This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verbindungsprobleme in Microsoft Teams SophosXG 310

Hallo Zusammen,

wir haben immer wieder relativ starke Probleme in MS Teams Konferenzen.
Diese Probleme treten nur auf, wenn die Kollegen hier im Büro sind uns somit über unsere Sophos Firewall an der Teams Konferenz teilnehmen.
Die Probleme äußern sich insofern, als dass mitten in der Konferenz für ca. 10-20 Sekunden die Verbindung sehr schlecht wird (Bild und Ton Aussetzer).
Teilweise bricht die Verbindung auch komplett ab. Teams meldet dann immer eine schlechte Netzwerkverbindung.
Auf dem Client ist dann auch zu erkennen, das Der Netzwerk-Traffic nahezu komplett einbricht:

Für die Kollegen gilt eine Firewall-Regel, in der folgende Module aktiv sind:

Ich habe in der Firewall schon folgende Konfigurationen vorgenommen, jedoch bisher ohne Erfolg:

utmshop Support-Portal - Sophos Firewall v18 und UTM9: UDP-Flood-Protection-Ausnahme für Microsoft Teams (utm-shop.de)

Außerdem habe ich in der WebProtection sicherheitshalber auch folgende Ausnahmen definiert:

Leider hat dies bisher auch noch nicht geholfen.
Da wir zwei separate Internetleitungen über zwei verschiedene Anbieter (Glasfaser und Kupfer-DSL) haben, und bei beiden
die selben Probleme auftreten, würde ich Probleme auf Anbieterseite ausschließen.

Leider bin ich aber mit meinem Latein am Ende.

Bin um jeden Rat dankbar.

Besten Dank,

grüße

Added TAGs
[edited by: Erick Jan at 11:33 PM (GMT -7) on 29 May 2023]

Top Replies

LuCar Toni over 2 years ago +2 verified

Wenn du die DOS Protection für UDP komplett deaktivierst, bringt das etwas? Wenn du set vpn conn - remove -tunnel-up disable in der Console eingibst, hilft das?

Parents

0 BerndFeist over 2 years ago

Hallo,

dazu ein paar Fragen:

- bricht die Verbindung nur eingehend ab oder in beide Richtungen? Könnte man zum Beispiel im Wireshark sehen und durch Benutzerbefragung rausfinden.

- gibt es einen Unterschied im Verhalten zwischen Point-to-Point Verbindungen (1 TN außen und 1 TN innen) und echten Konferenzen (mind. 3 TN)?

- Gibt es auf den Leitungen einen DDoS Schutz?

- Welche Firmwareversion ist auf der Firewall installiert?

- Wie häufig tritt das Problem (ungefähr) auf? Lässt es sich reproduzieren oder nicht? Tritt es in sehr unregelmäßigen Abständen auf?

Und einen Tipp:

Den udp-timeout vom Standardwert auf 500 ms hochsetzen.

https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/cli/PDF/sfos_cliguide.pdf

Gruß
BeEf
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 BerndFeist over 2 years ago

Hallo,

dazu ein paar Fragen:

- bricht die Verbindung nur eingehend ab oder in beide Richtungen? Könnte man zum Beispiel im Wireshark sehen und durch Benutzerbefragung rausfinden.

- gibt es einen Unterschied im Verhalten zwischen Point-to-Point Verbindungen (1 TN außen und 1 TN innen) und echten Konferenzen (mind. 3 TN)?

- Gibt es auf den Leitungen einen DDoS Schutz?

- Welche Firmwareversion ist auf der Firewall installiert?

- Wie häufig tritt das Problem (ungefähr) auf? Lässt es sich reproduzieren oder nicht? Tritt es in sehr unregelmäßigen Abständen auf?

Und einen Tipp:

Den udp-timeout vom Standardwert auf 500 ms hochsetzen.

https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/cli/PDF/sfos_cliguide.pdf

Gruß
BeEf
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 Julian Hilgenberg over 2 years ago in reply to BerndFeist

Hi,

hier mal meine Antworten zu deinen Fragen:
- nur die Eingehende Verbindung bricht ab.

