Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

IPSEC-Tunnel funktioniert nicht seit Umstieg auf XGS

Hallo zusammen,

uns plagen etwaige Probleme seit wir von unserer guten alten Sophos ASG auf Sophos XGS umgeschwenkt sind.

wir haben IP-Sec VPN Tunnel kreuz und quer durch ganz Deutschland, IKEv2, Verbindung ist da und es läuft Datentraffic darüber.

Probleme und Kopfzerbrechen bereitet mir nun meine Citrix Farm, die unter bestimmten Konstellationen einfach nicht laufen will. gewisse Igel ThinClients und meine Citrix Workspace App aus der Niederlassung können meine Citrix Farm in Hauptniederlassung nicht erreichen. Ich habe nun die halbe Welt in Bewegung gebracht, Sophos direkt, meine ISP Provider, meinen Sophos Partner. Irgendwie kommen wir nicht weiter.

Was mir aufgefallen ist: Sobald in der Niederlassung eine AVM Fritzbox steht habe ich die Probleme bzw. sobald ich eine PPPoE Einwahl mit einem MTU von 1492 habe.

bei einer Niederlassung mit einer "richtige" Glasleitung ohne Fritzbox und einem MTU von 1500 scheinen die Probleme nicht zu bestehen.

eine weitere Gemeinsamkeit besteht darin dass bei den funktionierenden Tunnel die public IP direkt auf der Schnittstelle der Sophos gelegt ist, bei den nicht funktionierenden liegt die public IP auf der Fritzbox, durch ein Transfernetz geht es dann zur Sophos weiter.


mit Sophos habe ich nun dutzende tcpdumps erstellt, die Rede ist von falschen MSS Werten, daraufhin haben wir in der Shell direkt angefangen diese händisch anzupassen mit Hilfe des "iptables" Befehls, hat auch keine Besserung gebracht.

Hat irgendwer hier vielleicht die gleiche Konstellation oder ähnliche Erfahrungen gemacht? mit der alten Sophos ASG hatte ich über 10 Jahre nie ein Problem. an den Providern hat sich nichts geändert, nur die Firewall in der Hauptniederlassung wurde auf XGS migriert. Seitdem spielen wir am IPSec-Accelerator, MTU Werten, MSS Werte usw usw usw... Bisher ohne Erfolg...

Ich suche hier nach neuem Imput, da mir langsam echt die Ideen ausgehen.

Vielen Dank an alle...



Added TAGs
[edited by: Raphael Alganes at 10:24 AM (GMT -7) on 29 Oct 2024]
Parents
  • Wenn "nur" Citrix betroffen ist, könnte man auch die MTU an den betroffenen Citrix Servern verkleinern.

    Welcher Teil hat denn dort Probleme (Storefront, VDA, anderes)?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • Wenn "nur" Citrix betroffen ist, könnte man auch die MTU an den betroffenen Citrix Servern verkleinern.

    Welcher Teil hat denn dort Probleme (Storefront, VDA, anderes)?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • an dem ganzen Citrix habe ich mich nicht ran gewaagt, weil grundsätzlich läuft ja alles und wir haben nur bei uns die ASG durch die XGS getauscht, daher mein Gedanke dass Citrix unschuldig ist und ich dort keine Anpassungen vornehmen muss.

    es betrifft den VDA Loadbalancer, alle meine Clients, ob Igel Thin Client oder Windows Geräte nutzen die URL "citrix.domäne.de", diese zeigt auf den internen Loadbalancer, der dann deinen connect weiterreicht.