Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 8 replies
  • Subscribers 9 subscribers
  • Views 1129 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED site to site über Glasfaser xg230 <>xg115 funktioniert nicht

Bianca Eggers

Hallo die Gemeinde, 

wir haben erfolgreich einen RED site to site Tunnel zwischen einem XG230 Cluster und einem Außenstandort mit einer xg115 konfiguriert.

Die Konfiguration haben wir erfolgreich über einen mobilen Hotsport  ( xg115  WAN DHCP> fritzbox > mobiler Hotsport > Internet < XG230 ) getestet.

Auch über einen kleinen DSL Anschluss ppoe an der xg115 WAN Schnittstelle wird der Tunnel sofort aufgebaut.

Unser neuer Glasfaseranschluss, der eigentlich für die Anbindung des Außenstandortes geplant war, lässt aber den RED Tunnel nicht zu.

Die Firewall kommt ins Internet und kann Seiten auflösen. Auch ein Client der an der Firewall über LAN angeschlossen ist, kommt über die Glasfaserleitung ins Internet. 

Der ISP kann sich das auch nicht erklären und wir wissen nicht so recht wo wir ansetzen sollen. 

Leider habe ich auf der Clientseite keine detaillierten LOGs für den RED Verbindungsaufbau gefunden. Sind diese irgendwo einsehbar ?

Irgendwelche Ideen? Könnte es an der MTU Size (ISP) liegen? Derzeit bei uns auf 1500 default eingestellt.

VG



Added TAGs
[edited by: Erick Jan at 8:31 AM (GMT -7) on 8 Jun 2023]
  • +1

    Hallo ,

    Vielen Dank, dass Sie sich an die Community gewandt haben. Sophos RED funktioniert auf den folgenden Ports: TCP 3400 + UDP 3410

    TCP-Port 3400 (Steuerungsverbindung, mit SSL, authentifiziert mit gegenseitiger X509-Zertifikatsprüfung)
    UDP-Port 3410 (gekapselter Datenverkehr, AES256 (enc), SHA1-HMAC (auth))

    Überprüfen Sie mit Hilfe von Telnet auf der FW-Appliance die öffentliche IP der bereitgestellten Glasfaser und prüfen Sie, ob eine Verbindung zu einem der genannten ROTEN Ports hergestellt werden kann.

    Sie können auch über die erweiterte Shell nachsehen: telnet red.astaro.com 3400




    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Vivek Jagad

    Hallo, 

    das Ergebnis  

    telnet red.astaro.com 3400 : connected

    telnet red.astaro.com 3410 : Timeout

  • +1 in reply to Bianca Eggers

    Hallo

    TELNET verwendet das Transmission Control Protocol/Internet Protocol (TCP/IP), um eine Verbindung zu einem entfernten System herzustellen. Die UDP-Konnektivität kann nicht mit Telnet getestet werden.

    Um also festzustellen, ob der Port für den UDP 3410 offen/geschlossen ist, können Sie auf die folgende Website verweisen.

    Um die UDP-Konnektivität zu testen, können Sie die folgende Seite besuchen: www.ipfingerprints.com/portscan.php

    Geben Sie die IP-Adresse ein und erwähnen Sie die Ports:


    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Vivek Jagad

    Hallo,

    das Ergebnis ist folgendes.

    IPV4 ISP Red Server, der auch vorher funktionierte:

    PORT     STATE         SERVICE
    
3410/tcp filtered      networklenss
    
3410/udp open|filtered networklenss


    IPV4 ISP Glasfaser: hier muss man sagen, das es heute morgen noch beides auf "filtered" stand.
    Darauf hin habe ich den ISP angeschrieben und gebeten die ports 3400 /3410 für red.astaro.com zu prüfen. 
    Host is up.
    
