Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Server hinter Site2Site nicht erreichbar

Hallo zusammen,

leider komme ich mit dem Sophos Support hier nicht oder nur schleppend weiter.

Folgende Situatiion:

Wir haben eine XGS3100 beim Kunden am Main Office in Betrieb genommen. Daran angebunden sind diverse Standorte hinter einem Site2Site Tunnel. Sämtliche Standorte haben noch eine Sophos UTM, wie zuvor auch im Main Office.

Seit Umstellung auf die XGS haben wir Probleme beim Zugriff auf verschiedene Web Services hinter dem Tunnel. Beispielhaft komme ich vom Main Office nicht per HTTP auf unsere Gigaset DECT Basen. Das gleiche Problem hatten wir damals mit der UTM auch, hier war allerdings der Webfilter schuld. Das Subnetz des entfernten Standorts haben wir damals aus dem Webfilter ausgenommen und eine eigene Firewall-Regel erstellt.

Ich habe für diesen Fall eine Regel völlig ohne Webfilter oder andere aktive Schutzkomponenten erstellt. SSL/TLS inspection ist global deaktiviert. Ich sehe, dass der Traffic erlaubt wird (auch auf UTM Seite), das Webinterface lädt sich aber tot und läuft dann in einen Timeout.

ipsec-acceleration und firewall-acceleration wurden deaktiviert, ohne Erfolg

Die DECT Basen sind nicht das einzige Problem, auch andere HTTP/HTTPS Anfragen die über den Tunnel gehen funktionieren nicht.

Sobald die XGS nicht mehr das VPN übernimmt, ist der Zugriff wieder möglich

Jemand noch eine Idee?

Für die Site2Sites nutze ich eine Policy:

IKEv1
Main Mode

Phase1:
Key life: 28800
Re-Key Margin: 120
Randomize rekeying margin by: 0
DH group: 14
Encryption: AES256
Authentication: SHA2 256

Phase2:
PFS group: same as phase 1
Key life: 3600
Encryption: AES256
Authentication: SHA2 256

Dead Peer Detection:
Check peer after every: 30 seconds
Wait for response up to: 120 Seconds
When peer unreachable: Re-initiate

Vielen Dank im Voraus



This thread was automatically locked due to age.
Parents Reply
  • Ein MTU-Problem ist wirklich naheliegend.

    Man könnte an einem Client testweise die MTU drastisch heruntersetzen.

    Dann muss der angesprochene Server auch mit dieser MTU antworten.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • Perfekt, das hat für den Anwendungsfall geholfen! Es ist also definitiv ein Problem mit der MTU. Vielen Dank soweit für die grandiose Unterstützung, die der Sophos Support bisher nicht bieten konnte!

    Ich habe auf dem Windows Server, über welchen ich den Aufruf versuche, die MTU testweise mal auf 1400 runtergesetzt. und kann nun problemlos zur DECT Basis verbinden

    Die Frage ist nun, was mache ich mit dem Gesamtnetzwerk? Ich hatte gestern bereits auf Seiten der UTM die MTU der Schnittstelle, an der die Gigaset DECT Basis hängt auf 1400 runtergesetzt, das hatte keinen Erfolg.

    Unsere WAN Strecken haben i.d.R. eine MTU von 1492.

    Was wäre hier das Best Practice? Wie würdet ihr vorgehen? Kriege ich den IPSec Tunneln irgendwie beigebracht damit umzugehen?

  • Ok, wenn feststeht, dass es die MTU ist, kommen wieder die Vorschläge von LuCar Toni zu Zuge.

    Eigentlich sollte ein Kommunikationsteilnehmer per ICMP mitgeteilt bekommen, wenn die MTU nicht passt und diese dann selber verkleinern ... oder das Paket wird fragmentiert. Dazu muss das MTU-Discovery aber funktionieren. Also mal aktivieren.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.