Web Server hinter Site2Site nicht erreichbar

Wenn du einen Paket Capture auf der SFOS Firewall machst (Webadmin), siehst du die Pakete in Richtung IPsec0? 
Ich würde halt generell einfach einen RED Site to Site Spannen mit statischen Routen (und wenn du die UTM migrierst dann IPsec Route based). 
Damit sollte das Thema erledigt sein. 

Ja, den Traffic sehe ich in Richtung ipsec0
Das mit dem RED Tunnel werde ich probieren, allerdings muss es ja auch per IPSec möglich sein, auf die Ressourcen vernünftig zuzugreifen.
Zumal wir einen Tunnel zu einem Dienstleister haben, den wir nicht via RED Tunnel bedienen können und auch dort steht ein Webserver.

Siehst du den Traffic im LogViewer? Passen die Rules mit den erwarteten zusammen?

Wird im App-Log nichts geblockt? Greift evtl. eine WAF-Rule?

Ping oder andere Dienste (RDP) sind kein Problem?

Ich habe aktuell während einer Migration mehrere UTM-Standorte an einer XGS-Zentrale. Das funktioniert ... auch interne Web-Seiten.

... nur ein eingetragener "Standard-Proxy" am Client funkte immer wieder dazwischen. So etwas habt ihr nicht ..?

Ja, den Traffic sehe ich im LogViewer und auch im Live Protokoll der UTM. Stimmt auch mit den Regel-IDs überein. Andere Dienste (die DECT Basis macht ja z. B. auch SIP und Co zur PBX am Stammhaus) funktionieren problemlos. Das Problem besteht auch nicht mit allen Zielen, Webinterfaces von unseren Druckern z. B. sind problemlos erreichbar. Ping ist ebenfalls kein Problem. RDP wird ebenfalls an allen Standorten mit vielen Endgeräten auf Terminalserver am Stammhaus genutzt. Das Problem scheint sich wirklich auf einige Webdienste zu beschränken. Die Gigaset Basen sind da auffällig, da das Problem an allen Standorte auftritt. Proxy ist nicht aktiv, nein

Also du siehst die Requests auf der UTM, kommen die Antworten zurück? 
Zeig uns mal den vollständigen Packet Capture auf beiden Seiten, irgendwo gehen die Pakete ja verloren. 

die 10.1.64.131 ist ein System an der XGS (Main Office) an Port F2.212, die 10.23.100.10 ist einer der Dect Manager auf UTM-Seite hinter der Site2Site

Das sieht mir in Ordnung aus - Die Kommunikation wird aufgebaut und alle Parteien erhalten die Pakete. 

Was sein kann, ist die MTU Size vielleicht zu groß? 

Könntest du davon einen Wireshark PCAP machen und es mit Wireshark öffnen: 

tcpdump -ni any port 80 -b -w /tmp/test.pcap 

Danach Seite aufrufen. 

Danach die Datei mit pscp herunterladen: support.sophos.com/.../KB-000037007

Kann die PCAPs hier leider nicht hochladen, habe aber einen direkt auf der XGS erstellt:



und einen am System über welches ich den Zugriff versuche:

Das obere ist die SFOS Firewall? 
Da sieht man das ACK fliegen.

Kannst du auf der UTM das auch machen? Das scheint verloren zu gehen. 

Klar:

Hier fallen mir die Pakete mit Length 1512 an. Die MTU der WAN Anschlüsse liegt bei 1492

Genau, die obere ist die XGS im Main Office

Ja ist wohl das alte MTU Problem mit IPsec overhead. Diese Pakete werden nicht gesendet. 

Verwendest du auf der UTM: 

?

Ja ist wohl das alte MTU Problem mit IPsec overhead. Diese Pakete werden nicht gesendet. 

Verwendest du auf der UTM: 

?

Nein, das ist deaktviert

Versuch es damit mal, damit die UTM die MTU Size discoveren kann. 

Habe es soeben getestet, leider ohne Besserung. Werde morgen den Trace noch einmal neu erstellen und prüfen, ob sich da was verändert hat

Ein MTU-Problem ist wirklich naheliegend.

Man könnte an einem Client testweise die MTU drastisch heruntersetzen.

Dann muss der angesprochene Server auch mit dieser MTU antworten.

Perfekt, das hat für den Anwendungsfall geholfen! Es ist also definitiv ein Problem mit der MTU. Vielen Dank soweit für die grandiose Unterstützung, die der Sophos Support bisher nicht bieten konnte!

Ich habe auf dem Windows Server, über welchen ich den Aufruf versuche, die MTU testweise mal auf 1400 runtergesetzt. und kann nun problemlos zur DECT Basis verbinden

Die Frage ist nun, was mache ich mit dem Gesamtnetzwerk? Ich hatte gestern bereits auf Seiten der UTM die MTU der Schnittstelle, an der die Gigaset DECT Basis hängt auf 1400 runtergesetzt, das hatte keinen Erfolg.

Unsere WAN Strecken haben i.d.R. eine MTU von 1492.

Was wäre hier das Best Practice? Wie würdet ihr vorgehen? Kriege ich den IPSec Tunneln irgendwie beigebracht damit umzugehen?

Ok, wenn feststeht, dass es die MTU ist, kommen wieder die Vorschläge von LuCar Toni zu Zuge.

Eigentlich sollte ein Kommunikationsteilnehmer per ICMP mitgeteilt bekommen, wenn die MTU nicht passt und diese dann selber verkleinern ... oder das Paket wird fragmentiert. Dazu muss das MTU-Discovery aber funktionieren. Also mal aktivieren.