- zu 100% kann ich das nicht beantworten, aber wir Vermuten sehr stark, dass es nur bei "echten" Konferenzen auftritt.

- Nein

- SFOS 18.0.5 MR-5-Build586

- Das Problem tritt sehr regelmäßig auf, sobald es Konferenzen mit 3 oder mehr Personen sind.

Ich habe den UDP-Timeout Wert erhöht. Ich hatte den Wert schon einmal erhöht, wie in dieser Anleitung beschrieben:
UDP time-out value causes VoIP calls to drop or have poor quality (sophos.com)

Besten Dank, für die bisherigen Antworten.

Grüße
Cancel
Vote Up 0 Vote Down

Cancel
0 LHerzog over 2 years ago in reply to Julian Hilgenberg

deine Web Exceptions sind leider viel zu wenig. Du wirst nicht darum herum kommen, für die ganzen MS O365 Dienste Webexceptions anzulegen, auf FQDN UND Netz Basis. Siehe hier:

https://docs.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide

Das sind nur mal zwei Beispiele von vielen. Es macht extrem viel Arbeit und ändert sich alle paar Wochen, ohne klappts aber nicht und genau die von dir beschriebenen Probleme treten auf. Frustrierende Arbeit.

Dazu benötigst du IPS Ausnahmen gegen UDP flood wie schon hier genannt.

Und die Firewallregel für die VoIP Ports. Entweder so to Any oder du legst jedes Zielnetz auch einzeln an. Würde ich nicht machen, da mittlerweile auch viele andere Dienste die Ports 3478-3481 nutzen, schlägst du mehrere Fliegen mit einer Klappe.
Cancel
Vote Up 0 Vote Down

Cancel
0 Julian Hilgenberg over 2 years ago in reply to LHerzog

Hi,

vielen Dank für deine Antwort.

Die WebExceptions hatte ich in der Zwischenzeit schon nach dieser Anleitung (Method 2) mit folgendem Paket erweitert:
API-O365-all.tar
Sophos Firewall: Configure web exceptions for Office 365
Außerdem habe ich auch die WebProtection deaktiviert. Somit sollte die doch nicht mehr greifen.
Wie genau erstelle ich denn die IPS Ausnahme? Das müsste doch die hier sein...

Die Firewallregel für die VOIP-Ports erstelle ich und beobachte es dann nochmal.

Besten Dank, grüße
Cancel
Vote Up 0 Vote Down

Cancel
0 LHerzog over 2 years ago in reply to Julian Hilgenberg

die IPS Regeln sehen für mich OK aus. Beachte: bei dem .tar File von Sophos sind die Service-Definitionen nicht aktuell. Leider hält Sophos die Datei nicht auf Stand. Du wirst nicht darum herum kommen, die IP Ranges nachzuarbeiten.
Cancel
Vote Up 0 Vote Down

Cancel
0 Julian Hilgenberg over 2 years ago in reply to LHerzog

sorry, wenn ich nochmal nachfrage, aber wenn ich den Webfilter deaktivieren brauche ich dann trotzdem die exceptions?

Das Problem tritt auch auf, wenn der Webfilter deaktiviert ist.
Cancel
Vote Up 0 Vote Down

Cancel
0 LHerzog over 2 years ago in reply to Julian Hilgenberg

wenn der Webfilter auf der Regel deaktiviert ist, musst du halt dafür sorgen, dass jedes LAN Gerät jeden MS O365 Server per Firewallregel erreicht. Also entweder per Any regel, oder in dem du alle Hosts und IP Ranges in die Firewallregel nimmst.

Ich würde den Webfilter aktivieren, die Web Exceptions setzen wie bereits gemacht, dazu die Firewallregel für die 3478-34xx Ports.
Cancel
Vote Up +1 Vote Down

Cancel
0 LHerzog over 2 years ago in reply to LHerzog

ich schreib hier mal unten dran, man verliert sonst den Überblick.

mit set vpn conn-remove-tunnel-up disable deaktivierst du das Flushen von Connections wenn sich IPSec VPNs neuverbinden.

Hast du Tunnels eingerichtet und haben die sich zu den festgestellten Zeiten neuverbunden?
Cancel
Vote Up 0 Vote Down

Cancel