XYZ-Astaro9-1 red_server[7326]: SELF: (Re-)loading device configurations


    Ich kann allerdings ausschließen, dass die RED heute angeschlossen war.

  • In reply to Klaus Kinsky:

    ich habe mittlerweile 47 REDs an meine FW angebunden und nie Probleme gehabt. Auch eine RED ist testweise im LAN zsm mit der FW und das Netzwerk steht.

     

    Ich würde jetzt an deiner Stelle einfach mal ein Support Ticket bei Sophos aufmachen.

  • In reply to dimon:

    dimon

    Ich würde jetzt an deiner Stelle einfach mal ein Support Ticket bei Sophos aufmachen.



    Dies mache ich hier ?

    myutm.sophos.com

  • In reply to Klaus Kinsky:

    Im der Firewall > Support >Contact Support 

    All support cases are processed via the Sophos NSG Partner Portal, which is accessible at https://myutm.sophos.com. You may open a support case via a web form by clicking the Open Support Ticket in New Window button.

  • In reply to dimon:

    Ok, vielen Dank für deine Hilfe bis jetzt. Ticket ist jetzt auf gemacht.

    Wenn es was neues gibt, schreibe ich es hier.

  • In reply to Klaus Kinsky:

    Vermutlich wirst Du die Antwort bekommen, dich an Deinen Reseller zu wenden.

    Was Du am Speedport an NAT eingerichtet hast ist INBOUND, interessiert die RED herzlich wenig, die muss OUTBOUND über diese Ports kommunizieren können.
    Wenn an der UTM keine RED-Verbindung ankommt kann entweder die Config für die RED dort falsch sein (die Provisionierung läuft auf falsche Adressen), die UTM steht nicht direkt im Internet und die für die RED-Verbindung benötigten Ports kommen nicht bei ihr durch oder die RED kommt erst gar nicht über den Speedport hinaus.