Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 28 replies
  • Answers 2 answers
  • Subscribers 39 subscribers
  • Views 59924 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos red 15 in Betrieb nehmen

Klaus Kinsky

Hallo Kollegen,
ich möchte eine RED-15 in Betrieb nehmen. Diese soll an einen Speedport W723V Typ B angeschlossen werden. Der Provider ist Deutsche Telekom AG.  Der Speedport hat wanseitig ne feste IP. (Business Anschluss)

Soweit so gut. Eine Verbindung zur sophos UTM9 kann leider nicht aufgebaut werden.
Wenn ich mir die LEDs des Gerätes anschaue  (Error States) sieht das bei mir kurz vor dem Neustart so aus, dass die Power LED an ist, die System LED rot blinkt, die Router LED an  ist und Internet blinkt, Tunnel ist komplett aus.  Also das, was unter https://community.sophos.com/kb/en-us/116173 neben  (Gateway is reachable, but mobile broadband connection failed. No connection to ASG/UTM or provisioning service.) steht.

Die Red ist am Speedport sichtbar, ich sehe die Macadresse und sehe auch, dass hier eine IP zugewiesen wurde.  Ich kann diese IP auch anpingen. Beim Neustart der Red geht der ping natürlich weg.
Am Speedport sind port 3000 bis 3500 TCP und UDP für das Gerät per Nat-Firewall freigegeben.

Was kann ich tun, damit die Red sich verbindet?
Ich habe es auch an einem anderen Standort ausprobiert mit dem gleichen Ergebnis.





This thread was automatically locked due to age.
  • 0 in reply to Klaus Kinsky

    ich habe mittlerweile 47 REDs an meine FW angebunden und nie Probleme gehabt. Auch eine RED ist testweise im LAN zsm mit der FW und das Netzwerk steht.

     

    Ich würde jetzt an deiner Stelle einfach mal ein Support Ticket bei Sophos aufmachen.

  • 0 in reply to dimon

    dimon said:

    Ich würde jetzt an deiner Stelle einfach mal ein Support Ticket bei Sophos aufmachen.



    Dies mache ich hier ?

    myutm.sophos.com

  • 0 in reply to Klaus Kinsky

    Im der Firewall > Support >Contact Support 

    All support cases are processed via the Sophos NSG Partner Portal, which is accessible at https://myutm.sophos.com. You may open a support case via a web form by clicking the Open Support Ticket in New Window button.

  • 0 in reply to dimon

    Ok, vielen Dank für deine Hilfe bis jetzt. Ticket ist jetzt auf gemacht.

    Wenn es was neues gibt, schreibe ich es hier.

  • 0 in reply to Klaus Kinsky

    Vermutlich wirst Du die Antwort bekommen, dich an Deinen Reseller zu wenden.

    Was Du am Speedport an NAT eingerichtet hast ist INBOUND, interessiert die RED herzlich wenig, die muss OUTBOUND über diese Ports kommunizieren können.
    Wenn an der UTM keine RED-Verbindung ankommt kann entweder die Config für die RED dort falsch sein (die Provisionierung läuft auf falsche Adressen), die UTM steht nicht direkt im Internet und die für die RED-Verbindung benötigten Ports kommen nicht bei ihr durch oder die RED kommt erst gar nicht über den Speedport hinaus.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to kerobra_retired

    kerobra said:

    Was Du am Speedport an NAT eingerichtet hast ist INBOUND, interessiert die RED herzlich wenig, die muss OUTBOUND über diese Ports kommunizieren können.

    Outbound ist meiner Meinung nach standardmäßig nichts blockiert. Ich kann da auch nichts Freischalten.

     

    kerobra said:

    Wenn an der UTM keine RED-Verbindung ankommt kann entweder die Config für die RED dort falsch sein (die Provisionierung läuft auf falsche Adressen)


    Wie überprüfe ich das? Wenn ich die Quick-Anleitung von Sophos lese ist das so erklärt, als ob jeder Baumschüler die RED in Betrieb nehmen kann.

    kerobra said:

    , die UTM steht nicht direkt im Internet...

