Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Replies 14 replies
  • Answers 2 answers
  • Subscribers 10 subscribers
  • Views 914 views
  • Users 0 members are here
Options
Suggested

IPSEC-Tunnel funktioniert nicht seit Umstieg auf XGS

antonio_esposito

Hallo zusammen,

uns plagen etwaige Probleme seit wir von unserer guten alten Sophos ASG auf Sophos XGS umgeschwenkt sind.

wir haben IP-Sec VPN Tunnel kreuz und quer durch ganz Deutschland, IKEv2, Verbindung ist da und es läuft Datentraffic darüber.

Probleme und Kopfzerbrechen bereitet mir nun meine Citrix Farm, die unter bestimmten Konstellationen einfach nicht laufen will. gewisse Igel ThinClients und meine Citrix Workspace App aus der Niederlassung können meine Citrix Farm in Hauptniederlassung nicht erreichen. Ich habe nun die halbe Welt in Bewegung gebracht, Sophos direkt, meine ISP Provider, meinen Sophos Partner. Irgendwie kommen wir nicht weiter.

Was mir aufgefallen ist: Sobald in der Niederlassung eine AVM Fritzbox steht habe ich die Probleme bzw. sobald ich eine PPPoE Einwahl mit einem MTU von 1492 habe.

bei einer Niederlassung mit einer "richtige" Glasleitung ohne Fritzbox und einem MTU von 1500 scheinen die Probleme nicht zu bestehen.

eine weitere Gemeinsamkeit besteht darin dass bei den funktionierenden Tunnel die public IP direkt auf der Schnittstelle der Sophos gelegt ist, bei den nicht funktionierenden liegt die public IP auf der Fritzbox, durch ein Transfernetz geht es dann zur Sophos weiter.


mit Sophos habe ich nun dutzende tcpdumps erstellt, die Rede ist von falschen MSS Werten, daraufhin haben wir in der Shell direkt angefangen diese händisch anzupassen mit Hilfe des "iptables" Befehls, hat auch keine Besserung gebracht.

Hat irgendwer hier vielleicht die gleiche Konstellation oder ähnliche Erfahrungen gemacht? mit der alten Sophos ASG hatte ich über 10 Jahre nie ein Problem. an den Providern hat sich nichts geändert, nur die Firewall in der Hauptniederlassung wurde auf XGS migriert. Seitdem spielen wir am IPSec-Accelerator, MTU Werten, MSS Werte usw usw usw... Bisher ohne Erfolg...

Ich suche hier nach neuem Imput, da mir langsam echt die Ideen ausgehen.

Vielen Dank an alle...



Added TAGs
[edited by: Raphael Alganes at 10:24 AM (GMT -7) on 29 Oct 2024]
  • 0

    Hallo,

    das ist ein altes Problem an den PPPoE Leitungen (Telekom?), es gibt eine einfache Lösung:

    Du musst auch die MTU auf der LAN-Seite herabsetzen, Ich würde mal mit MTU 1492 und MSS 1320 anfangen. Dann einfach ausprobieren, ab welcher Größe es klemmt. Testen mit ping und Angabe der Größe des Pakets, also zum Beispiel ping 192.168.178.1 -l 1320 . Ich kann dir auch ein Skript für die Clients geben.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to PhilippRusch

    Hallo und vielen Dank für den Hinweis.

    kurze Frage dazu: muss die Änderung nur an der XGS der Niederlassung erfolgen?

    zum Verständnis: die Niederlassung ist bei uns der Initiator, wir am Hauptsitz sind immer der Responder. Wo also muss die Änderung durchgeführt werden? Beide Seiten? nur eine?

    die PPPoE Leitungen kommen von unterschiedlichen Providern, wir operieren in ganz Deutschland und da sind wir an dem gebunden was wir Ort eben haben können. Also Telekom, Versatel, LEW telnet, völlig unterschiedlich. Auffällig ist eben die PPPoE Einwahl.

    Habe ich das richtig verstanden: LAN Seite? nicht die WAN? die WAN Schnittstelle kann bleiben wie sie ist?

