Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 28 replies
  • Answers 2 answers
  • Subscribers 40 subscribers
  • Views 60951 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos red 15 in Betrieb nehmen

Klaus Kinsky

Hallo Kollegen,
ich möchte eine RED-15 in Betrieb nehmen. Diese soll an einen Speedport W723V Typ B angeschlossen werden. Der Provider ist Deutsche Telekom AG.  Der Speedport hat wanseitig ne feste IP. (Business Anschluss)

Soweit so gut. Eine Verbindung zur sophos UTM9 kann leider nicht aufgebaut werden.
Wenn ich mir die LEDs des Gerätes anschaue  (Error States) sieht das bei mir kurz vor dem Neustart so aus, dass die Power LED an ist, die System LED rot blinkt, die Router LED an  ist und Internet blinkt, Tunnel ist komplett aus.  Also das, was unter https://community.sophos.com/kb/en-us/116173 neben  (Gateway is reachable, but mobile broadband connection failed. No connection to ASG/UTM or provisioning service.) steht.

Die Red ist am Speedport sichtbar, ich sehe die Macadresse und sehe auch, dass hier eine IP zugewiesen wurde.  Ich kann diese IP auch anpingen. Beim Neustart der Red geht der ping natürlich weg.
Am Speedport sind port 3000 bis 3500 TCP und UDP für das Gerät per Nat-Firewall freigegeben.

Was kann ich tun, damit die Red sich verbindet?
Ich habe es auch an einem anderen Standort ausprobiert mit dem gleichen Ergebnis.





This thread was automatically locked due to age.
  • 0 in reply to Klaus Kinsky

     

    Hier noch ein screenshot von der Schnittstelle mit IP. 44.100

     

    Der DHCP bereich im router am remote standort steht von 44.20 bis 44.40

     

    Die Mac adresse, die im Router zu sehen ist, ist die von der WAN-Schnitstelle.

    Ich kann die IPvom Laptop aus anpingen. Der Ping schlägt im dem moment fehl, wo die Sophos neustartet.

     

     

  • 0 in reply to Klaus Kinsky

    Der TCP Dump ist leider leer.

    vgk-Astaro9:/root # tcpdump -ni any host 192.168.44.100

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes

    0 packets captured

    0 packets received by filter

    0 packets dropped by kernel

    <M> vgk-Astaro9:/root #

    Wenn ich einen TCP-dump von der Lan Schnittstelle mache, laufen die Pakete nur so durch.

  • 0 in reply to Klaus Kinsky

    Hallo,

     

    denke der Fehler ist die Interface Konfig.

    RED WAN: 192.168.44.X DHCP

    Und RED LAN soll auch 192.168.44.X bekommen?

     

    Daher kommt die RED nicht online. Ist ein Routing Problem, da die Appliance zwei Interface mit selben Subnetz hat.

    Bitte den WAN Bereich einmal ändern auf 192.168.45.X/24 oder 192.168.1.X/24 von dem Speedport.

     

     

    Screenshot bitte von LAN Interface Konfig und REDs Konfig.

    Im Dump bitte die WAN IP von der RED angeben. 

     

    Gruß

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo, ja alles was am remote Standort ist und die Red-(WAN) Schnittstelle der Sophos-UTM sollen im Bereich 192.168.44.x /24 liegen. So hätte ich es jetzt aufgebaut. Ich habe nirgendswo gelesen, dass die RED (WAN)Schnittstelle der SOPHOS-UTM in einem anderen Subnetz liegen muss. Wenn es da infos oder Links gibt, immer her damit.

    Der 192.168.1.x Bereich möchte ich nicht benutzten, da der unter Umständen von VPN-Benutzern verwendet wird, die nicht die Red nutzen und ich nicht weiß, ob dies zu Problemen führen könnte.

    Daher habe ich am Router des remote Standortes jetzt auf 43.x umgestellt.  Der router hat 192.168.43.254, die RED  (WAN) 43.21  und das Laptop, welches am router hängt 43.20. Natürlich mit /24 als Subnetzmaske. Alles wird per DHCP vergeben. Das Ergebnis ändert jedoch nichts.

    Die Red1 Schnitstelle an der Sophos UTM hat nach wie vor die 192.168.44.100/24. Da kommt im TCP-Dump nichts an.  Auf 192.168.43.21 kommt auch nichts an.  Was macht

    utm:/root # cc get red tls_1_2_only
    Ich bin immer sehr vorsichtig was Befehle angeht, die ich nicht kenne und die als root ausgeführt werden.

  • 0 in reply to Klaus Kinsky

    Hier noch ein Bild der Red config.

  • +1 in reply to Klaus Kinsky

    Hallo,

     

    der CC Befehl holt nur die Konfig einstellung aus dem CC. Keine Changes werden damit ausgeführt.

     

    Es fehlt noch der Dump vom TCPdump mit der WAN IP der RED.

    Was steht in der UTM-Hostname drin? Wurde hier die IP von der UTM getestet?

     

    Gruß

    __________________________________________________________________________________________________________________

  • +1 in reply to LuCar Toni

    Hallo und danke für die Hilfe.

    manbearpig said:

    Hallo,

    Es fehlt noch der Dump vom TCPdump mit der WAN IP der RED.

    Das wäre ja dann die 192.168.43.21, welche per DHCP vom speedport zugewiesen wurde.

    <M> vgk-Astaro9:/root # tcpdump -ni any host 192.168.43.21

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes



    Da kommt nix an, auch nach 5 Minuten nicht

    Im Dashboard der UTM ist der Link auch nach wie vor auf aus.

    Was steht in der UTM-Hostname drin? Wurde hier die IP von der UTM getestet?

    Nein, nur ein Name des remotestandortes.

     
    Das war die Lösung gewesen, die Lampen sind jetzt an, nachem die IP dort steht.
    Auch der link in der UTM9 ist da.
    Super, danke
  • 0 in reply to Klaus Kinsky

    Klaus Kinsky said:
    Das war die Lösung gewesen, die Lampen sind jetzt an, nachem die IP dort steht.
    Auch der link in der UTM9 ist da.
    Super, danke

     
    Eieiei genau das hat mir auch geholfen :/ so ein Mist... wir haben unseren ISP geändert und somit die IP-Adresse der UTM im Hauptstandort, allerdings haben wir das wacker im DNS nachgetragen. Ich hatte eigentlich gehofft das passt.
    Interessanterweise muss das irgendeine negotiation-Sache sein, da ich genau die weiter oben bereits erwähnte Meldung im Log gefunden habe: »Self: SSL accept attempt failed with unknown error error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol«
     
    Die IP-Adresse haben wir ja auch nur in der UTM geändert ohne dass Verbindung zur RED bestand, die RED connected scheinbar weiterhin via DNS Hostname…
    was weiß ich, "hauptsache es geht wieder". Blöd allerdings.
     
    Beste Grüße!!
Unfiltered HTML