PORT     STATE         SERVICE
    
3410/tcp filtered      networklenss
    
3410/udp open|filtered networklenss



    Nun das Problem ist aber immer noch, dass die Verbindung nicht zustande kommt. 
    Ich habe auf der xg115 ( RED client) keine Regel für 3400 / 3410. Nur eine LAN2LAN und die Verbindung über
    DSL und Hotspot funktioniert sofort. Ich vermute es muss am ISP Glasfaser liegen. Die weisen natürlich die schuld von sich :-(

    Ich finde aber keine Logfiles auf der xg115 für diese Verbindung um zu gucken woran es liegen könnte. In der Protokollansicht
    finde ich keine RED Einträge. Nur wenn der RED Tunnel erfolgreich ist, sehe ich mit dem VPN Filter die Verbindung.




    edit
    [edited by: Bianca Eggers at 2:22 PM (GMT -7) on 30 Jun 2022]
  • +1 in reply to Bianca Eggers

    Hallo ,

    Wenn der Zustand als offen|gefiltert markiert ist – bedeutet, dass der Port-Scanner nicht feststellen kann, ob er gefiltert oder offen ist.

    natürlich mit DSL und Hotspot funktioniert sofort. Aber mit der Glasfaser haben sie möglicherweise bestimmte Ports eingeschränkt.

    Daher müssen Sie sicherstellen, dass der UDP-Port 3410 vom ISP vom WAN-Port, der mit der FW-Appliance verbunden ist, sowie von der WAN-Verbindung, die mit der RED-Appliance verbunden ist, geöffnet ist.

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Vivek Jagad

    Ich habe einen tcpdump  (tcpdump -nei any port 3400 or 3410)   gemacht auf der Client Seite der xg115 

    Ergebnis:

    09:25:28.612699 Port2, OUT: Out 7c:5a:1c:6c:ab:dd ethertype IPv4 (0x0800), lengt
    h 68: 185.x.x.x43118 > 88..x.x.x 3400: Flags [S], seq 1363872522, win
    29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
    09:25:29.642235 Port2, OUT: Out 7c:5a:1c:6c:ab:dd ethertype IPv4 (0x0800), lengt
    h 68: 185..x.x.x43118 > 88..x.x.x3400: Flags [S], seq 1363872522, win
    29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
    09:25:31.662215 Port2, OUT: Out 7c:5a:1c:6c:ab:dd ethertype IPv4 (0x0800), lengt
    h 68: 185.x.x.x43118 > 88..x.x.x3400: Flags [S], seq 1363872522, win
    29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
    09:25:35.850236 Port2, OUT: Out 7c:5a:1c:6c:ab:dd ethertype IPv4 (0x0800), lengt
    h 68: 185..x.x.x.43118 > 88..x.x.x3400: Flags [S], seq 1363872522, win
    29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0

    Es scheint eine Kommunikation auf Port 3400 zwischen Client WAN IP 185.... und Server WAN IP 88..... statt zu finden.

    Ich habe auf beiden Seiten eine Regel für Port 3400 und 34100 für WAN IP RED Server Firewall, WAN IP RED Client Firewall und red.astaro.com erstellt. Danach konnte auch keine Verbindung aufgebaut werden. Zum testen habe ich eine ANY Regel für die Ports 3400 und 3410  erstellt und auch da keine Änderung.

    Bleibt nur der ISP? 

    Danke für den Support ! 

     

  • 0 in reply to Bianca Eggers

    Hallo ,

    Basierend auf dem tcpdump, der erfasst wird, wenn die IP 185.x.x.x43118 > 88..x.x.x 3400 versucht, ein SYN-Paket zu senden, das allererste Paket in einem 3-Wege-Handshake, bestätigt die IP 88..x.x.x 3400 die gesendete SYN-Anfrage nicht von 185.x.x.x43118

    Also, ja, es ist besser, beim ISP nachzufragen, ob die Syn-Anforderung nicht bestätigt wird.

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Vivek Jagad

    Probiere den selben tcpdump auf der anderen Firewall. Dann kansnt du eingrenzen woran es liegt. 

    __________________________________________________________________________________________________________________

Unfiltered HTML