    Das tut sie mit einer statischen Öffentlichen IP. Es kommen auch Mails ohne Probleme über die UTM rein.

    kerobra said:

    ..und die für die RED-Verbindung benötigten Ports kommen nicht bei ihr durch...


    Kann man das irgendwie prüfen?

     

    kerobra said:

    ...oder die RED kommt erst gar nicht über den Speedport hinaus.

    Dann würde sie bei zwei verschiedenen speedport Modellen mit  zwei verschiedenen Telekom Business Anschlüssen nicht ins Internet kommen.  Wenn man jetzt wüsste, ob die Internet-LED auch bedeutet, dass wirklich eine Verbindung zum Internet besteht, könnte man das bestätigen. Leider habe ich hier eine Blackbox bzw. whitebox wo ich außer die LEDs nicht sehe. Wofür der Konsolenanschluss vorhanden ist, weiß ja kein Mensch.
    Ich kann sie am Montag jedoch auch an einen anderen Anschluss mit Zyxel-Router hängen, dann wissen wir mehr.

     

     

     

     
  • 0 in reply to Klaus Kinsky

    Ich danke allen Beteiligten und wünsche euch schon mal ein schönes Wochenende.

  • 0 in reply to kerobra_retired

    kerobra said:

    Vermutlich wirst Du die Antwort bekommen, dich an Deinen Reseller zu wenden.

    So ist es, 1A Support! Da bin von anderen Firewall-Herstellern was Anderes gewöhnt!

  • 0

    Hallo,

     

    Existiert ein tcpdump von der UTM?

    tcpdump -ni any host IP_WAN_RED

     

    Baut die RED die Verbindung auf - Kommen die Pakete an der UTM an?

    Es müssen Port 3400 und Port 3410 Pakete zu sehen sein.

     

    Bitte folgende Screenshots:

    LAN Interface

    RED Interface

     

    Nächste Punkt überprüfen:

    utm:/root # cc get red tls_1_2_only

    Ist der Output 1 oder 0?

     

    Gruß

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo und vielen Dank für die Hilfe

    Existiert ein tcpdump von der UTM?

    tcpdump -ni any host IP_WAN_RED

    erstelle ich noch, aber ich denke da wird nichts enthalten sein.

    Baut die RED die Verbindung auf - Kommen die Pakete an der UTM an?

    Nein, es kommt nichts an. Im Dashboard war und ist der Link auf aus.
    Bei der RED geht ja auch wie gesagt nicht die Internet LED an.

    Es müssen Port 3400 und Port 3410 Pakete zu sehen sein.

    Die Ports sind aufjedenfall nicht vom ISP Blockiert.

    Ein Nmap scan von einem Laptop am remote-standort, der direkt an den router angeschlossen ist, sagt mir folgendes


    Starting Nmap 7.12 ( https://nmap.org ) at 2017-08-15 16:09 Mitteleuropõische Sommerzeit
    Nmap scan report for red.astaro.com (46.51.176.142)
    Host is up (0.66s latency).
    rDNS record for 46.51.176.142: ec2-46-51-176-142.eu-west-1.compute.amazonaws.com
    PORT     STATE SERVICE
    3400/tcp open  csms2

    Nmap done: 1 IP address (1 host up) scanned in 2.66 seconds

    c:\Program Files (x86)\Nmap>nmap red.astaro.com -p3410

    Starting Nmap 7.12 ( https://nmap.org ) at 2017-08-15 16:09 Mitteleuropõische Sommerzeit
    Nmap scan report for red.astaro.com (46.51.176.142)
    Host is up (1.3s latency).
    rDNS record for 46.51.176.142: ec2-46-51-176-142.eu-west-1.compute.amazonaws.com
    PORT     STATE SERVICE
    3410/tcp open  networklenss

    Also gehe ich davon aus, dass auch die Red, die ja am gleichen router hängt rauskommen kann, sofern

    sie denn möchte.

     


    Bitte folgende Screenshots:
    LAN Interface
    RED Interface

     Eingehende und ausgehende Pakete waren in der Red-schnitstelle immer auf 0. Screenshot sind beigefügt.

    Nächste Punkt überprüfen:

    utm:/root # cc get red tls_1_2_only

    Ist der Output 1 oder 0?

     

    kommt noch

Unfiltered HTML