Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 15 replies
  • Subscribers 43 subscribers
  • Views 9002 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG 135 ständige Internetverbindungsabbrüche

Frank Tasche

Guten Morgen zusammen,

folgendes Szenario:

Unsere Zweigstelle ( 2x Sophos XG 135 ursprünglich im HA konfiguriert)   ist per IPSec-VPN mit unserer Verwaltung (Sophos XG 310 im HA konfiguriert) verbunden.

Der Internetzugriff erfolgt über das dort existierende Gateway, der Netzwerkverkehr wird also geteilt, so dass nur Serverzugriffe untereinander stattfinden. 

Seit dem in der Zweigestelle auf die Sophos XG 135 (SFOS 17.5.8 MR-8) gewechselt wurde haben die User dort mit regelmäßigen Internetabbrüchen zu kämpfen.

Komischerweise bricht weder der VPN Tunnel der Zweigstellen, noch die der User ab, das Internet scheint aber für besagten Zeitraum geblockt zu werden.

Ebenfalls erfolgt keine Meldung über einen Internetabbruch. Für ca. 2 Minuten haben die User keine Möglichkeit Websites aufzurufen.

Bereits bestehende Verbindungen, beispielsweise ein Download oder eine TeamViewer Sitzung laufen ebenfalls weiter, was die ganze Sache noch komischer macht.

Folgende Tests haben wir bereits durchgeführt.

 

1. Provider kontaktiert- Dieser prüfte die Leitung mehrere Tage durch, und konnte keine Probleme feststellen.

2. Den HA Modus deaktiviert, sodass die Sophos gerade als Standalone läuft

3. Eine Firewallregel für die User erstellt ohne irgendwelche Sicherheitsmechanismen

4. DNS Server verändert von Google bis zum DNS Server des Providers 

5. Die Maskierung auf "Standard des Gateways" gestellt, ohne Maskierung funktioniert das Internet generell nicht.

6. Automatische Sicherheitsupdates und Patternupdates deaktiviert 

7. Alte Firewall (Bintec) angeschlossen --> Keine Fehler

 

All diese Tests waren leider erfolglos. Auch eine Loganalyse durch Sophos ergab keine Erkenntnis.

Ich hoffe ihr hättet Tipps für mich wie wir dieses Problem lösen können.

 

 



This thread was automatically locked due to age.
Parents
  • 0

    Hi  

    The reported issue is strange.

    I would suggest you place a switch between ISP connection and XG and connect a system and to switch.

    When there is an outage please ping from Sophos XG console and the PC to any public IP at the same time to check the Internet connectivity.

    The tests are performed by you is correct, you can contact technical support and raise a service request to investigate the issue further.

    Make sure the Interface negotiation/ARP between ISP and XG is ideal and physical cable has no issues.

    Regards,

    Keyur
    Community Support Engineer | Sophos Support
    Sophos Support VideosKnowledge Base  |  @SophosSupport | Sign up for SMS Alerts |
    If a post solves your question use the 'This helped me' link

  • 0 in reply to Keyur

    Hi Keyur,

    der ISP Router hat 2 Lan Ports. Wir haben beide getestet. Einmal über die Sophos und einmal direkt einen Client verbunden.

    Der Client bleibt im Internet und Pings gehen durch. Die Sophos aber meldet Timeouts bei den Pings während der Abbrüche.

    Über den WAN Port ist die Sophos mit 100mbps Vollduplex an dem ISP Router verbunden (Automatische Aushandlung) . 

  • 0 in reply to Frank Tasche

    Wahrscheinlich kein Problem das mit IPSec zusammenhängt. Die Defaultroute von Remotestandort in die Zentrale? User in der Zentrale können surfen und User am Remotestandort nicht?  Kann man die Geräte in der Zentrale noch erreichen?

    Konfiguration sichern, Firewall komplett neu installieren und Backup einspielen. Oder das Ganze mit der zweiten Firewall aus dem ursprünglichen Cluster probieren.

    Wir hatten hier ein ähnliches Phänomen mit einem Cluster. Es war unabhängig von der IPSec Verbindung so dass die Anwender nicht mehr ins Internet konnten. Der Webzugriff lief ebenfalls nicht mehr. Per ssh kam an über SSL/VPN noch auf die Firewall und konnte neu starten. Danach lief wieder alles. Soweit sich das feststellen liess gab es auch ein Problem mit der HA Synchronisation ...

    Vielleicht auch mal die HA Synchronisation in der Zentrale auf Auffälligkeiten prüfen. Das HA läuft bei weitem nicht so stabil wie man es von Kemp, Sophos SG oder Fortigate kennt ...

  • 0 in reply to BeEf

    Ein Workaround könnte sein, den Internettraffic testweise durch die Zentrale zu routen.

    Ich würde (falls noch nicht geschen) die Verkabelung prüfen und den Switch auf auffällige Einträge auf der WAN Seite in den Logdateien prüfen.

  • 0 in reply to BeEf

    Entschuldigt die späte Rückmeldung.

    Die 2 Standorte arbeiten in Sachen Internetverbindung getrennt von einander. 

    Die Zweigstelle surft also über ihren Anschluss, der Internetverkehr wird nicht durch die Hauptstelle geleitet.