    Kann ich die Änderung problemlos im laufendem Betrieb durchführen? bei Änderungen von MTU Werten bin ich immer sehr vorsichtig...

    Warum hatte ich den Streß mit der ASG nicht? die Lief über 10 Jahren problemlos, was macht die XGS da anders als die ASG?

  • 0 in reply to antonio_esposito

    Ja, in meinem Beispiel ist Port1 die LAN-Schnittstelle.

    Du kannst dir das so vorstellen: wenn aus dem LAN Pakete kommen, die die WAN-Strecke überfordern, dann wird entweder fragmentiert und/oder es baut sich eine Warteschlange auf. Das merkt man dann sofort. Manche Router kommen damit auch gar nicht klar.

    Wenn man die "Innenseite" also herabsetzt, kann das nicht mehr passieren. Was dann meist auch nicht sauber läuft, sind iPhones an einem WLAN hinter einem solchen PPPoE-Anschluss ("Das WLAN ist hier sooo schlecht")

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0

    Ist das ein Route Based VPN Tunnel? Dort kannst du die MTU direkt auf dem XFRM Interface einstellen? 

    SFOS nutzt kein MSS Clapping, daher kann es zu Themen im Policy Based VPN Kommen. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    DER Top-Artikel zu IPv4 Fragmentation und MTU, MSS und MSS-Clamping:

    https://www.cisco.com/c/en/us/support/docs/ip/generic-routing-encapsulation-gre/25885-pmtud-ipfrag.html

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0

    Wenn "nur" Citrix betroffen ist, könnte man auch die MTU an den betroffenen Citrix Servern verkleinern.

    Welcher Teil hat denn dort Probleme (Storefront, VDA, anderes)?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to PhilippRusch

    Danke für den Tipp, habe es gestern noch probiert aber nein, leider noch kein Erfolg. Was jetzt noch kurios ist:

    ich habe eine Niederlassung, die hatten bisher immer eine Unity Media Kabel Anbindung, die öffentliche IP ist direkt auf Port 2 der XGS gematched gewesen, MTU 1500. Nie Probleme gehabt

    Seit letzter Woche auf Glas gewechselt von versatel, nun haben wir eine Fritzbox an dem Standort, die PPPoE Einwahl durchführt, die öffentliche IP ist auf der Fritzbox gemünzt, an Port 5 der XGS habe ich lediglich eine 192.168.178.2 IP-Adresse aus dem Transfernetz... MTU 1500

    jetzt kommen auch hier Verbindungprobleme, Igel und CTX Workspace App dauern entweder ewig oder gehen garnicht. Wechsel ich die IPSEC-Verbindung zurück auf die Unity Media Kabelverbindung ist alles wieder sauber und es rennt alles.

    ich würde einen tcpdump erstellen, einmal über die gute Unity Media und dann über die schlechte versatel und mit wireshark bissle prüfen.

    worauf muss ich da dann achten?

    Habe seit drei Wochen ein Ticket bei Sophos offen aber es geht nur langsam woran, bzw. garnicht. Deren Vorschlag war es mittels iptables den MSS Wert anzupassen. In etwa so:

    iptables -t mangle -I POSTROUTING -s 192.168.2.22 -d 192.168.100.21 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1312

    Schon mal Erfahrung damit gehabt?

  • 0 in reply to LuCar Toni

    Hallo, nein kein route based VPN, "klassisches" IPSec Tunnel und dann entsprechende Firewallregeln

  • 0 in reply to dirkkotte

    an dem ganzen Citrix habe ich mich nicht ran gewaagt, weil grundsätzlich läuft ja alles und wir haben nur bei uns die ASG durch die XGS getauscht, daher mein Gedanke dass Citrix unschuldig ist und ich dort keine Anpassungen vornehmen muss.

    es betrifft den VDA Loadbalancer, alle meine Clients, ob Igel Thin Client oder Windows Geräte nutzen die URL "citrix.domäne.de", diese zeigt auf den internen Loadbalancer, der dann deinen connect weiterreicht.

  • 0 in reply to antonio_esposito

    Könntest du einen IPsec Route Based probieren? 

    __________________________________________________________________________________________________________________

Unfiltered HTML