Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG 135 ständige Internetverbindungsabbrüche

Guten Morgen zusammen,

folgendes Szenario:

Unsere Zweigstelle ( 2x Sophos XG 135 ursprünglich im HA konfiguriert)   ist per IPSec-VPN mit unserer Verwaltung (Sophos XG 310 im HA konfiguriert) verbunden.

Der Internetzugriff erfolgt über das dort existierende Gateway, der Netzwerkverkehr wird also geteilt, so dass nur Serverzugriffe untereinander stattfinden. 

Seit dem in der Zweigestelle auf die Sophos XG 135 (SFOS 17.5.8 MR-8) gewechselt wurde haben die User dort mit regelmäßigen Internetabbrüchen zu kämpfen.

Komischerweise bricht weder der VPN Tunnel der Zweigstellen, noch die der User ab, das Internet scheint aber für besagten Zeitraum geblockt zu werden.

Ebenfalls erfolgt keine Meldung über einen Internetabbruch. Für ca. 2 Minuten haben die User keine Möglichkeit Websites aufzurufen.

Bereits bestehende Verbindungen, beispielsweise ein Download oder eine TeamViewer Sitzung laufen ebenfalls weiter, was die ganze Sache noch komischer macht.

Folgende Tests haben wir bereits durchgeführt.

 

1. Provider kontaktiert- Dieser prüfte die Leitung mehrere Tage durch, und konnte keine Probleme feststellen.

2. Den HA Modus deaktiviert, sodass die Sophos gerade als Standalone läuft

3. Eine Firewallregel für die User erstellt ohne irgendwelche Sicherheitsmechanismen

4. DNS Server verändert von Google bis zum DNS Server des Providers 

5. Die Maskierung auf "Standard des Gateways" gestellt, ohne Maskierung funktioniert das Internet generell nicht.

6. Automatische Sicherheitsupdates und Patternupdates deaktiviert 

7. Alte Firewall (Bintec) angeschlossen --> Keine Fehler

 

All diese Tests waren leider erfolglos. Auch eine Loganalyse durch Sophos ergab keine Erkenntnis.

Ich hoffe ihr hättet Tipps für mich wie wir dieses Problem lösen können.

 

 



This thread was automatically locked due to age.
Parents
  • Hi  

    The reported issue is strange.

    I would suggest you place a switch between ISP connection and XG and connect a system and to switch.

    When there is an outage please ping from Sophos XG console and the PC to any public IP at the same time to check the Internet connectivity.

    The tests are performed by you is correct, you can contact technical support and raise a service request to investigate the issue further.

    Make sure the Interface negotiation/ARP between ISP and XG is ideal and physical cable has no issues.

    Regards,

    Keyur
    Community Support Engineer | Sophos Support
    Sophos Support VideosKnowledge Base  |  @SophosSupport | Sign up for SMS Alerts |
    If a post solves your question use the 'This helped me' link

  • Hi Keyur,

    der ISP Router hat 2 Lan Ports. Wir haben beide getestet. Einmal über die Sophos und einmal direkt einen Client verbunden.

    Der Client bleibt im Internet und Pings gehen durch. Die Sophos aber meldet Timeouts bei den Pings während der Abbrüche.

    Über den WAN Port ist die Sophos mit 100mbps Vollduplex an dem ISP Router verbunden (Automatische Aushandlung) . 

  • Entschuldigt die späte Rückmeldung.

    Die 2 Standorte arbeiten in Sachen Internetverbindung getrennt von einander. 

    Die Zweigstelle surft also über ihren Anschluss, der Internetverkehr wird nicht durch die Hauptstelle geleitet.

    Bricht für die User in der Zweigstelle das Internet weg, ist der VPN Tunnel zur Hauptstelle immer noch aktiv und funktioniert, bestehende Downloads laufen weiter, neue Verbindungen jedoch werden für ca 2 Minuten nicht mehr aufgebaut.

