Sophos XG 135 ständige Internetverbindungsabbrüche

Guten Morgen zusammen,

folgendes Szenario:

Unsere Zweigstelle ( 2x Sophos XG 135 ursprünglich im HA konfiguriert)   ist per IPSec-VPN mit unserer Verwaltung (Sophos XG 310 im HA konfiguriert) verbunden.

Der Internetzugriff erfolgt über das dort existierende Gateway, der Netzwerkverkehr wird also geteilt, so dass nur Serverzugriffe untereinander stattfinden. 

Seit dem in der Zweigestelle auf die Sophos XG 135 (SFOS 17.5.8 MR-8) gewechselt wurde haben die User dort mit regelmäßigen Internetabbrüchen zu kämpfen.

Komischerweise bricht weder der VPN Tunnel der Zweigstellen, noch die der User ab, das Internet scheint aber für besagten Zeitraum geblockt zu werden.

Ebenfalls erfolgt keine Meldung über einen Internetabbruch. Für ca. 2 Minuten haben die User keine Möglichkeit Websites aufzurufen.

Bereits bestehende Verbindungen, beispielsweise ein Download oder eine TeamViewer Sitzung laufen ebenfalls weiter, was die ganze Sache noch komischer macht.

Folgende Tests haben wir bereits durchgeführt.

 

1. Provider kontaktiert- Dieser prüfte die Leitung mehrere Tage durch, und konnte keine Probleme feststellen.

2. Den HA Modus deaktiviert, sodass die Sophos gerade als Standalone läuft

3. Eine Firewallregel für die User erstellt ohne irgendwelche Sicherheitsmechanismen

4. DNS Server verändert von Google bis zum DNS Server des Providers 

5. Die Maskierung auf "Standard des Gateways" gestellt, ohne Maskierung funktioniert das Internet generell nicht.

6. Automatische Sicherheitsupdates und Patternupdates deaktiviert 

7. Alte Firewall (Bintec) angeschlossen --> Keine Fehler

 

All diese Tests waren leider erfolglos. Auch eine Loganalyse durch Sophos ergab keine Erkenntnis.

Ich hoffe ihr hättet Tipps für mich wie wir dieses Problem lösen können.

 

 

  • Hi  

    The reported issue is strange.

    I would suggest you place a switch between ISP connection and XG and connect a system and to switch.

    When there is an outage please ping from Sophos XG console and the PC to any public IP at the same time to check the Internet connectivity.

    The tests are performed by you is correct, you can contact technical support and raise a service request to investigate the issue further.

    Make sure the Interface negotiation/ARP between ISP and XG is ideal and physical cable has no issues.

  • In reply to Keyur:

    Hi Keyur,

    der ISP Router hat 2 Lan Ports. Wir haben beide getestet. Einmal über die Sophos und einmal direkt einen Client verbunden.

    Der Client bleibt im Internet und Pings gehen durch. Die Sophos aber meldet Timeouts bei den Pings während der Abbrüche.

    Über den WAN Port ist die Sophos mit 100mbps Vollduplex an dem ISP Router verbunden (Automatische Aushandlung) . 

  • In reply to Frank Tasche:

    Wahrscheinlich kein Problem das mit IPSec zusammenhängt. Die Defaultroute von Remotestandort in die Zentrale? User in der Zentrale können surfen und User am Remotestandort nicht?  Kann man die Geräte in der Zentrale noch erreichen?

    Konfiguration sichern, Firewall komplett neu installieren und Backup einspielen. Oder das Ganze mit der zweiten Firewall aus dem ursprünglichen Cluster probieren.

    Wir hatten hier ein ähnliches Phänomen mit einem Cluster. Es war unabhängig von der IPSec Verbindung so dass die Anwender nicht mehr ins Internet konnten. Der Webzugriff lief ebenfalls nicht mehr. Per ssh kam an über SSL/VPN noch auf die Firewall und konnte neu starten. Danach lief wieder alles. Soweit sich das feststellen liess gab es auch ein Problem mit der HA Synchronisation ...

    Vielleicht auch mal die HA Synchronisation in der Zentrale auf Auffälligkeiten prüfen. Das HA läuft bei weitem nicht so stabil wie man es von Kemp, Sophos SG oder Fortigate kennt ...

  • In reply to BeEf:

    Ein Workaround könnte sein, den Internettraffic testweise durch die Zentrale zu routen.

    Ich würde (falls noch nicht geschen) die Verkabelung prüfen und den Switch auf auffällige Einträge auf der WAN Seite in den Logdateien prüfen.