Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 38 subscribers
  • Views 6340 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED50 Problem

Alf17
Hallo,

wir nutzen die UTM 320(Firmware 9.207-19).
Unsere Zweigstellen sind bisher immer über RED10 mit der UTM verbunden.
Die Red's verbinden sich über 2 verschiedene Leitungen mit der UTM in der Zentrale.
Entweder red1.***.com oder red2.***.com.
Ca. 20 RED10 sind im Einsatz. 10 Stück verbinden sich mit red1.***.com und 10 Stück mit red2.***.com.

Nun das eigentlich Problem:
In einer neuen Aussenstelle wollen wir eine RED50 einsetzen.
Wenn als erster UTM-Hostname bei der Konfiguration red1.***.com eingestellt wird, baut die RED50 keine Verbindung auf. Auf dem Display der RED50 steht dann immer: stabilizing peers.

Wähle ich als ersten UTM-Hostname allerdings red2.***.com aus, dann baut die RED50 ohne Probleme den Tunnel auf.

Hat jemand dieses Problem schon einmal gehabt oder einen entsprechenden Lösungsvorschlag?

Herzlichen Dank.


This thread was automatically locked due to age.
  • 0
    Hallo Alf und herzlich Willkommen im Forum!

    Bei der RED50, was hast du dort eingestellt?
    How to set up RED 50

    Was sagt das RED-Log?

    Nice greetings
  • 0
    Hallo GuyFawkes,

    folgendes habe ich eingestellt:
    Verwende 2. Hostname: Failover
    Uplink Modus: DHCP Client
    2. Uplink Modus: DHCP Client
    Verwende 2. Uplink: Failover
    Betriebsmodus: Standard/Vereint

    Das soll aber nicht die finale Einstellung sein. Wenn es in den Produktivbetrieb geht, soll es per Lastenverteilung laufen.

    Hier das Log:
    SELF: New connection from *ip* with *ID*  (cipher RC4-SHA), rev1
    connected OK, pushing config
    sending PEERS+
    command 'UMTS_STATUS value=OK'
    command 'PORTSTATE 1E04,1004,1004,1C04,1004'
    PORTSTATE LAN1: Down,LAN2: 10Mb/s,LAN3: Down,LAN4: Down
    command 'PING 0 uplink=WAN uplinkstate=0'
    id="4201" severity="info" sys="System" sub="RED" name="RED Tunnel Up" red_id="*ID*" forced="0"
    PING remote_tx=0 local_rx=0 diff=0
    PONG local_tx=0
    command 'PORTSTATE 1E04,1004,1004,1C04,1004'
    PORTSTATE LAN1: Down,LAN2: 10Mb/s,LAN3: Down,LAN4: Down
    command 'PING 0 uplink=WAN uplinkstate=0'
    PING remote_tx=0 local_rx=0 diff=0
    PONG local_tx=0
    command 'PORTSTATE 1E04,1004,1004,1C04,1004'
    PORTSTATE LAN1: Down,LAN2: 10Mb/s,LAN3: Down,LAN4: Down
    command 'PING 0 uplink=WAN uplinkstate=0'
    PING remote_tx=0 local_rx=0 diff=0
    PONG local_tx=0
    SELF: New connection from *IP* with *ID* (cipher RC4-SHA), rev1
    already connected, releasing old connection
    id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="*ID*" forced="1"
    *ID* is disconnected.
    connected OK, pushing config

    Dann geht das selbe wieder von vorne los.

    Mit red2.***.com geht es halt wie beschrieben ohne Probleme.
    Nur red1.***.com macht Probleme.

    Grüße
  • 0
    Das RED50 arbeitet ein wenig anders in seiner Verbindung im Vergleich zum red10.

    Ich hatte ähnliche Probleme, dies lag aber an Provider Router Problemen.

    Ich würde bei dir auf ähnliches Tippen.

    Wer sind die Provider der einzelnen Leitungen.


    Das RED50 benötigt auch den Port 3410.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Provider der Leitung red1.***.com ist die Telekom, eine CompanyConnect Leitung.
    Provider der Leitung red2.***.com ist Unitymedia.

    Den Port 3410 hatte ich testweise in der Firewall freigeschaltet.
    Das hatte aber nichts geändert.

    Gibt es sonst noch etwas zu beachten?
  • 0
    Welchen Provider hat das red50?

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Habe es schon mit verschiedenen versucht:
    DSL von der Telekom
    DSL von Unitymedia
    und per UTMS Router mit SIM Karte von der Telekom.
  • 0
    Mein Verdacht ist, dass es an dem Cisco Router der CompanyConnect liegt(red1.***.com).
    Das dort evtl. ein Intrusion Prevention oder Ähnliches drauf läuft, dass die Kommunikation über den Port 3410 blockt/verhindert.

    Hatte jemand schon einmal so etwas bzw. würde einem eine Lösung einfallen?
    Laut Telekom läuft kein IPS auf dem Cisco Router.
  • 0
    Problem gerade mit dem Dienstleister gelöst:

    Pakete für Port 3410 sind auf IP x.x.x.141(red1.***.com) am Cisco Router der Telekom reingekommen.
    Rausgesandt wurden sie aber auf IP x.x.x.140 des Cisco Routers.

    DNS Eintrag von red1.***.com auf x.x.x.140 geändert. Geht alles.
    Vielen Dank!
  • 0
    Ah, habe gerade ein ähnliches Problem und hier die Lösung gefunden.

    Das ist aber ein fieser Bug der UTM. Bei einem RED10 über Port tcp/3400 wird die korrekte Absender-IP genommen (nämlich die gleiche, über die auch die Pakete vom RED10 aus dem Internet rein kommen).

    Beim RED50 ist das nur für die Kommunikation über den Port tcp/3400 so, bei der Kommunikation über Port udp/3410 wird der falsche Quell-Port für die Bestätigungs-Pakete Richtung RED50 von der UTM genommen. Das RED50 wird diese Pakete vermutlich verwerfen und deshalb kommt es über den Status "Stabilizing peers" nicht hinweg.

    Das Problem taucht nur auf, wenn man auf der Internet-Leitung mehrere IP-Adressen nutzen kann und für die Kommunikation mit dem RED50 nicht die primäre des WAN-Interfaces, sondern eine zusätzliche virtuelle IP verwendet.

    Auf der UTM läuft parallel dazu auch noch der Prozess "mdw.plx" Amok und sorgt für dauerhaft hohe CPU-Last zwischen 30-50%.

    Werde dazu morgen mal ein Ticket bei Sophos aufmachen, ist ja nur ein kleines Problem was nur auftaucht, wenn man auf einer Internet-Leitung mehrere IP-Adressen nutzen kann und für das RED50 nicht die primäre IP-Adresse sondern eine der zusätzlichen, virtuellen IP-Adressen verwendet.

    Gruß
    Manuel

    PS: Ticket wurde heute geöffnet (Ticket-Nr. 4761837, falls jemand Bezug drauf nehmen möchte)
Unfiltered HTML