Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 38 subscribers
  • Views 8517 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 - Routingprobleme?

eSportler
Guten Morgen zusammen,

wir haben ein kleines Problem mit der Sophos UTM 9 in der Basisfunktionalität (Free Lizenz).
Wir virtualisieren auf unserem Root Server mit Proxmox und haben jetzt das Problem, das ein Client im "internen" Netz (192.168.1.0/24) nicht die Webseite aufrufen kann, welche im gleichen internen Netz ist, aber über die öffentliche Domain aufgerufen wird.
Okay, klingt erst mal danach das die Clients nicht ins Internet dürfen. Alle anderen Webseiten hingegen sind aufrufbar im www. Nur jene nicht, welche auf einem Server in unserem 192.168.1.0/24er Netz liegen.

Von einem Rechner außerhalb des Root Servers kann ich die Webseiten jedoch alle erreichen.


Sprich: Interne VM 111 kann über öffentliche Domain nicht die Webseite auf der internen VM 108 erreichen.
NAT Regeln sind in der UTM eingerichtet. (DNAT From any Source, Group Web Surfing, to External Adress --> Destination VM 108)

Die externe Adresse ist eine von den zwei zusätzlichen externen Adressen.


In den Logfiles der Firewall kann ich leider gar nichts finden, was von der internen VM 108 kommt. Hier wird wohl nur der eingehende Traffic auf das WAN Interface gemonitored, richtig?


Selbst der Versuch die Firewall auf Druchzug zu stellen: Firewall Regel allow any any (an oberster Position) bringt keine Besserung.


Es wird aber noch kurioser!
Wenn ich von der VM 111 ein nslookup auf die öffentliche Domain mache, löst der mir die richtige IP Adresse auf. Also DNS Lookup funktioniert, aber ein ansurfen der Webseite nicht.

VM 111 steht hier nur exemplarisch. Das Problem existiert auf allen internen VMs.





Zusätzlich haben wir noch ein weiteres Problem....
Wir lassen die laufenden Dienste über das hetzner Monitoring überwachen.
Zwischenzeitlich kommt es nachts immer mal wieder zu Aussetzern von ca. 5 Minuten, wo die Dienste scheinbar nicht erreichbar sein sollen. Danach ist wieder alles Grün. Dieses Problem haben wir erst seit dem Wechsel von IPCop auf Sophos. Gibt es hier eine Limitierung in der Free Lizenz das sporadisch mal 5 Minuten alles geblockt wird?! Kann mir das zwar nicht vorstellen, aber es muss irgendwo an der Sophos UTM liegen....


Ich hoffe das uns jemand bissle helfen kann [[:)]]
Solltet ihr noch Infos benötigen, so stelle ich die gerne zur Verfügung.


Danke und einen guten Start in den neuen Tag! [[:)]]


This thread was automatically locked due to age.
Parents
  • 0
    Guten Morgen zusammen,

    ich muss das Thema nochmal hervor holen, da die im Anfangspost erwähnten Unterbrechungen noch immer auftreten.
    Teilweise ist das ganze Netz dann 2 Minuten nicht erreichbar!

    Und das muss an der Sophos liegen, da wir das Problem mit dem IP Cop z.B. nicht haben (aber der ist extrem unkomfortabel und unpraktisch [:D])


    Hat wer ähnliche Probleme??
Reply
  • 0
    Guten Morgen zusammen,

    ich muss das Thema nochmal hervor holen, da die im Anfangspost erwähnten Unterbrechungen noch immer auftreten.
    Teilweise ist das ganze Netz dann 2 Minuten nicht erreichbar!

    Und das muss an der Sophos liegen, da wir das Problem mit dem IP Cop z.B. nicht haben (aber der ist extrem unkomfortabel und unpraktisch [:D])


    Hat wer ähnliche Probleme??
Children
  • 0 in reply to eSportler
    Hat wer ähnliche Probleme??


    Ich nutze auch mehrere UTMs innerhalb einer Proxmox Umgebung. Ich würde dir mal empfehlen die Konfig zu sichern und die VM neu aufzusetzen. Welchen Netzwerktreiber verwendest du? Ich kann dir den VirtIO Adapter empfehlen. Mit dem E1000 war die Performance nicht so dolle. Kann es eventuell sein, dass deine UTM zu wenig Leistung bekommt. Ich hatte solche Probleme bisher noch nicht. Musste aber schon zwei Mal meine UTMs neu aufsetzen, da nach einem Update nur Probleme aufgetreten sind. Da gabs noch Probleme mit der Unterstützung für KVM. Auf meiner VMWare UTM war hingegen alles wie immer. [;)]
  • 0 in reply to knokatorat93
    Hallo eSportler:

    Welche VM-Config hast du denn für die UTM (vCPUs, CPU-Units, vRAM, Storage usw.)? Welche Hosthardware verbaut?

    Generell empfehlenswert: VirtIO NICs und -Storage.

