Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 5 subscribers
  • Views 2711 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing Problem Site-to-Site VPN

MazelaP

Morgen,

wir haben ein sehr kurioses VPN-Problem.

Beide Standorte haben die aktuelle UTM-Version 9-7005.

Am Standort A haben wir mehrere Webserver die wir von Standort B erreichen möchten.

Plötzlich waren die Server nicht mehr über den Proxy erreichbar. Ohne Proxy kann ich die Webserver erreichen.

Wenn ich von der UTM am Standort B versuche die Server am Standort A zu pingen kommt nichts mehr zurück. Von den Clients am Standort B funktioniert der ping immer noch.

Wenn ich die Standort B UTM neu starte geht alles wieder über mehrere Stunden. Anschließend habe ich wieder das selbe Problem.



This thread was automatically locked due to age.
Parents
  • 0

    Guten Morgen,

    das Klingt sehr spannend. Ich habe ein sehr ähnliches Problem mit einem Site-to-Site Ipsec Tunnel.Das Ping Problem ist 1:1 das gleiche, bei mir sind die Auswirkungen nur keine Webserver, sondern WLAN; das ist aber an dieser Stelle Egal.

    Kannst Du bitte einmal nachschauen, ob die nötigen Netze in den IPSEC Tunnel geroutet werden?

    Entweder über die CLI (Support -> Advanced -> Routig Tables) oder über die CLI via SSH (ip r s table ipsec)? Irgendwo müssten die Netze auftauchen. Bei mir sieht es so aus:

    <M> xxxx:/root # ip r s table ipsec
    <M> xxxx:/root #

    Auf einer anderen SG (gleiche Firmware, gleiche Config) sehe ich hier die IP Netze.

     

    Edit: Ich habe dazu schon einen Case bei Sophos seit einiger Zeit offen. Leider hat man bis jetzt in meinem Falle festgestellt, dass es kein Config Fehler sei, aber noch keine Root Cause gefunden.

     

    Viele Grüße

    Patrick

  • 0 in reply to PMueller

    UTM:/home/login # ip r s table ipsec
    UTM:/home/login #

     

    Sieht aus wie bei dir

  • 0 in reply to MazelaP

    Spannend. Das Thema mit dem "geht ein paar Stunden" habe ich auch - aber noch etwas ausgeprägter. Wenn ich ein neues Netz zu dem Tunnel hinzufüge, funktioniert nur dieses Eine Netz; aber auch nur für kurze Zeit und verschwindet dann auch aus der Routing Table. Ich gehe hier also wirklich vorsichtig von einem Software-Fehler aus.

    Die IPSEC SAs sind im übrigen alle sauber da, die Objekte im CC sehen alle gut aus und auch in den generierten configs finde ich die Netze. Nur eben in der Routing Table nicht, was die Symptome ziemlich gut erklärt.

    Ich pack diesen Topic auch nochmal in den Case rein, evtl. bringt es was. Evtl. liest auch irgendjemand von Sophos das hier und kann uns helfen.

  • 0 in reply to PMueller

    Wann hat das bei dir angefangen? Bei uns ist das Problem plötzlich aufgetaucht.

    Die UTM läuft ja schon seit Jahren ohne Probleme.

  • 0 in reply to MazelaP

    Den Tunnel  hab ich neu eingerichtet. Dann hats funktioniert und nach nem Failover hats dann geknallt.

    Lustigerweise versucht die ipsec-Dienst beim Failover die route zu löschen und beschwert sich im Log, dass er die Routen nicht findet. Ein bisschen kennen tut er die Netze also noch..

Reply
  • 0 in reply to MazelaP

    Den Tunnel  hab ich neu eingerichtet. Dann hats funktioniert und nach nem Failover hats dann geknallt.

    Lustigerweise versucht die ipsec-Dienst beim Failover die route zu löschen und beschwert sich im Log, dass er die Routen nicht findet. Ein bisschen kennen tut er die Netze also noch..

Children
No Data
Unfiltered HTML