    Bricht für die User in der Zweigstelle das Internet weg, ist der VPN Tunnel zur Hauptstelle immer noch aktiv und funktioniert, bestehende Downloads laufen weiter, neue Verbindungen jedoch werden für ca 2 Minuten nicht mehr aufgebaut.

    Ich komme also problemlos auf die Sophos in der Zweigstelle wenn für die User dort das Internet blockiert.

    Die VPN Verbindung dient lediglich zum Abgleich diverser Datenbanken mehr sollte sie nicht machen.

    Die Kabel wurden überprüft und auch einmal getauscht.

    Der HA Modus wurde deaktiviert und momentan läuft in der Zweigstelle eine Sophos im Standalone.

    Die Internetrichtlinie wurde testweise von sämtlichen Schutzmaßnahmen befreit.

    Die Tests waren leider alle negativ.

Reply
  • 0 in reply to BeEf

    Entschuldigt die späte Rückmeldung.

    Die 2 Standorte arbeiten in Sachen Internetverbindung getrennt von einander. 

    Die Zweigstelle surft also über ihren Anschluss, der Internetverkehr wird nicht durch die Hauptstelle geleitet.

    Bricht für die User in der Zweigstelle das Internet weg, ist der VPN Tunnel zur Hauptstelle immer noch aktiv und funktioniert, bestehende Downloads laufen weiter, neue Verbindungen jedoch werden für ca 2 Minuten nicht mehr aufgebaut.

    Ich komme also problemlos auf die Sophos in der Zweigstelle wenn für die User dort das Internet blockiert.

    Die VPN Verbindung dient lediglich zum Abgleich diverser Datenbanken mehr sollte sie nicht machen.

    Die Kabel wurden überprüft und auch einmal getauscht.

    Der HA Modus wurde deaktiviert und momentan läuft in der Zweigstelle eine Sophos im Standalone.

    Die Internetrichtlinie wurde testweise von sämtlichen Schutzmaßnahmen befreit.

    Die Tests waren leider alle negativ.

Children
  • 0 in reply to Frank Tasche

    Das ist eindeutig ein Fall für den Sophos Support. Wenn das Problem mit einem Update entstand dann könnte auch ein Update / Downgrade helfen. Vor einigen Tagen ist MR-9 rausgekommen.

    Eventuell könnte auch in einem Log etwas stehen. Ansonsten vielleicht mal ein Factory Reset der Zweigstelle und alles neu konfigurieren ...

  • 0 in reply to BeEf

    Hi,

    ich hab ähnliches erlebt. Ab und an geht das Internet nicht mehr.

     

    Hier war dann der WAN Link. Manager faul.

    Ich hab die Regeln aufgemacht und auf Save geklickt.

    Schon lief es dann wieder

  • 0 in reply to JuergenB

    Guten Morgen,

    Danke für die Rückmeldung.

    Den Test mit den Regeln habe ich auch schon durchgeführt, d.h.

    In der Firewallregel Internetzugriff folgende Parameter ein gestellt:

     

    - Angriffsvorbeugung = Keine

    - Traffic Shaping = Keine

    - Richtlinien für Web = Keine

    - Anwendungsüberwachung = Keine

    - HHTP und HTTPS Scan deaktiviert.

    - Erlaubte Dienste auf any gestellt.

     

    Es ist halt echt merkwürdig, dass der VPN Tunnel zu uns in die Hauptstelle nicht mit abbricht.

  • 0 in reply to Frank Tasche

    Hi Frank

    Wir haben ebenfalls 2 XG135 in HA und kämpfen mit den selben Problemen...

    Konntest Du Dein Problem mittlerweile lösen?

  • 0 in reply to fox14ch

    Hi Fox14ch,

    nein leider noch nicht.

    Wir werden als nächsten Test den WAN Port umändern auf einen freien Port.

    Gleichzeitig wird demnächst auch ein Hardwareaustausch stattfinden.

    Ich werde aber auf jeden Fall hier posten wenn es neue Informationen gibt.

  • +1 in reply to Frank Tasche

    Hi Frank

    Ich habe das Problem bei uns mittlerweile identifiziert und eliminiert:

    Ich habe auf unseren DC's STAS installiert um VPN-Zugriffe über AD-Gruppen zu steuern. Die beiden DC's waren unter "Authentication - Services - Firewall authentication methods" eingetragen. Offensichtlich funktioniert diese Funktion nicht zuverlässig, so dass einige Benutzer plötzlich nicht mehr authentifiziert werden konnten... Ich habe die DC's nun entfernt und nun läuft alles ohne Disconnects...

    Ich hoffe, dies Hilft dir auch weiter... 

  • 0 in reply to fox14ch

    Sounds like one AD could not be reached at the time or did you had STAS "Identity Probing" active?

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Yes, i had this enabled... 

  • 0 in reply to fox14ch

    This can cause a internet outage, because in some particular scenario, XG cannot fetch the information from STAS or STAS cannot fetch via WMI, so the Client went into a "learning / probing stage". In such stage, XG will per default drop all traffic until STAS can confirm, this client is actually logged in.

    You can disable this behavior via Webadmin. 

    __________________________________________________________________________________________________________________

  • 0 in reply to fox14ch

    Hi Fox,

    ohne den Eintraggelesen zu haben kam ich auf das selbe Ergebnis,

    STAS deaktiviert und es scheint zu laufen. Wir beobachten es noch die Woche.

Unfiltered HTML