    Als letzte "Hilfe" ggf. sogar mal einen "Write-Back" Cache auf den Datenträger aktivieren (hat bei mir etwas Schub gegeben und sogar die CPU-Last gesenkt).
  • 0 in reply to ManuelKarl
    Hallo eSportler:

    Welche VM-Config hast du denn für die UTM (vCPUs, CPU-Units, vRAM, Storage usw.)? Welche Hosthardware verbaut?

    Generell empfehlenswert: VirtIO NICs und -Storage.

    Als letzte "Hilfe" ggf. sogar mal einen "Write-Back" Cache auf den Datenträger aktivieren (hat bei mir etwas Schub gegeben und sogar die CPU-Last gesenkt).


    Hallo Umpf,

    Wir haben der UTM 2 VCPUs, 2 GB Ram, Virtio storage und Virtio Netzwerkkarten gegeben.
    Die Host Hardware besteht aus:

    • Inte Core i7-4770
    • 32 GB DDR3 Ram
    • 2 x 3 TB SATA 6Gb/s (ja das könnte schneller sein xD)


    Daran sollte es ja eigentlich nicht scheitern. Im Proxmox dümpelt die UTM VM bei 1-5% CPU Last und 80% RAM rum.
  • 0 in reply to eSportler
    Möglichkeit, testweise auf 4GB hochzusetzen?
    Wie oft laufen Patternupdates rein? Viertelstündlich?
    Laufen auch andere VMs auf dem vSwitch (pNIC) stabil (nicht, dass es ggf. ein LINK-/Autoneg-Problem ist)?

    IPS aktiv? Wenn ja mit welchen Pattern?

    Bzgl. der Auflösung könntest du doch auf der UTM einen Host (IP) mit DNS-Setting generieren? Somit löst die UTM die internen Anfragen dorthin entsprechen auf und leitet nicht erst "nach draussen" (SNAT usw.).
  • 0 in reply to ManuelKarl
    Möglichkeit, testweise auf 4GB hochzusetzen?
    Wie oft laufen Patternupdates rein? Viertelstündlich?
    Laufen auch andere VMs auf dem vSwitch (pNIC) stabil (nicht, dass es ggf. ein LINK-/Autoneg-Problem ist)?

    IPS aktiv? Wenn ja mit welchen Pattern?

    Bzgl. der Auflösung könntest du doch auf der UTM einen Host (IP) mit DNS-Setting generieren? Somit löst die UTM die internen Anfragen dorthin entsprechen auf und leitet nicht erst "nach draussen" (SNAT usw.).


    Guten Morgen,

    klar das ist ohne weiteres möglich [[:)]]

    Die Patternupdates laufen in der Tat viertelstündlich rein. Die Aussetzer haben wir aber nur ein bis maximal zwei Mal am Tag. Und auch nicht jeden Tag... das ist es ja was mich da etwas ratlos macht^^

    Wir monitoren allerdings nur Systeme hinter der UTM, ich kofiguriere mir gleich mal einen Ping Sensor direkt auf die UTM, schauen ob das WAN Interface dann auch down geht/nicht reagiert.


    IPS haben wir gar nicht aktiviert, da wir nur die Free Lizenz nutzen. Für ein privates Hobby Projekt lohnt sich alles andere nicht [;)]

    Du sprichst von einem internen DNS Server, oder die DNS Server in der UTM einzutragen? Letzteres haben wir, brauchen jedoch trotzdem das SNAT um von internen Maschinen die öffentlichen Webseiten auf der Nachbar VM zu erreichen.


    Danke für deine Hilfe! [[:)]]
  • 0 in reply to eSportler
    Ich meinte mit "DNS", den Zielserver als Host-Objekt auf der UTM zu definieren (IP-basiert) und hier noch unter den erweiterten Optionen den DNS-Namen mit anzugeben.

    Wenn du intern ein ADS nutzt und der DC die UTM als forwarder nutzt, lösen die Clients (via DC) auf der UTM den entsprechenden Namen auf (z.B. "extern01.domain.tld), der DC kennt das Ding nicht und fragt die UTM, welche wiederrum das Hostobjekt kennt und dorthin leitet (interne IP, z.B. die 192.168.x.x).
    Natürlich kannst du die Definition auch direkt im internen DNS/ADS eintragen, je nachdem.

    Somit sparst du dir für interne Anfragen das NATting.

    Wenn das ganze nur eine Testumgebung (ohne kommerziellen Hintergrund) ist, kannst du im Grunde auch die Home-Lizenz mit allen Modulen nutzen (IPS, AV usw.).
    ----------

    Wenn du die Aussetzer zeitlich eingrenzen kannst, bitte mal sämtl. Logfiles prüfen, ob es ggf. Einträge bzgl. neu erkannter NIC findest o.ä.
    Prüfe bitte mal, ob du die HA-Autokonfiguration aktiviert hast, wenn ja, einfach mal deaktivieren und ggf. sogar die HA-Linküberwachung auf den vNIC's raus.
Unfiltered HTML