Hallo zusammen,
uns plagen etwaige Probleme seit wir von unserer guten alten Sophos ASG auf Sophos XGS umgeschwenkt sind.
wir haben IP-Sec VPN Tunnel kreuz und quer durch ganz Deutschland, IKEv2, Verbindung ist da und es läuft Datentraffic darüber.
Probleme und Kopfzerbrechen bereitet mir nun meine Citrix Farm, die unter bestimmten Konstellationen einfach nicht laufen will. gewisse Igel ThinClients und meine Citrix Workspace App aus der Niederlassung können meine Citrix Farm in Hauptniederlassung nicht erreichen. Ich habe nun die halbe Welt in Bewegung gebracht, Sophos direkt, meine ISP Provider, meinen Sophos Partner. Irgendwie kommen wir nicht weiter.
Was mir aufgefallen ist: Sobald in der Niederlassung eine AVM Fritzbox steht habe ich die Probleme bzw. sobald ich eine PPPoE Einwahl mit einem MTU von 1492 habe.
bei einer Niederlassung mit einer "richtige" Glasleitung ohne Fritzbox und einem MTU von 1500 scheinen die Probleme nicht zu bestehen.
eine weitere Gemeinsamkeit besteht darin dass bei den funktionierenden Tunnel die public IP direkt auf der Schnittstelle der Sophos gelegt ist, bei den nicht funktionierenden liegt die public IP auf der Fritzbox, durch ein Transfernetz geht es dann zur Sophos weiter.
mit Sophos habe ich nun dutzende tcpdumps erstellt, die Rede ist von falschen MSS Werten, daraufhin haben wir in der Shell direkt angefangen diese händisch anzupassen mit Hilfe des "iptables" Befehls, hat auch keine Besserung gebracht.
Hat irgendwer hier vielleicht die gleiche Konstellation oder ähnliche Erfahrungen gemacht? mit der alten Sophos ASG hatte ich über 10 Jahre nie ein Problem. an den Providern hat sich nichts geändert, nur die Firewall in der Hauptniederlassung wurde auf XGS migriert. Seitdem spielen wir am IPSec-Accelerator, MTU Werten, MSS Werte usw usw usw... Bisher ohne Erfolg...
Ich suche hier nach neuem Imput, da mir langsam echt die Ideen ausgehen.
Vielen Dank an alle...
Added TAGs
[edited by: Raphael Alganes at 10:24 AM (GMT -7) on 29 Oct 2024]
