Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

IPSEC-Tunnel funktioniert nicht seit Umstieg auf XGS

Hallo zusammen,

uns plagen etwaige Probleme seit wir von unserer guten alten Sophos ASG auf Sophos XGS umgeschwenkt sind.

wir haben IP-Sec VPN Tunnel kreuz und quer durch ganz Deutschland, IKEv2, Verbindung ist da und es läuft Datentraffic darüber.

Probleme und Kopfzerbrechen bereitet mir nun meine Citrix Farm, die unter bestimmten Konstellationen einfach nicht laufen will. gewisse Igel ThinClients und meine Citrix Workspace App aus der Niederlassung können meine Citrix Farm in Hauptniederlassung nicht erreichen. Ich habe nun die halbe Welt in Bewegung gebracht, Sophos direkt, meine ISP Provider, meinen Sophos Partner. Irgendwie kommen wir nicht weiter.

Was mir aufgefallen ist: Sobald in der Niederlassung eine AVM Fritzbox steht habe ich die Probleme bzw. sobald ich eine PPPoE Einwahl mit einem MTU von 1492 habe.

bei einer Niederlassung mit einer "richtige" Glasleitung ohne Fritzbox und einem MTU von 1500 scheinen die Probleme nicht zu bestehen.

eine weitere Gemeinsamkeit besteht darin dass bei den funktionierenden Tunnel die public IP direkt auf der Schnittstelle der Sophos gelegt ist, bei den nicht funktionierenden liegt die public IP auf der Fritzbox, durch ein Transfernetz geht es dann zur Sophos weiter.


mit Sophos habe ich nun dutzende tcpdumps erstellt, die Rede ist von falschen MSS Werten, daraufhin haben wir in der Shell direkt angefangen diese händisch anzupassen mit Hilfe des "iptables" Befehls, hat auch keine Besserung gebracht.

Hat irgendwer hier vielleicht die gleiche Konstellation oder ähnliche Erfahrungen gemacht? mit der alten Sophos ASG hatte ich über 10 Jahre nie ein Problem. an den Providern hat sich nichts geändert, nur die Firewall in der Hauptniederlassung wurde auf XGS migriert. Seitdem spielen wir am IPSec-Accelerator, MTU Werten, MSS Werte usw usw usw... Bisher ohne Erfolg...

Ich suche hier nach neuem Imput, da mir langsam echt die Ideen ausgehen.

Vielen Dank an alle...



Added TAGs
[edited by: Raphael Alganes at 10:24 AM (GMT -7) on 29 Oct 2024]
Parents Reply Children
  • DER Top-Artikel zu IPv4 Fragmentation und MTU, MSS und MSS-Clamping:

    https://www.cisco.com/c/en/us/support/docs/ip/generic-routing-encapsulation-gre/25885-pmtud-ipfrag.html

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo, nein kein route based VPN, "klassisches" IPSec Tunnel und dann entsprechende Firewallregeln

  • Könntest du einen IPsec Route Based probieren? 

    __________________________________________________________________________________________________________________

  • wow... seit drei Wochen tu ich jetzt rum und endlich etwas Licht am Ende des Tunnels

    also wie du vorgeschlagen hast habe ich eine route based vpn erstellt, dabei folgenden Artikel Schritt für Schritt durchgegangen

    Create a route-based VPN (any to any subnets) - Sophos Firewall

    Jetzt... meine Windows Endgeräte funktionieren nun. Meine Workspace App öffnet sich, ich sehe meine Apps (das ging vorher schon garnicht) und ich kann meine Apps tatsächlich starten.

    selbiges an meinen Igel ThinClient, ich sehe endlich meinen Storefront, also meine Apps, das ging auch vorher schon garnicht. Allerdings bekomme ich hier noch eine Fehlermeldung beim Starten der Apps, der Igel schafft es nicht, anders als der Windows PC, die App zu starten. Ich bekomme lediglich die Meldung das er meinen Target Device nicht erreichen kann.

    Wo genau kann ich nun am route based VPN den MTU Wert einstellen?

  • Unter WAN findest du das XFRM Interface. Dort kannst du die MTU anpassen. 

    __________________________________________________________________________________________________________________

  • ich habe deinen Rat befolgt und einen Tunnel testweise auf route based umgebaut, jetzt komme ich deutlich weiter als bisher. meine Windows Geräte funktionieren und meine Igel können aber einer bestimmten IGEL OS Version auch drauf. Danke erstmal für den hilfreichen Tipp!!

    ich habe mich gestern dann noch etwas intensiver mit der Thematik befasst. Ich verstehe die Unterschiede in der Funktionsweise zwischen policy based und route based, dennoch verstehe ich nicht warum dieser eine Anwendungsfall, VDI über Citrix, nur über route based funktionieren soll? IPSec ist IPSec, ich verwende in beiden Fällen IKEv2, der eine initiiert, der andere antwortet. am Tunnel an sich ist ja nichts anderes. Es ändert sich "nur" das Routing der Pakete, richtig?

    Es funktioniert sogar ohne an der xfrm Schnittstelle die MTU werte geändert zu haben, hier habe ich immer noch den default Wert 1400 stehen.

    Spielen hier unterschiedliche MTU Werte eine Rolle? bei policy based geht es ja über den physischen Port 2, bei route based über den virtuellen VTI xrfm Schnittstelle?

    Warum ging es jahrzehntelang problemlos über die alte Sophos ASG? Da hatte ich nur policy based und es gab nie Probleme. erst jetzt mit der XGS am Hauptstandort.

    Und warum kam der Sophos Techniker nicht auf die simple Idee "versuch mal route based"?? mit dem tu ich seit drei Wochen rum, er schlägt immer nur vor mittels Shell und iptables Befehle den MSS Wert des Traffics anzupassen. Andere Vorschläge gibt es nicht...

  • Policy based ist bei allen Produkten keine gute Idee. UTM hat das umgesetzt und daher hatten viele Kunden Policy based. Jedoch Route Based VPN übergibt das routing dem Routing Stack in dem Produkt, was es deutlich einfacher macht, für ein Produkt die Routen sauber aufzubauen. 

    Die UTM Firewall hat mit vielen Tricks Policy Based umsetzbar gemacht, jedoch die meisten anderen Hersteller setzen schon sehr lange auf Route Based VPN. 

    Policy based auf der SFOS Firewall ist jedoch ohne MSS Clapping, was ggf. zu einem Thema führen "kann". Daher lieber mit Route Based und einer klaren unterteilung auf XFRM Interface arbeiten. Dann bist du auch zukunftsorientiert aufgestellt.

    Weil bei Route Based VPN kannst du auch andere Dinge umsetzen:  Sophos Firewall: VPN & SD-WAN Zero Downtime Failover - Best Practice Guide So etwas konnte die UTM nie.  

    __________________________________________________________________________________________________________________