Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 38 subscribers
  • Views 8471 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 - Routingprobleme?

eSportler
Guten Morgen zusammen,

wir haben ein kleines Problem mit der Sophos UTM 9 in der Basisfunktionalität (Free Lizenz).
Wir virtualisieren auf unserem Root Server mit Proxmox und haben jetzt das Problem, das ein Client im "internen" Netz (192.168.1.0/24) nicht die Webseite aufrufen kann, welche im gleichen internen Netz ist, aber über die öffentliche Domain aufgerufen wird.
Okay, klingt erst mal danach das die Clients nicht ins Internet dürfen. Alle anderen Webseiten hingegen sind aufrufbar im www. Nur jene nicht, welche auf einem Server in unserem 192.168.1.0/24er Netz liegen.

Von einem Rechner außerhalb des Root Servers kann ich die Webseiten jedoch alle erreichen.


Sprich: Interne VM 111 kann über öffentliche Domain nicht die Webseite auf der internen VM 108 erreichen.
NAT Regeln sind in der UTM eingerichtet. (DNAT From any Source, Group Web Surfing, to External Adress --> Destination VM 108)

Die externe Adresse ist eine von den zwei zusätzlichen externen Adressen.


In den Logfiles der Firewall kann ich leider gar nichts finden, was von der internen VM 108 kommt. Hier wird wohl nur der eingehende Traffic auf das WAN Interface gemonitored, richtig?


Selbst der Versuch die Firewall auf Druchzug zu stellen: Firewall Regel allow any any (an oberster Position) bringt keine Besserung.


Es wird aber noch kurioser!
Wenn ich von der VM 111 ein nslookup auf die öffentliche Domain mache, löst der mir die richtige IP Adresse auf. Also DNS Lookup funktioniert, aber ein ansurfen der Webseite nicht.

VM 111 steht hier nur exemplarisch. Das Problem existiert auf allen internen VMs.





Zusätzlich haben wir noch ein weiteres Problem....
Wir lassen die laufenden Dienste über das hetzner Monitoring überwachen.
Zwischenzeitlich kommt es nachts immer mal wieder zu Aussetzern von ca. 5 Minuten, wo die Dienste scheinbar nicht erreichbar sein sollen. Danach ist wieder alles Grün. Dieses Problem haben wir erst seit dem Wechsel von IPCop auf Sophos. Gibt es hier eine Limitierung in der Free Lizenz das sporadisch mal 5 Minuten alles geblockt wird?! Kann mir das zwar nicht vorstellen, aber es muss irgendwo an der Sophos UTM liegen....


Ich hoffe das uns jemand bissle helfen kann [[:)]]
Solltet ihr noch Infos benötigen, so stelle ich die gerne zur Verfügung.


Danke und einen guten Start in den neuen Tag! [[:)]]


This thread was automatically locked due to age.
  • 0
    Da wird sicher nichts geblockt. Liegt sicher an der VM Umgebung.
  • 0 in reply to moddix
    Da wird sicher nichts geblockt. Liegt sicher an der VM Umgebung.


    Die Antwort hilft mir leider nicht wirklich weiter.
    Zumal die VM Umgebung unter Verwendung von IPCop als Firewall einwandfrei funktioniert hat.
  • 0
    Du rufst von interner IP die externe IP auf? Dann vermute ich, Du hast kein SNAT für diese Verbindung.

    Und wie oft sind die Verbindungen in welchem Zeitraum in der Nacht nicht erreichbar?
  • 0 in reply to K.N.
    Du rufst von interner IP die externe IP auf? Dann vermute ich, Du hast kein SNAT für diese Verbindung.


    Genau, allerdings habe ich beim Aufruf von anderen Webseiten welche nicht auf unseren VMs liegen keine Probleme diese aufzurufen.
    Beim SNAT wird doch die Source Adresse des ausgehenden Pakets, in diesem Falle von IP VM111, auf IP WAN Interface gesetzt, mir ist gerade nicht ersichtlich was dadurch bezweckt werden soll.

    Nichts desto trotz habe ich die NAT Regel auf ein FullNAT erweitert und als geänderte Quelle die WAN IP des Webservers angegeben. Keine Änderung. Andere Webseiten sind nach wie vor erreichbar.

    //EDIT:
    Sorry, habe intelligenter Weise eine falsche NAT Regel angefasst. Nach Änderung der richtigen Regel funktioniert das auch!
    Dennoch fehlt mir gerade der Zusammenhang^^ Könntest du mich da kurz abholen?

    Danke! [:)]


    Und wie oft sind die Verbindungen in welchem Zeitraum in der Nacht nicht erreichbar?


