Help us enhance your Sophos Community experience. Share your thoughts in our Sophos Community survey.

Thread Info
  • State Not Answered
  • Replies 29 replies
  • Subscribers 0 subscribers
  • Views 18001 views
  • Users 0 members are here
Options
Suggested

[BUG][9.004] RED50 starts over and over again after 1 minute

asg_user
The red50 worked in the first place after some time now it starts again and again after 1 minute. A connect to the utm is possible:

2012:10:31-14:33:50 asg-cluster-1 red_server[8520]: SELF: New connection from 1.2.3.4 with ID A340077F21A7426 (cipher AES256-SHA), rev1
2012:10:31-14:33:50 asg-cluster-1 red_server[11258]: SELF: Starting REDv2 protocol
2012:10:31-14:33:50 asg-cluster-1 red_server[11258]: A340077F21A7426: connected OK, pushing config
2012:10:31-14:33:50 asg-cluster-1 red_server[11258]: A340077F21A7426: Sending PEERS+1.2.3.198+192.168.0.3+1.2.3.198
2012:10:31-14:33:53 asg-cluster-1 red_server[11258]: A340077F21A7426: command 'PING 0'
2012:10:31-14:33:54 asg-cluster-1 red_server[11258]: A340077F21A7426: PING remote_tx=0 local_rx=0 diff=0
2012:10:31-14:33:54 asg-cluster-1 red_server[11258]: A340077F21A7426: PONG local_tx=0
2012:10:31-14:33:57 asg-cluster-1 red2ctl[8472]: Received keepalive from reds1:1, enabling peer 1.2.3.4
2012:10:31-14:34:10 asg-cluster-1 red_server[11258]: A340077F21A7426: command 'PING 0'
2012:10:31-14:34:10 asg-cluster-1 red_server[11258]: A340077F21A7426: PING remote_tx=0 local_rx=0 diff=0
2012:10:31-14:34:10 asg-cluster-1 red_server[11258]: A340077F21A7426: PONG local_tx=0
2012:10:31-14:34:21 asg-cluster-1 red_server[8520]: SELF: (Re-)loading device configurations
2012:10:31-14:34:27 asg-cluster-1 red_server[11258]: A340077F21A7426: command 'PING 0'
2012:10:31-14:34:27 asg-cluster-1 red_server[11258]: A340077F21A7426: PING remote_tx=0 local_rx=0 diff=0
2012:10:31-14:34:27 asg-cluster-1 red_server[11258]: A340077F21A7426: PONG local_tx=0
2012:10:31-14:34:47 asg-cluster-1 red2ctl[8472]: Missing keepalive from reds1:1, disabling peer 1.2.3.4
2012:10:31-14:34:58 asg-cluster-1 red_server[11258]: A340077F21A7426: No ping for 30 seconds, exiting.
2012:10:31-14:34:58 asg-cluster-1 red_server[8520]: A340077F21A7426: disconnecting

My setup is:

red50 - firewall (also an ASG V8) - internet - sophos utm 9.004

At the ASG V8 I see that the red50 at first connects to the utm but after that it conntacts the provisioning server again and restarts. Any ideas?

Regards,
Marco
Parents
  • 0
    They are not sent from the utm back to the red. I did a tcpdump on the outgoing interface of the utm with the red_server:

    09:20:36.898635 IP 1.2.3.4.52528 > 1.2.3.198.3400: S 3200970350:3200970350(0) win 14600 
    09:20:36.898770 IP 1.2.3.198.3400 > 1.2.3.4.52528: S 2467682879:2467682879(0) ack 3200970351 win 14600 
    09:20:36.899964 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 1 win 457
    09:20:36.899976 IP 1.2.3.4.52528 > 1.2.3.198.3400: P 1:102(101) ack 1 win 457
    09:20:36.900074 IP 1.2.3.198.3400 > 1.2.3.4.52528: . ack 102 win 115
    09:20:36.900760 IP 1.2.3.198.3400 > 1.2.3.4.52528: . 1:1461(1460) ack 102 win 115
    09:20:36.900874 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 1461:1756(295) ack 102 win 115
    09:20:36.901424 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 1756 win 639
    09:20:36.901440 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 1461 win 548
    09:20:36.941542 IP 1.2.3.4.52528 > 1.2.3.198.3400: . 102:1562(1460) ack 1756 win 639
    09:20:36.941558 IP 1.2.3.4.52528 > 1.2.3.198.3400: P 1562:2175(613) ack 1756 win 639
    09:20:36.941636 IP 1.2.3.198.3400 > 1.2.3.4.52528: . ack 2175 win 160
    09:20:36.946759 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 1756:2966(1210) ack 2175 win 160
    09:20:36.968237 IP 1.2.3.198.3400 > 1.2.3.4.52528: . 2966:4426(1460) ack 2175 win 160
    09:20:36.968867 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 4426 win 822
    09:20:36.968996 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 4426:5467(1041) ack 2175 win 160
    09:20:37.010077 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 5467 win 913
    09:20:37.010204 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 5467:5520(53) ack 2175 win 160
    09:20:37.010440 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 5520 win 913
    09:20:39.701632 IP 1.2.3.4.52528 > 1.2.3.198.3400: P 2175:2265(90) ack 5520 win 913
    09:20:39.725820 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:20:39.740547 IP 1.2.3.198.3400 > 1.2.3.4.52528: . ack 2265 win 160
    09:20:39.992374 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 5520:5557(37) ack 2265 win 160
    09:20:39.992693 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 5557 win 913
    09:20:44.734627 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:20:49.742260 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:20:54.750518 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:20:56.134900 IP 1.2.3.4.52528 > 1.2.3.198.3400: P 2265:2339(74) ack 5557 win 913
    09:20:56.134998 IP 1.2.3.198.3400 > 1.2.3.4.52528: . ack 2339 win 160
    09:20:56.517200 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 5557:5594(37) ack 2339 win 160
    09:20:56.517545 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 5594 win 913
    09:20:59.759451 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:21:04.767083 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:21:09.775367 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:21:12.566644 IP 1.2.3.4.52528 > 1.2.3.198.3400: P 2339:2413(74) ack 5594 win 913
    09:21:12.566767 IP 1.2.3.198.3400 > 1.2.3.4.52528: . ack 2413 win 160
    09:21:13.046897 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 5594:5631(37) ack 2413 win 160
    09:21:13.047219 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 5631 win 913
    09:21:14.783622 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:21:44.081470 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 5631:5668(37) ack 2413 win 160
    09:21:44.081933 IP 1.2.3.198.3400 > 1.2.3.4.52528: F 5668:5668(0) ack 2413 win 160

