Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 11852 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Connection Timeout modifizieren?!

newone
Hallo zusammen,
ich verwende die Sophos UTM9 bei mir Zuhause und Schütze unter anderem meinen Exchange Server damit. 
Mittels Active-Sync werden auch die Smartphones aktuell gehalten. Per "Push"-Service.
(siehe dazu: Understanding Direct Push and Exchange Server 2010)
Das läuft eigentlich auch, allerdings habe ich in den Logs Hinweise gefunden dass der Connection Timeout meiner Firewall niedrieger ist als der meines Exchange-Servers.
Gibt es eine Möglichkeit den Connection Timeout zu modifizieren?
(Genauer den network idle connection timeout)
Irgendwo Richtung 30 Minuten sollte der gehen...
Hier hab ich auch nochmal einen schicken Artikel gefunden, in dem wird auf den security aspekt eingegangen. 
"Was schafft man sich für neue Risiken mit dem erhöhten Timeout an..."
Firewall Timeouts and Direct Push - Exchange Team Blog - Site Home - TechNet Blogs
Wie gesagt, "basically" funktioniert alles. 
Allerdings werden die Akkus auf Smartphones recht schnell leergelutscht weil aufgrund des Timeouts der Verbindung ein POLL statt einem PUSH ausgeführt wird.
Weiss da wer weiter? Ich würde mich über Antwort freuen!
MFG


This thread was automatically locked due to age.
  • 0
    --> PUSH!
    Gibts da keine Möglichkeit?
  • 0
    Wie ist die Netz Konfiguration aufgebaut, hast du WAF im Einsatz?
  • 0
    Hi moddix!
    Ich hab keine WAF im Einsatz. (webfiltering schon, ohne ssl scanning)
    (Mein letzter Stand ist dass die WAF mit dem OWA nicht so recht zusammenarbeitet.)
    So zum Netzaufbau.
    Modem ist die Fritzbox von Kabelbw, die UTM hängt an einem "Bridge-Port".
    (Über den bezieht sie eine öffentliche IP per DHCP von Kabelbw, ist also nicht irgendwie rumgenattet.)
    Die UTM hat 3 NIC's, ein WAN, ein "WLAN" und ein LAN interface.
    Den SSL-Port habe ich per NAT an meinen Exchange weitergeleitet...
    Hast du vielleicht speziellere Fragen bez. Netzaufbau? Ich könnte da jetzt viel erzählen...
  • 0
    Oke, du hast schon eine SNAT eingerichtet und die entsprechenden Ports an Exchange weitergeleitet?
  • 0
    Nein, eigentlich ist es ein DNAT (alles was auf die externe ip an port 443  kommt wird umgeleitet an eine interne ip). Die funktioniert ja auch, ich komme auf owa und kann mich per active sync verbinden.
    Das problem ist der Timeout einer Verbindung.
    Kaspern wir das mal schenll durch:
    Ein Handy beginnt mit dem Exchange zu "syncen". Alles was neu ist bekommt der client dann direkt ausgeliefert. ("soweit" noch pullmail).
    Danach wird aber eine erneute Anfrage an den Server gesendet "gibts was neues?".
    Da der Client sich ja grade gesynct hat gibts nix neues. Um nun aufs "pushen" zu kommen:
    Der Server hält diese Clientanfrage dann bis zu 30minuten am leben und beantwortet sie sobald etwas neues auf dem Server ankommt. Der Client bekommt es also ohne erneut nachzufragen ausgeliefert.
    Allerding habe ich die vermutung dass meine Firewall die Verbindung wegen IDLE schon vorher absägt...
    Deswegen ja auch "[...]Genauer den network idle connection timeout[...]"
  • 0
    Hi,

    du veränderst den Timeout wie folgt:

    Login via SSH (erst loginuser dann root)

    Dann in den ConfD:

    cc [Enter]
    packetfilter [Enter]
    timeouts [Enter]
    ip_conntrack_tcp_timeout_close_wait$ [Enter] 

    Standard ist 60 s, mit  =1800 kannst du es auf 1800 s ändern

    Das ist der gesuchte Timeout, danach kannst du mit exit wieder raus.
  • 0
    Hi,

    ActiveSync mit WAF klappt auch gut - dafür musst du dann die Timeoutwerte in den Configfiles für den Apache auf der Konsole ändern - und nach up2dates dran denken das wieder zu kontrollieren und ggf. nachzuziehen. Wie gut OWA mit WAF klappt weiß ich nicht da wir das nicht extern im Einsatz haben.

    Das schöne an der WAF Lösung ist, das man mittels Pathrouting z.b. nur die ActiveSync URL zur verfügung stellen kann und alle anderen URL's geblockt werden.

    Gruß
    Manfred
  • 0
    Hi,
    vielen Dank für eure Hilfe! Ich hab das mal so eingestellt, bin mir aber noch nicht sicher ob die Einstellungen so direkt übernommen wurden.
    Kann es sein das ich die Büchse noch neustarten muss?
    Gruß
  • 0 in reply to newone
    Hallo,

    ich habe bei uns das selbe Problem. Allerdings bei uns über WAF. Der Handyakku geht innerhalb weniger Stunden auf unter 50% runter.

    Wo finde ich denn die config des Apache und wie heißt der Wert der geändert werden muss? Muss zusätzlich auch noch der hier beschriebene Firewall Timeout Wert angepasst werden?

    Gruß
  • 0 in reply to Deeplink
    Hallo zusammen

    Aus unserer Sicht ist es absolut semiprofessionell, dass Sophos keine offiziell supportete Option anbietet das Timeout für TCP NAT Sessions zu verändern.
    Sämtliche andere Firewall-Hersteller wie ZyXel, Fortinet oder Cisco supporten diese Option.

    Wir sind äusserst befremdet, dass gängige Industriestandards wie Microsoft Exchange bzw. Active Sync nicht vollständig von Sophos supported werden.

    Daher haben wir einen Feature Request eröffnet:
    TCP Connection Timeout - Modification

    Gruss
Unfiltered HTML