    Diese Nacht z.B. zwischen 00:50 Uhr und 00:55 Uhr waren Port 80 und der Ping nicht mehr erreichbar, bzw. nicht durchgehend.
    Beide Sensoren prüfen auf eine der zusätzlichen WAN Adressen.
  • 0
    Die UTM leitet die Packete, welche an die externe Adresse und dem entsprechenden Port gehen, an den internen Host weiter, ohne den Absender zu ändern (unverfälschtes Logging auf dem Zielsystem). Das gilt dann natürlich auch für Anfragen aus dem internen Netz. Das Ziel antwortet an die Absender-Adresse, welches eine interne ist und wird vom Client ignoriert, weil der ja mit einer anderen IP-Adresse kommuniziert und von der intern IP des Zielsystem ja nix wollte.
  • 0 in reply to K.N.
    Die UTM leitet die Packete, welche an die externe Adresse und dem entsprechenden Port gehen, an den internen Host weiter, ohne den Absender zu ändern (unverfälschtes Logging auf dem Zielsystem). Das gilt dann natürlich auch für Anfragen aus dem internen Netz. Das Ziel antwortet an die Absender-Adresse, welches eine interne ist und wird vom Client ignoriert, weil der ja mit einer anderen IP-Adresse kommuniziert und von der intern IP des Zielsystem ja nix wollte.


    klingt einleuchtend, danke! [:)]


    Bleibt jetzt nur noch die Frage nach den unerklärlichen Monitoring "Ausfällen" von 5-10 Minuten.
  • 0
    Was steht den in den Systemlogs und Reportings?
    Beim Hetznermonitoring kommt wohl noch dazu, dass eine Statusanderung erst nach 5 Minuten erfolgen kann. Wenn also wg. Patternupdate, Backup oder sonstiges die UTM zum Prüfzeitpunkt nicht rechtzeitig reagiert, kommt der Recover vielleicht erst beim nächsten Check?
  • 0 in reply to K.N.
    Was steht den in den Systemlogs und Reportings?
    Beim Hetznermonitoring kommt wohl noch dazu, dass eine Statusanderung erst nach 5 Minuten erfolgen kann. Wenn also wg. Patternupdate, Backup oder sonstiges die UTM zum Prüfzeitpunkt nicht rechtzeitig reagiert, kommt der Recover vielleicht erst beim nächsten Check?


    Guten Morgen,

    in den Reportings von hetzner steht nur das der Port, bzw der Ping zu den einem Zeitpunkt nicht erreichbar war. Beim nächsten Versuch ~ 5 Minuten später ist das wieder okay.
    Im Syslog steht folgendes:
    00:50:01 ~ (/var/mdw/scripts/pmx-blocklist-update)
    00:50:01 ~ (     /usr/local/bin/reporter/system-reporter.pl)
    00:55:01 ~ (     /usr/local/bin/reporter/system-reporter.pl)


    Was mir jetzt jedoch dabei ein wenig aufstößt, ist dass die UTM zu diesem Zeitpunkt nicht sauber reagiert, bzw. rechtzeitig. Anfragen aus dem www zu diesen Zeitpunkten (z.B. Videostream o.ä.) würden demnach dann ja auch kurz unterbrochen werden.
  • 0
    Guten Morgen zusammen,

    ich muss das Thema nochmal hervor holen, da die im Anfangspost erwähnten Unterbrechungen noch immer auftreten.
    Teilweise ist das ganze Netz dann 2 Minuten nicht erreichbar!

    Und das muss an der Sophos liegen, da wir das Problem mit dem IP Cop z.B. nicht haben (aber der ist extrem unkomfortabel und unpraktisch [:D])


    Hat wer ähnliche Probleme??
  • 0 in reply to eSportler
    Hat wer ähnliche Probleme??


    Ich nutze auch mehrere UTMs innerhalb einer Proxmox Umgebung. Ich würde dir mal empfehlen die Konfig zu sichern und die VM neu aufzusetzen. Welchen Netzwerktreiber verwendest du? Ich kann dir den VirtIO Adapter empfehlen. Mit dem E1000 war die Performance nicht so dolle. Kann es eventuell sein, dass deine UTM zu wenig Leistung bekommt. Ich hatte solche Probleme bisher noch nicht. Musste aber schon zwei Mal meine UTMs neu aufsetzen, da nach einem Update nur Probleme aufgetreten sind. Da gabs noch Probleme mit der Unterstützung für KVM. Auf meiner VMWare UTM war hingegen alles wie immer. [;)]
Unfiltered HTML