Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 24 replies
  • Answers 1 answer
  • Subscribers 9 subscribers
  • Views 76641 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED down and up, Interface bleibt down

UweLeuckert

Hallo wir haben diverse REDs an einer redundanten SG430.
Ich pinge an das Interface mit der RED aus dem entfernten LAN und an eine Maschine dahinter.

Der Effekt:
Ich schalte das RED down, beide Pings gehen weg.
Ich schalte das RED wieder up, kein Ping kommt wieder. Erst nachdem ich auf das Interface gehe und dieses einmal kurz down und up schalte laufen die Pings wieder an.

Getestet mit RED 10 und RED 15, die 50er will ich nicht, da hängt zu viel dran.

Ich bin nicht sicher aber ich glaube fest, das war nicht immer so. Konfig-Fehler? Denkfehler? Bug?

Hat jemand Hinweise?

Danke

Uwe



This thread was automatically locked due to age.
  • 0
    Was sieht man in der logs - Firewall, IPS, RED ?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    Vielen Dank für den Hinweis. Wir konnten das Problem reproduzieren und es handelt sich in der Tat um einen Bug.

  • 0 in reply to BAlfson

    RED Livelog während eines initiierten Disconnects

    2016:02:29-16:10:59 lgst-fw-02-1 red_server[27762]: A350196D7AFC96D: PING remote_tx=0 local_rx=0 diff=0
    2016:02:29-16:10:59 lgst-fw-02-1 red_server[27762]: A350196D7AFC96D: PONG local_tx=0
    2016:02:29-16:11:00 lgst-fw-02-1 red_server[8990]: Kicking device A350196D7AFC96D as it was deactivated.
    2016:02:29-16:11:00 lgst-fw-02-1 red_server[27762]: id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="A350196D7AFC96D" forced="1"
    2016:02:29-16:11:00 lgst-fw-02-1 red_server[27762]: A350196D7AFC96D is disconnected.
    2016:02:29-16:11:18 lgst-fw-02-1 red_server[32073]: SELF: New connection from 87.157.167.103 with ID A350196D7AFC96D (cipher AES256-GCM-SHA384), rev1
    2016:02:29-16:11:18 lgst-fw-02-1 red_server[32073]: A350196D7AFC96D: connected OK, pushing config
    2016:02:29-16:11:18 lgst-fw-02-1 red_server[32073]: A350196D7AFC96D: Sending PEERS+%meineip%
    2016:02:29-16:11:22 lgst-fw-02-1 red_server[32073]: A350196D7AFC96D: command 'UMTS_STATUS value=OK'
    2016:02:29-16:11:22 lgst-fw-02-1 red_server[32073]: A350196D7AFC96D: command 'PING 0 uplink=WAN'
    2016:02:29-16:11:22 lgst-fw-02-1 red_server[32073]: id="4201" severity="info" sys="System" sub="RED" name="RED Tunnel Up" red_id="A350196D7AFC96D" forced="0"
    2016:02:29-16:11:22 lgst-fw-02-1 red_server[32073]: A350196D7AFC96D: PING remote_tx=0 local_rx=0 diff=0
    2016:02:29-16:11:22 lgst-fw-02-1 red_server[32073]: A350196D7AFC96D: PONG local_tx=0
    2016:02:29-16:11:36 lgst-fw-02-1 red_server[32073]: A350196D7AFC96D: command 'PING 0 uplink=WAN'
    2016:02:29-16:11:36 lgst-fw-02-1 red_server[32073]: A350196D7AFC96D: PING remote_tx=0 local_rx=0 diff=0
    Für mich erstmal nichts auffälliges
    Das Firewall Log meldet in der ganzen Zeit in dem IP-Netz gar nichts, erst wenn ich die Schnittstelle down und up gesetzt habe genau wieder das was sie soll.
    Das IPSec-VPN Prot meldet während des gesamten Vorgangs gar nichts.
  • 0 in reply to joney

    Firmware ist ganz frisch 9.355-1 und das Problem besteht weiterhin. Aber dann besteht ja jetzt Hoffnung auf einen Bugfix :)

  • +1

    Wir haben ein ähnliches Problem. Wir haben kürzlich 22 RED 15 ausgerollt, und haben gelegentlich (ohne erkennbare Logik) das Problem, dass die Subnets hinter den REDs nach einem Verbindungsneuaufbau (DSL kurz unterbrochen etc.) nicht mehr erreichbar sind, obwohl der Tunnel steht. Ein Ein/Aus auf dem Interface der UTM hilft dann, bzw. ein Reboot des RED vorort. Wir haben einen SG310-Cluster hier mit UTM 9.355-1.

    Wir öffnen heute einen Call dazu bei SOPHOS. Das Problem ist recht unangenehm, zumal man weder im Log noch über die Benachrichtigungen was mitbekommt. Für die UTM ist der Tunnel oben, auch wenn er IP-seitig nicht funktioniert. Erst die User vorort merken, das nichts geht.


    mfg, Jan

  • 0 in reply to JanGross

    Hallo zusammen,

    wir haben das gleiche Problem. RED 15 hinter einer FritzBox 3xxx und dynamischer öffentlicher IP-Vergabe, Verbindung zu einer UTM120 mit Firmware 9.355-1 mit fester IP. Nach dem DSL-Reconnect der FritzBox sind keine Geräte des RED-Netzes vom UTM Netz aus pingbar. RED-Verbindung wird aber als "Online" in der UTM angezeigt, RED-Log zeigt auch keine Auffälligkeiten. DHCP auf der RED-Seite funktioniert ebenfalls nicht mehr.

    Hat schon jemand mit der Firmware 9.4 getestet? https://blogs.sophos.com/2016/03/18/sophos-utm-elevated-9-4-is-now-available/

    Viele Grüße,

    Patrick

  • 0 in reply to patrick.schneider

    Laut telefonischer Auskunft des SOPHOS-Supports soll das Problem mit 9.4 gefixt sein. Wir haben das aber noch nicht getestet, wir warten auf das reguläre Erscheinen der 9.4 im Up2Date.


    Jan

  • 0 in reply to JanGross

    Hallo Jan,

    danke für die Antwort - wir haben uns ebenfalls entschlossen, auf das reguläre Up2Date Package zu warten und haben die Kollegen instruiert, morgens die RED neu zu starten.

    Viele Grüße,

    Patrick

  • 0 in reply to patrick.schneider

    Tritt das Problem bei dir bei jedem DSL-Reconnect auf? Bei uns kam es nur hoch, wenn es Probleme mit dem DSL gab, also die Synchronisation weggeflogen ist und dadurch die Verbindung länger unterbrochen war.

    Die reguläre Umgehung der Zwangstrennung durch kurzes Trennen der Verbindung (einer der Gründe für uns, Fritzboxen einzusetzen), dauert ja nur wenige Sekunden, das bekommt das RED bzw. die UTM gar nicht mit. Das Ping/Pong-Intervall auf dem WAN-Interface liegt ja bei 30 Sekunden. Da wir zwar dynamisch vergebene, aber feste IPs an den DSL haben, wird der Tunnel nicht unterbrochen.


    Jan

  • 0 in reply to JanGross

    Hi,

    das kann ich noch nicht genau beurteilen - wir haben die RED15 erst gestern nachmittag deployed, heute morgen trat das Problem aber schon direkt auf (T-Com DeutschlandLAN IP Start ohne feste IP). 

    Da das UTM-RED Log nichts hergibt, kann ich auch nicht genau sagen, ob das Problem genau zu dem Zeitpunkt des DSL-Reconnects auftrat, gehe aber davon aus.

Unfiltered HTML