Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Server hinter Site2Site nicht erreichbar

Hallo zusammen,

leider komme ich mit dem Sophos Support hier nicht oder nur schleppend weiter.

Folgende Situatiion:

Wir haben eine XGS3100 beim Kunden am Main Office in Betrieb genommen. Daran angebunden sind diverse Standorte hinter einem Site2Site Tunnel. Sämtliche Standorte haben noch eine Sophos UTM, wie zuvor auch im Main Office.

Seit Umstellung auf die XGS haben wir Probleme beim Zugriff auf verschiedene Web Services hinter dem Tunnel. Beispielhaft komme ich vom Main Office nicht per HTTP auf unsere Gigaset DECT Basen. Das gleiche Problem hatten wir damals mit der UTM auch, hier war allerdings der Webfilter schuld. Das Subnetz des entfernten Standorts haben wir damals aus dem Webfilter ausgenommen und eine eigene Firewall-Regel erstellt.

Ich habe für diesen Fall eine Regel völlig ohne Webfilter oder andere aktive Schutzkomponenten erstellt. SSL/TLS inspection ist global deaktiviert. Ich sehe, dass der Traffic erlaubt wird (auch auf UTM Seite), das Webinterface lädt sich aber tot und läuft dann in einen Timeout.

ipsec-acceleration und firewall-acceleration wurden deaktiviert, ohne Erfolg

Die DECT Basen sind nicht das einzige Problem, auch andere HTTP/HTTPS Anfragen die über den Tunnel gehen funktionieren nicht.

Sobald die XGS nicht mehr das VPN übernimmt, ist der Zugriff wieder möglich

Jemand noch eine Idee?

Für die Site2Sites nutze ich eine Policy:

IKEv1
Main Mode

Phase1:
Key life: 28800
Re-Key Margin: 120
Randomize rekeying margin by: 0
DH group: 14
Encryption: AES256
Authentication: SHA2 256

Phase2:
PFS group: same as phase 1
Key life: 3600
Encryption: AES256
Authentication: SHA2 256

Dead Peer Detection:
Check peer after every: 30 seconds
Wait for response up to: 120 Seconds
When peer unreachable: Re-initiate

Vielen Dank im Voraus



This thread was automatically locked due to age.
  • Wenn du einen Paket Capture auf der SFOS Firewall machst (Webadmin), siehst du die Pakete in Richtung IPsec0? 
    Ich würde halt generell einfach einen RED Site to Site Spannen mit statischen Routen (und wenn du die UTM migrierst dann IPsec Route based). 
    Damit sollte das Thema erledigt sein. 

    __________________________________________________________________________________________________________________

  • Ja, den Traffic sehe ich in Richtung ipsec0
    Das mit dem RED Tunnel werde ich probieren, allerdings muss es ja auch per IPSec möglich sein, auf die Ressourcen vernünftig zuzugreifen.
    Zumal wir einen Tunnel zu einem Dienstleister haben, den wir nicht via RED Tunnel bedienen können und auch dort steht ein Webserver.

  • Siehst du den Traffic im LogViewer? Passen die Rules mit den erwarteten zusammen?

    Wird im App-Log nichts geblockt? Greift evtl. eine WAF-Rule?

    Ping oder andere Dienste (RDP) sind kein Problem?

    Ich habe aktuell während einer Migration mehrere UTM-Standorte an einer XGS-Zentrale. Das funktioniert ... auch interne Web-Seiten.

    ... nur ein eingetragener "Standard-Proxy" am Client funkte immer wieder dazwischen. So etwas habt ihr nicht ..?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Ja, den Traffic sehe ich im LogViewer und auch im Live Protokoll der UTM. Stimmt auch mit den Regel-IDs überein. Andere Dienste (die DECT Basis macht ja z. B. auch SIP und Co zur PBX am Stammhaus) funktionieren problemlos. Das Problem besteht auch nicht mit allen Zielen, Webinterfaces von unseren Druckern z. B. sind problemlos erreichbar. Ping ist ebenfalls kein Problem. RDP wird ebenfalls an allen Standorten mit vielen Endgeräten auf Terminalserver am Stammhaus genutzt. Das Problem scheint sich wirklich auf einige Webdienste zu beschränken. Die Gigaset Basen sind da auffällig, da das Problem an allen Standorte auftritt. Proxy ist nicht aktiv, nein

  • Also du siehst die Requests auf der UTM, kommen die Antworten zurück? 
    Zeig uns mal den vollständigen Packet Capture auf beiden Seiten, irgendwo gehen die Pakete ja verloren. 

    __________________________________________________________________________________________________________________

  • die 10.1.64.131 ist ein System an der XGS (Main Office) an Port F2.212, die 10.23.100.10 ist einer der Dect Manager auf UTM-Seite hinter der Site2Site

  • Das sieht mir in Ordnung aus - Die Kommunikation wird aufgebaut und alle Parteien erhalten die Pakete. 

    Was sein kann, ist die MTU Size vielleicht zu groß? 

    Könntest du davon einen Wireshark PCAP machen und es mit Wireshark öffnen: 

    tcpdump -ni any port 80 -b -w /tmp/test.pcap 

    Danach Seite aufrufen. 

    Danach die Datei mit pscp herunterladen: support.sophos.com/.../KB-000037007

    __________________________________________________________________________________________________________________

  • Kann die PCAPs hier leider nicht hochladen, habe aber einen direkt auf der XGS erstellt:



    und einen am System über welches ich den Zugriff versuche:

  • Das obere ist die SFOS Firewall? 
    Da sieht man das ACK fliegen.

    Kannst du auf der UTM das auch machen? Das scheint verloren zu gehen. 

    __________________________________________________________________________________________________________________

  • Klar:

    Hier fallen mir die Pakete mit Length 1512 an. Die MTU der WAN Anschlüsse liegt bei 1492

    Genau, die obere ist die XGS im Main Office