IMAPS Outlook Problem mit 18.5.1

Hallo Community,

ich habe meine Home Firewall (virtuelle VMWare Maschine) auf 18.5.1 aktualisiert. Dabei bin ich auf ein interessantes Problem gestoßen. Es werden mit verschiedenen Geräten vom Server imap.strato.de Port 993 (IMAPS) Mails abgerufen. Das funktioniert auf allen Geräten mit der Sophos Firmware 18.5.1 gut, ein PC konnte die Mails nicht mehr abholen. Vom Outlook gab es nur die Allerweltsfehlermeldung, dass es Probleme mit dem Netzwerk gibt. Also Windows Mail und Thunderbird auf dem PC konfligiert und auf das selbe Problem gestoßen. Das Deaktivieren der SSL Inspection auf der Firewall brachte auch keine Besserung. 

Das Outlook hatte ich mit dem Verbindungfehler offengelassen und bin auf die Firmware 18.0.5 zurückgegangen. Sobald die Firewall online war, hat sich das Outlook zu Strato verbunden und die Mail abgerufen. Der Gegentest: wieder auf 18.5.1 gegangen und ein Verbindungsfehler. Zurück auf 18.0.5 alles ist OK.

Das geht in eine ähnliche Richtung in meinen anderen Beitrag: Strange L2TP VPN Issue on XGS2100 - Discussions - Sophos (XG) Firewall - Sophos Community. Nur dass ich bei der XGS nicht auf eine 18.0.5 Firmware zurückkomme.

Hat jemand eine Idee?

Gruß

Ben

Parents
  • Es sollte eigentlich kein Fix für SSL Inspection in dem Sinne dort drin sein. Wenn die DPI Engine deaktiviert wird, funktioniert es? Und siehst du Fehler in der DPI Engine? 

    __________________________________________________________________________________________________________________

Reply
  • Es sollte eigentlich kein Fix für SSL Inspection in dem Sinne dort drin sein. Wenn die DPI Engine deaktiviert wird, funktioniert es? Und siehst du Fehler in der DPI Engine? 

    __________________________________________________________________________________________________________________

Children
  • Der eine PC kann seine Mail mit der 9.5.1 weder mit aktivierter SSL Inspection, noch mit deaktivierter SSL Inspection abholen. mit dem  drop-packet-capture habe ich keine verworfenen Pakete gefunden. Mit dem tcpdump sieht es so aus:

    SFVH_VM01_SFOS 18.5.1 MR-1-Build318# tcpdump -i PortA host 192.168.42.101 and port 993 -n
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on PortA, link-type EN10MB (Ethernet), capture size 262144 bytes
    08:31:25.251001 PortA, IN: IP 192.168.42.101.63481 > 81.169.145.103.993: Flags [S], seq 820387409, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    08:31:25.281424 PortA, OUT: IP 81.169.145.103.993 > 192.168.42.101.63481: Flags [S.], seq 2901456904, ack 820387410, win 64240, options [mss 1400,nop,nop,sackOK,nop,wscale 12], length 0
    08:31:25.281757 PortA, IN: IP 192.168.42.101.63481 > 81.169.145.103.993: Flags [.], ack 1, win 1028, length 0
    08:31:25.282134 PortA, IN: IP 192.168.42.101.63481 > 81.169.145.103.993: Flags [P.], seq 1:177, ack 1, win 1028, length 176
    08:31:25.282431 PortA, OUT: IP 81.169.145.103.993 > 192.168.42.101.63481: Flags [.], ack 177, win 16, length 0
    08:31:25.320130 PortA, OUT: IP 81.169.145.103.993 > 192.168.42.101.63481: Flags [.], seq 1:1461, ack 177, win 16, length 1460
    08:31:25.320237 PortA, OUT: IP 81.169.145.103.993 > 192.168.42.101.63481: Flags [P.], seq 1461:2801, ack 177, win 16, length 1340
    08:31:25.320533 PortA, IN: IP 192.168.42.101.63481 > 81.169.145.103.993: Flags [.], ack 2801, win 1028, length 0
    08:31:25.324588 PortA, OUT: IP 81.169.145.103.993 > 192.168.42.101.63481: Flags [P.], seq 2801:4128, ack 177, win 16, length 1327
    08:31:25.325926 PortA, OUT: IP 81.169.145.103.993 > 192.168.42.101.63481: Flags [R.], seq 4128, ack 177, win 16, length 0

    Hast Du noch einen Tipp zu Analyse?

    Ben

  • Man kann die DPI Engine vollständig deaktivieren über die Einstellungen im GUI. Wenn diese deaktiviert ist, funktioniert es dann? Die Kommunikation in dem Dump sieht ok aus bis zum Reset vom Server. 

    Du kannst auch den Dump auf beiden Interfaces durchführen und in eine Datei laden. Dann mittels Wireshark analysieren. Im Wireshark die TLS Pakete betrachten. https://tls.ulfheim.net/

    __________________________________________________________________________________________________________________

  • Ja, wenn ich die DPI Engine unter Advanced ("Disable only when troubleshooting") komplett ausschalte funktioniert IMAPS auf dem PC.

    Jetzt wird es interessant: Ich habe unter Advanced die DPI Engine und die "SSL/TLS inspection" unter "SSL/TLS inspection rules" wieder eingeschaltet (also den Ausgangszustand wiederhergestellt) und der PC bekommt die Mails abgerufen.  

  • DPI Engine ein- und ausschalten, scheint keine Dauerlösung zu sein. Ich habe weiter getestet und das anpassen der MTU auf dem WAN Interface scheint eine dauerhafte Lösung zu sein.