    Ich komme also problemlos auf die Sophos in der Zweigstelle wenn für die User dort das Internet blockiert.

    Die VPN Verbindung dient lediglich zum Abgleich diverser Datenbanken mehr sollte sie nicht machen.

    Die Kabel wurden überprüft und auch einmal getauscht.

    Der HA Modus wurde deaktiviert und momentan läuft in der Zweigstelle eine Sophos im Standalone.

    Die Internetrichtlinie wurde testweise von sämtlichen Schutzmaßnahmen befreit.

    Die Tests waren leider alle negativ.

  • Das ist eindeutig ein Fall für den Sophos Support. Wenn das Problem mit einem Update entstand dann könnte auch ein Update / Downgrade helfen. Vor einigen Tagen ist MR-9 rausgekommen.

    Eventuell könnte auch in einem Log etwas stehen. Ansonsten vielleicht mal ein Factory Reset der Zweigstelle und alles neu konfigurieren ...

  • Hi,

    ich hab ähnliches erlebt. Ab und an geht das Internet nicht mehr.

     

    Hier war dann der WAN Link. Manager faul.

    Ich hab die Regeln aufgemacht und auf Save geklickt.

    Schon lief es dann wieder

  • Guten Morgen,

    Danke für die Rückmeldung.

    Den Test mit den Regeln habe ich auch schon durchgeführt, d.h.

    In der Firewallregel Internetzugriff folgende Parameter ein gestellt:

     

    - Angriffsvorbeugung = Keine

    - Traffic Shaping = Keine

    - Richtlinien für Web = Keine

    - Anwendungsüberwachung = Keine

    - HHTP und HTTPS Scan deaktiviert.

    - Erlaubte Dienste auf any gestellt.

     

    Es ist halt echt merkwürdig, dass der VPN Tunnel zu uns in die Hauptstelle nicht mit abbricht.

  • Hi Frank

    Wir haben ebenfalls 2 XG135 in HA und kämpfen mit den selben Problemen...

    Konntest Du Dein Problem mittlerweile lösen?

  • Hi Fox14ch,

    nein leider noch nicht.

    Wir werden als nächsten Test den WAN Port umändern auf einen freien Port.

    Gleichzeitig wird demnächst auch ein Hardwareaustausch stattfinden.

    Ich werde aber auf jeden Fall hier posten wenn es neue Informationen gibt.

  • Hi Frank

    Ich habe das Problem bei uns mittlerweile identifiziert und eliminiert:

    Ich habe auf unseren DC's STAS installiert um VPN-Zugriffe über AD-Gruppen zu steuern. Die beiden DC's waren unter "Authentication - Services - Firewall authentication methods" eingetragen. Offensichtlich funktioniert diese Funktion nicht zuverlässig, so dass einige Benutzer plötzlich nicht mehr authentifiziert werden konnten... Ich habe die DC's nun entfernt und nun läuft alles ohne Disconnects...

    Ich hoffe, dies Hilft dir auch weiter... 

  • Sounds like one AD could not be reached at the time or did you had STAS "Identity Probing" active?

    __________________________________________________________________________________________________________________

  • Yes, i had this enabled... 

  • This can cause a internet outage, because in some particular scenario, XG cannot fetch the information from STAS or STAS cannot fetch via WMI, so the Client went into a "learning / probing stage". In such stage, XG will per default drop all traffic until STAS can confirm, this client is actually logged in.

    You can disable this behavior via Webadmin. 

    __________________________________________________________________________________________________________________

Reply
  • This can cause a internet outage, because in some particular scenario, XG cannot fetch the information from STAS or STAS cannot fetch via WMI, so the Client went into a "learning / probing stage". In such stage, XG will per default drop all traffic until STAS can confirm, this client is actually logged in.

    You can disable this behavior via Webadmin. 

    __________________________________________________________________________________________________________________

Children
No Data