This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verbindungsprobleme in Microsoft Teams SophosXG 310

Hallo Zusammen,

wir haben immer wieder relativ starke Probleme in MS Teams Konferenzen.
Diese Probleme treten nur auf, wenn die Kollegen hier im Büro sind uns somit über unsere Sophos Firewall an der Teams Konferenz teilnehmen.
Die Probleme äußern sich insofern, als dass mitten in der Konferenz für ca. 10-20 Sekunden die Verbindung sehr schlecht wird (Bild und Ton Aussetzer).
Teilweise bricht die Verbindung auch komplett ab. Teams meldet dann immer eine schlechte Netzwerkverbindung.
Auf dem Client ist dann auch zu erkennen, das Der Netzwerk-Traffic nahezu komplett einbricht:


Für die Kollegen gilt eine Firewall-Regel, in der folgende Module aktiv sind:

Ich habe in der Firewall schon folgende Konfigurationen vorgenommen, jedoch bisher ohne Erfolg:

utmshop Support-Portal - Sophos Firewall v18 und UTM9: UDP-Flood-Protection-Ausnahme für Microsoft Teams (utm-shop.de)

Außerdem habe ich in der WebProtection sicherheitshalber auch folgende Ausnahmen definiert:

Leider hat dies bisher auch noch nicht geholfen.
Da wir zwei separate Internetleitungen über zwei verschiedene Anbieter (Glasfaser und Kupfer-DSL) haben, und bei beiden
die selben Probleme auftreten, würde ich Probleme auf Anbieterseite ausschließen.

Leider bin ich aber mit meinem Latein am Ende.

Bin um jeden Rat dankbar.

Besten Dank,

grüße



This thread was automatically locked due to age.
  • Wenn du die DOS Protection für UDP komplett deaktivierst, bringt das etwas?

    Wenn du set vpn conn-remove-tunnel-up disable in der Console eingibst, hilft das? 

    __________________________________________________________________________________________________________________

  • Hallo zusammen,

    da hänge ich mich mal mit dran. Wir stehen vor dem selben Problem, haben aktuell den Web Proxy komplett deaktiviert und die identischen Ausnahmen für die DoS Protection für ein Subnetz konfiguriert wie der TE, leider sind beim Teams Meeting eben wieder Paketverluste bis 50% aufgetreten bei denjenigen, die hinter der Firewall und im konfigurierten Subnetz arbeiten.

    So wie ich das verstehe ist die DoS Protection bei uns auch nicht aktiv, oder übersehen wir hier etwas?

    Besten Dank im Voraus für jeden Tip!

    Sascha

  • Hallo,

    dazu ein paar Fragen:

    - bricht die Verbindung nur eingehend ab oder in beide Richtungen? Könnte man zum Beispiel im Wireshark sehen und durch Benutzerbefragung rausfinden.

    - gibt es einen Unterschied im Verhalten zwischen Point-to-Point Verbindungen (1 TN außen und 1 TN innen) und echten Konferenzen (mind. 3 TN)?

    - Gibt es auf den Leitungen einen DDoS Schutz?

    - Welche Firmwareversion ist auf der Firewall installiert?

    - Wie häufig tritt das Problem (ungefähr) auf? Lässt es sich reproduzieren oder nicht? Tritt es in sehr unregelmäßigen Abständen auf?

    Und einen Tipp:

    Den udp-timeout vom Standardwert auf 500 ms hochsetzen.

    https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/cli/PDF/sfos_cliguide.pdf 



    Gruß
    BeEf

  • Hi,

    hier mal meine Antworten zu deinen Fragen:
    - nur die Eingehende Verbindung bricht ab.

    - zu 100% kann ich das nicht beantworten, aber wir Vermuten sehr stark, dass es nur bei "echten" Konferenzen auftritt.

    - Nein

    SFOS 18.0.5 MR-5-Build586

    - Das Problem tritt sehr regelmäßig auf, sobald es Konferenzen mit 3 oder mehr Personen sind.

    Ich habe den UDP-Timeout Wert erhöht. Ich hatte den Wert schon einmal erhöht, wie in dieser Anleitung beschrieben:
    UDP time-out value causes VoIP calls to drop or have poor quality (sophos.com)

    Besten Dank, für die bisherigen Antworten.

    Grüße

  • Hi,

    wir scheinen wirklich ein identisches Problem zu haben.
    Magst du verraten, welchen ISP ihr nutzt.
    Wir haben Deutsche Glasfaser als Anbieter.

    Besten Dank, grüße

  • deine Web Exceptions sind leider viel zu wenig. Du wirst nicht darum herum kommen, für die ganzen MS O365 Dienste Webexceptions anzulegen, auf FQDN UND Netz Basis. Siehe hier:

    https://docs.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide

    Das sind nur mal zwei Beispiele von vielen. Es macht extrem viel Arbeit und ändert sich alle paar Wochen, ohne klappts aber nicht und genau die von dir beschriebenen Probleme treten auf. Frustrierende Arbeit.

    Dazu benötigst du IPS Ausnahmen gegen UDP flood wie schon hier genannt.

    Und die Firewallregel für die VoIP Ports. Entweder so to Any oder du legst jedes Zielnetz auch einzeln an. Würde ich nicht machen, da mittlerweile auch viele andere Dienste die Ports 3478-3481 nutzen, schlägst du mehrere Fliegen mit einer Klappe.

  • Hi,

    vielen Dank für deine Antwort.

    Die WebExceptions hatte ich in der Zwischenzeit schon nach dieser Anleitung (Method 2) mit folgendem Paket erweitert:
    API-O365-all.tar
    Sophos Firewall: Configure web exceptions for Office 365
    Außerdem habe ich auch die WebProtection deaktiviert. Somit sollte die doch nicht mehr greifen.
    Wie genau erstelle ich denn die IPS Ausnahme? Das müsste doch die hier sein...

    Die Firewallregel für die VOIP-Ports erstelle ich und beobachte es dann nochmal.

    Besten Dank, grüße

  • die IPS Regeln sehen für mich OK aus. Beachte: bei dem .tar File von Sophos sind die Service-Definitionen nicht aktuell. Leider hält Sophos die Datei nicht auf Stand. Du wirst nicht darum herum kommen, die IP Ranges nachzuarbeiten.

  • sorry, wenn ich nochmal nachfrage, aber wenn ich den Webfilter deaktivieren brauche ich dann trotzdem die exceptions?

    Das Problem tritt auch auf, wenn der Webfilter deaktiviert ist.

  • wenn der Webfilter auf der Regel deaktiviert ist, musst du halt dafür sorgen, dass jedes LAN Gerät jeden MS O365 Server per Firewallregel erreicht. Also entweder per Any regel, oder in dem du alle Hosts und IP Ranges in die Firewallregel nimmst.

    Ich würde den Webfilter aktivieren, die Web Exceptions setzen wie bereits gemacht, dazu die Firewallregel für die 3478-34xx Ports.