Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 9 subscribers
  • Views 1411 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Problem - Verbindungen werden permanent getrennt!

itpro

Hallo zusammen,

seit 2 Tagen hat unsere Sophos XG Firewall (HA) in einem Rechenzentrum das Problem, dass die VPN Verbindungen unserer Kunden immer wieder getrennt werden. Es wurden keine Updates installiert und keine Konfiguration geändert. Alles ist beim Alten. Heute ist das Problem sehr extrem geworden und unsere Kunden hatten ca. 200 Unterbrechungen. Ein Failover bzw. Umschalten auf die andere Firewall und Neustart des VPN Diensts brachten keinen Erfolg. Nach entsprechender Analyse sind Netzwerkprobleme auszuschließen.

 

Es sind ca. 21 VPN Verbindungen, die alle auf einmal getrennt werden. Unsere XG antwortet nur. In den VPN logs konnten wir keine Auffälligkeiten feststellen. Es ist aber zu beobachten, dass die XG seitdem sie dieses Phänomen hat, manchmal träge wird und teilweise sehr langsam reagiert (GUI).

 

Firmware-Version: SFOS 17.5.12 MR-12.HF062020.1

Da wir keine Updates installiert und keinerlei Änderungen der Konfiguration vorgenommen haben, gehen wir davon aus, dass die SFOS Hotfix (Automatische Installation von Sicherheitsupdates) das Problem sein könnten. Denn der Fehler kam sozusagen aus heiterem Himmel.

Hat jemand vielleicht eine Idee, woran es liegen könnte?

Vielen Dank im Voraus!



Added TAGs
[edited by: Erick Jan at 11:24 PM (GMT -7) on 29 May 2023]
  • 0

    Ich würde initial ein Update empfehlen und danach weiter schauen. MR12 ist ziemlich alt. 

    __________________________________________________________________________________________________________________

  • 0

    vor zwei oder drei Tagen
    2021-09-28 10:38:49
    IPS
    Successful
    IPS definitions upgraded from 18.18.56 to 18.18.57.

    gab es neue IPS Rules, die bei ein paar Nutzern Probleme in Richtung Erkennungsverhalten verursacht hatten. Allerdings gab es wohl heute wieder ein Update.

    2021-09-30 12:41:47
    IPS
    Successful
    IPS definitions upgraded from 18.18.57 to 18.18.58.

    Vielleicht schon behoben?

    Schonmal in diesen Logs geschaut? Eventuell UDP Flood oder dergleichen ausgelöst?

    Ansonsten ist das von dir genannte HF ja schon ein Jahr alt und wurde vermutlich nicht erst neulich installiert. Auch glaube ich nicht, dass dieses Problem plötzlich durch die recht alte MR12 verursacht wurde.

    Das beobachtete träge Verhalten der XG könnte durch SNORT Prozesse ausgelöst werden (SNORT ist IPS). Auf der shell mit top zu analysieren. Wenn ja, hat die IPS Version ein Problem gehabt.

    Haben denn die VPN Logs bezüglich der Trennungen eine Gemeinsamkeit? Sollte bei so vielen Tunneln ja schnell feststellbar sein, ob alle mit der gleichen Meldung beendet werden.

  • 0 in reply to LuCar Toni

    Ich hatte schon ein Case bei Sophos aufgemacht. Man hat mir mitgeteilt, dass die Version 17.5.12 MR12 wegen EoL nicht mehr unterstützt wird und die XG auf die letzten Versionen aktualisiert werden müsste. Ich habe die XG mittlerweile auf Version 18 aktualisiert. Mal schauen, ob sich das Problem dadurch behoben hat. 

  • 0 in reply to itpro

    PS: Ich würde die Firmware IMMER Up2date halten. Die Firewall ist dein initiales Gateway zum Internet. Das heißt auch potentiell von außen erreichbar und sollte daher immer State of the Art von Konfiguration/Firmware Stand sein. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LHerzog

    Das Problem war gestern (30.09.) bis 19:00 feststellbar. Wie bereits im vorherigen Beitrag erwähnt, müsste die XG aus supporttechnischen Gründen aktualisiert werden.

    In den VPN Logs war nur zu sehen, dass die VPN Verbindungen aufgebaut wurden. Sonst konnte ich nichts finden.

    Eventuell UDP Flood oder dergleichen ausgelöst?

    Es würde mich interessieren, wie ich alle anderen von dir genannten Logs über die shell am besten überprüfen kann? Kannst du mir da vielleicht nähere Informationen zukommen lassen?

  • 0 in reply to LuCar Toni

    Prinzipiell hast du recht, aber das ist mit Vorsicht zu genießen. Denn neue Firmware könnte auch neue Probleme mit sich bringen, und das ist bei produktiven Umgebungen nicht immer zielführend. Ich würde da nicht immer die neueste Firmware ohne Weiteres installieren.

  • 0 in reply to itpro

    die IPS Logs lassen sich doch prima über den GUI Logviewer auswerten, dazu muss man nicht auf die Shell.

    besteht denn ein zeitlicher Zusammenhang mit den IPS Updates bei dir? Problem nach 30.9. verschwunden?

  • 0 in reply to LHerzog
    LHerzog said:
    die IPS Logs lassen sich doch prima über den GUI Logviewer auswerten, dazu muss man nicht auf die Shell.

    In der GUI sind überhaupt keine Einträge vorhanden (kein Filter aktiv).

    LHerzog said:
    besteht denn ein zeitlicher Zusammenhang mit den IPS Updates bei dir? Problem nach 30.9. verschwunden?

    Es hat am 14.09. langsam angefangen. Am 28. und 29.09. wurde extrem viel.

    Problem war bis 30.09. und zwar bis ca. 19:00 Uhr immer noch nicht behoben. Ich habe dann die XG auf Version 18 aktualisiert und beobachte es nun.

    Leider hat sich der Sophos Support seit Mittwoch bis jetzt nicht in der Lage gesehen hat, sich das Problem anzuschauen, obwohl es sich um einen kritischen Fall handelt. Schade!

    Vielen Dank für deine Mitwirkung.

  • 0 in reply to itpro

    wenn nichts in den Logs steht, wurde nichts geblocked. Soweit so gut.

    Die Reaktion vom Support "ist leider so". Support gibt's nur sporadisch.

    Spannend ist natürlich auch, was die VPN Gateways loggen, die die Verbindungen herstellen.

Unfiltered HTML