Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem mit Add-Addresses

Habe ein seltsames Problem mit zusätzliche IP Adressen auf dem Haupt-IF.
Zuerst dachte ich , es läge an HA, aber heute haben wir beim Kunden, HA gelöst, und die UTM neu bespielt.
Nach Start, sind die zusätzlichen IP Adressen nicht erreichbar.
Erst wenn man diese deaktiviert und was abwartet und wieder aktiviert , laufen diese.

Meine erste Vermutung war, daß die extra IPs erst registriert werden, sobald da Traffic von intern nach extern gelaufen ist, aber trotz einer extra Snat Regel, und Ping vom Source war die IP nicht erreichbar. 

Für mich sieht es aus, als würden die zusätzlichen IPs , beim Start, nicht richtig bekannt gegeben im Netz.

Bin hier ziemlich ratlos, da sich die beiden Parteien (Swiss-Glasanschluss und Sophos) den Schuh zuwerfen.


This thread was automatically locked due to age.
  • Hi gkemter,
    welche IP hat denn das Interface und welche IP(s) die Zusätzlichen Adressen?

    Verstehe ich es richtig, sobald HA aktiv ist, funktionieren diese nicht mehr?

    Nice greetings
  • Sind die zus. Adressen aus dem gleichen Subnetz? "Wo steht" der nächste Router, was "steht" alles zwischen Router und UTM und in welchem Subnetz ist der Router?
  • Sind die IP's lokal erreichbar (von der UTM)?
    Häng' am besten mal eine Kiste in das gleiche Subnetz und versuche es von dort.
    Prüfe die MAC-Adressen (bei HA werden virtuelle verwendet).
    Es gibt Router, die aus Sicherheitsgründen kein Gratious ARP annehmen. Da kann man nur den ARP Timeout heruntersetzen.

     

    Sophos Certified Architect (UTM + XG)

  • Hallo,

    der Kunde eine Standleitung mit /29 Netz. Vergleichbar mit CompanyConnect hier.
    Es werden alle verfügbaren Adressen aus dem /29 verwendet .

    Im HA Modus verhält es sich so:
    Start Update (Slave fummelt sich)
    Slave schaltet um (Master fummelt sich) ab hier ist nichts mehr erreichbar.
    Erst nach 10min ist eine UTM wieder erreichbar, wahrscheinlich switched HA wieder zurück auf den Ursprungsmaster.

    Gestern haben wir (wg. Heartbleed) HA gelöst und die beiden UTMs mit 9.2. frisch bespielt.
    Dabei ist es aufgefallen, daß bei nur einer aktiven UTM die zusätzlichen IPs nicht erreichbar sind, bis man diese deaktiviert, abwartet und wieder aktiviert. Die WAN IP war aber erreichbar.
    Die Zusätzliche waren weder von extern noch von intern erreichbar (von UTM selbst habe ich leider nicht probiert).

    Die Konfiguration hat früher ohne Probleme funktioniert, haben beim Kunden HA und mehrere IPs seit V7 im Einsatz.

    Die Probleme kamen erst mit einem neuen Router.
  • Sind die IP's lokal erreichbar (von der UTM)?
    Häng' am besten mal eine Kiste in das gleiche Subnetz und versuche es von dort.
    Prüfe die MAC-Adressen (bei HA werden virtuelle verwendet).
    Es gibt Router, die aus Sicherheitsgründen kein Gratious ARP annehmen. Da kann man nur den ARP Timeout heruntersetzen.


    Die Empfehlungen bleiben die selben. [;)]

     

    Sophos Certified Architect (UTM + XG)