    At this time the red reboots again. I restarted the red_server and also the utm but the behavior stays the same. Any ideas?
Reply
  • 0
    They are not sent from the utm back to the red. I did a tcpdump on the outgoing interface of the utm with the red_server:

    09:20:36.898635 IP 1.2.3.4.52528 > 1.2.3.198.3400: S 3200970350:3200970350(0) win 14600 
    09:20:36.898770 IP 1.2.3.198.3400 > 1.2.3.4.52528: S 2467682879:2467682879(0) ack 3200970351 win 14600 
    09:20:36.899964 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 1 win 457
    09:20:36.899976 IP 1.2.3.4.52528 > 1.2.3.198.3400: P 1:102(101) ack 1 win 457
    09:20:36.900074 IP 1.2.3.198.3400 > 1.2.3.4.52528: . ack 102 win 115
    09:20:36.900760 IP 1.2.3.198.3400 > 1.2.3.4.52528: . 1:1461(1460) ack 102 win 115
    09:20:36.900874 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 1461:1756(295) ack 102 win 115
    09:20:36.901424 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 1756 win 639
    09:20:36.901440 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 1461 win 548
    09:20:36.941542 IP 1.2.3.4.52528 > 1.2.3.198.3400: . 102:1562(1460) ack 1756 win 639
    09:20:36.941558 IP 1.2.3.4.52528 > 1.2.3.198.3400: P 1562:2175(613) ack 1756 win 639
    09:20:36.941636 IP 1.2.3.198.3400 > 1.2.3.4.52528: . ack 2175 win 160
    09:20:36.946759 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 1756:2966(1210) ack 2175 win 160
    09:20:36.968237 IP 1.2.3.198.3400 > 1.2.3.4.52528: . 2966:4426(1460) ack 2175 win 160
    09:20:36.968867 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 4426 win 822
    09:20:36.968996 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 4426:5467(1041) ack 2175 win 160
    09:20:37.010077 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 5467 win 913
    09:20:37.010204 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 5467:5520(53) ack 2175 win 160
    09:20:37.010440 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 5520 win 913
    09:20:39.701632 IP 1.2.3.4.52528 > 1.2.3.198.3400: P 2175:2265(90) ack 5520 win 913
    09:20:39.725820 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:20:39.740547 IP 1.2.3.198.3400 > 1.2.3.4.52528: . ack 2265 win 160
    09:20:39.992374 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 5520:5557(37) ack 2265 win 160
    09:20:39.992693 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 5557 win 913
    09:20:44.734627 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:20:49.742260 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:20:54.750518 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:20:56.134900 IP 1.2.3.4.52528 > 1.2.3.198.3400: P 2265:2339(74) ack 5557 win 913
    09:20:56.134998 IP 1.2.3.198.3400 > 1.2.3.4.52528: . ack 2339 win 160
    09:20:56.517200 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 5557:5594(37) ack 2339 win 160
    09:20:56.517545 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 5594 win 913
    09:20:59.759451 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:21:04.767083 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:21:09.775367 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:21:12.566644 IP 1.2.3.4.52528 > 1.2.3.198.3400: P 2339:2413(74) ack 5594 win 913
    09:21:12.566767 IP 1.2.3.198.3400 > 1.2.3.4.52528: . ack 2413 win 160
    09:21:13.046897 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 5594:5631(37) ack 2413 win 160
    09:21:13.047219 IP 1.2.3.4.52528 > 1.2.3.198.3400: . ack 5631 win 913
    09:21:14.783622 IP 1.2.3.4.3410 > 1.2.3.198.3410: UDP, length 68
    09:21:44.081470 IP 1.2.3.198.3400 > 1.2.3.4.52528: P 5631:5668(37) ack 2413 win 160
    09:21:44.081933 IP 1.2.3.198.3400 > 1.2.3.4.52528: F 5668:5668(0) ack 2413 win 160

    At this time the red reboots again. I restarted the red_server and also the utm but the behavior stays the same. Any ideas?
Children
Unfiltered HTML