Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 8 subscribers
  • Views 907 views
  • Users 0 members are here
Options
Suggested

SSL VPN trennt kurz

TobiasSchubert

Hallo,

wir haben zwei Sophos XG per SSL VPN verbunden. Gelegentlich trennt sich diese Verbindung kurz und ich bin auf Ursachenforschung.

Im Log der Sophos mit eingehender Verbindung:

2024-01-24 08:07:32Z [15177] SRV_F3FE4634464B05A5C3E3FE950FA1DF5F/10.101.1.14:29566 MULTI: Learn: 172.16.11.8 -> SRV_F3FE4634464B05A5C3E3FE950FA1DF5F/10.101.1.14:29566
2024-01-24 08:09:10Z [15177] MULTI: Learn: 172.16.11.5 -> SRV_F3FE4634464B05A5C3E3FE950FA1DF5F/10.101.1.14:29566
2024-01-24 08:10:23Z [15177] SRV_F3FE4634464B05A5C3E3FE950FA1DF5F/10.101.1.14:29566 Connection reset, restarting [-1]
2024-01-24 08:10:23Z [15177] SRV_F3FE4634464B05A5C3E3FE950FA1DF5F/10.101.1.14:29566 SIGUSR1[soft,connection-reset] received, client-instance restarting
GARNER: log disconnect event: username=DD
2024-01-24 08:10:23Z [15177] PLUGIN_CALL: POST /lib/openvpn-plugin-utm.so/PLUGIN_CLIENT_DISCONNECT status=0
2024-01-24 08:10:33Z [15177] TCP connection established with [AF_INET6]::ffff:10.101.1.14:13963
2024-01-24 08:10:33Z [15177] 10.101.1.14:13963 TLS: Initial packet from [AF_INET6]::ffff:10.101.1.14:13963, sid=6142dc2b 1dee8372

Sophos, welche die Verbindung aufbaut:

2024-01-24 04:35:51Z [14845] TLS: tls_process: killed expiring key
2024-01-24 08:10:23Z [14845] Connection reset, restarting [0]
GARNER: log disconnect event: username=SVFG
2024-01-24 08:10:23Z [14845] PLUGIN_CALL: POST /lib/openvpn-plugin-utm.so/PLUGIN_ROUTE_PREDOWN status=0
2024-01-24 08:10:23Z [14845] /sbin/ip route del ...

Was ist aber die Ursache für diese Trennung?

VG, Tobias



Added TAGs
[edited by: Raphael Alganes at 10:35 AM (GMT -8) on 24 Jan 2024]
  • 0

    Schönen guten abend Tobias,
    nur um generelle Verbindungsprobleme auszuschließen. Was passiert bei einer IPSec VPN. Profil Konfiguration Initiator  Branchoffice und die Firewall die annimt auf Headoffice, Authentifizierung Mail identifier und RSA Key. Das Konstruckt habe ich recht viel draussen und hier weiß ich das es nahe zu perfekt läuft.

    SSL VPNs nehme ich meist nur für den Sophos VPN Client, die Firewalls selber Site-to-Site VPN hingegen haben sich sehr mit IPSec bewiesen. Aber im Prinziep muss beides sauber laufen, was passiert wenn du die beiden Firewalls per Sophos - RED verbindest, das geht ja auch.

    Viele Grüße

    Patrick

  • 0 in reply to Patrick81

    Hallo Patrick,

    wir hatten uns für SSL VPN entschieden, weil die Sophos den IPSec -Tunnel- Eingang nur auf WAN erlaubt.

    Die DMZ-Sophos läuft als VM im Rechenzentrum unsres ISP. Deshalb soll die Firewall im Haus den Tunnel zur DMZ-Firewall aufbauen. Und diese muss die Verbindung dann auf der LAN-Seite akzeptieren.

    Der Tunnel der Heimarbeitsplätze wird von aussen zu dieser Sophos in der DMZ aufgebaut.

    Würde denn da eine RED-Verbindung zwiechen den beiden Sophos Sinn machen? (Gibt es da eine Doku über Vor / Nachteile?)

    Grundsätzlich funktioniert die Verbindung ja. Ich würde nur gern wissen, warum die Verbindung gelegentlich kurz zusammen bricht. Ein Verbindungsproblem könnte ich dann an den ISP weiter leiten...

    Viele Grüße

    Tobias

  • 0 in reply to TobiasSchubert

    ok, das macht die Sache natürlich nicht einfacher Slight smile.

    Aber ich glaube ich habe einen Verdacht, das ist mir tatsächlich auch bei einigen Kunden passiert. Sorry das ich mich nicht früher dran erinnert habe, falls es bei dir das gleiche Problem ist, sollte das hier helfen! Die habe ich damals in der Sophos hochgestellt, seid dem ist Ruhe Smiley. Ich hoffe das war ein Treffer .

    Viele Grüße

    Patrick

  • 0 in reply to Patrick81

    Hallo,

    ich kann die Gültigkeit gern etwas hochsetzen. Aber sollte der Schlüssel nicht während der Verbindung neu ausgehandelt werden ohne dass es zu einer Unterbrechung kommt?

    Aktuell steht die Gültigkeit auch auf 8 Stunden - so oft passiert die Trennung aber gar nicht...

    Hast Du denn im SSL die Kompression angeschaltet? Ist das gut oder fürht es eher zu Problemen?

    VG,

  • 0 in reply to TobiasSchubert

    Hallo,

    die Key Lifetime ist zur Zeit 28800s, also 8 Stunden. Die letzte Trennung war am 22.2., dann gestern früh 7:25 und 7:32.

    Da habe ich einmal den Debug Modus eingeschaltet. Nachmittag 16:17 hat er wieder kurz getrennt.

    Im Protokoll steht nun:

    2024-02-26 15:16:48 us=879605Z [13848] TCP_CLIENT WRITE [77] to [AF_INET]x.x.x.x:443: P_DATA_V2 kid=1 DATA len=76
    2024-02-26 15:16:49 us=131394Z [13848] TUN READ [52]
    2024-02-26 15:16:49 us=131444Z [13848] [Appliance_Certificate_zPNF6L9OSp5K4lp] Inactivity timeout (--ping-restart), restarting
    2024-02-26 15:16:49 us=131622Z [13848] TCP/UDP: Closing socket
    GARNER: log disconnect event: username=SVFG
    2024-02-26 15:16:49 us=141993Z [13848] PLUGIN_CALL: POST /lib/openvpn-plugin-utm.so/PLUGIN_ROUTE_PREDOWN status=0
    2024-02-26 15:16:49 us=142032Z [13848] /sbin/ip route del ...

    ... löschen aller Routen

    2024-02-26 15:16:49 us=156775Z [13848] Closing TUN/TAP interface
    2024-02-26 15:16:49 us=156794Z [13848] /sbin/ip addr del dev tun21 10.242.2.2/24
    2024-02-26 15:16:49 us=169649Z [13848] SIGUSR1[soft,ping-restart] received, process restarting
    2024-02-26 15:16:49 us=169680Z [13848] Restart pause, 10 second(s)
    2024-02-26 15:16:59 us=179280Z [13848] Control Channel MTU parms [ L:1624 D:1210 EF:40 EB:0 ET:0 EL:3 ]

    Ich habe die IP-Adresse mit x.x.x.x erstzt.

    Was meint er mit:

    [Appliance_Certificate_zPNF6L9OSp5K4lp] Inactivity timeout (--ping-restart), restarting

    obwohl Datenverkehr auf der Leitung war.

    VG, Tobias

Unfiltered HTML