[9.205-12] Daily report about RED connection is down/up

Hello,

which utm-version? Which hardware? AV-Dualscan enabled?
Try disabling, just sophos-engine.

Maybe this will help.

We've encountered the same prob, every time an av-update causing a cpu-spike the connection dropped.

With only single-scan it works much better.

Sophos is on a ticket (dont know the numer) to resolve this behaviour.

UTM-Version in subject [;)]
Hardware are SSG230 HA (a/p) and yes, dualscan enabled. I´ve read about your workaround in past, but our UTM are on max 20% of CPU, SSG230 is realy cool performant. I will look at up2date.log on time alerts get in.

Well friends,
are any news about this? I update to the latest version (9.307-6) an get this alerts now any 1-3 hours.
Can somebody confirm?

Hello Synopex,

are you using IPS and/or QoS with that interface? If so, if the "vNIC" (Remote-Subnet) of the RED-device catched via ips-rules? Maybe try disabling to using IPS/QoS.

Greetings from lower-franconia,

Manuel

We had a HUGE issue with a RED50 on a somewhat latent connection. The Ping-Pong code had a logical flaw and would cause the RED50 to regularly think it had lost connection to the host. The false "time out" would cause the RED50 to reset the connection.  The fact is that there was never a timeout, just typical T1 latency of maybe 10-30mS during saturation times. 

There was a mantis ID and appearantly this was reported as fixed a long time ago, but the crappy code fork found its way back and is now part of the main code repository again. I can not tell you from when to when this was fixed, but our customer had no problems for a year or so and then after an update, the issue reared its ugly head.

We recently got a patch as an RPM after a forcing the issue with support (for months), but the process was a PITA. What was NOT made clear was if the fixed code would be incorporated into further releases, or if our "fix" was just to make us happy. We asked numerous times for clarification and never heard back. 

So as it stands, and given the current state of things, it would not surprise me to learn that the code is till broken. We have left the customer back at 9.1.whatever because we are afraid for this issue to come back, let alone saddle them with the 9.2 and 9.3 problems.

Our customer issue was huge problem because the RED50 routes ALL traffic back through the main site, there is NO local gateway. The site also heavily relies on wireless security. Sadly, when the RED50 resets, wifi reboots and each workstation user is kicked off of whatever they are doing... it was a painful 6 months for the customer, most of which was spent blaming the T1 circuit provider, even though their logs showed no problems. 

You may want to check into this... there is also anther thread around here somewhere that better explains the issue.

Hello there,

we're using a RED10 on a 16/1Mbit ADSL-Businessline (Deutsche Telekom).
We got the same errors, pending from no notification on some days up to 3 or 4 reconnects on other days. The line itself runs stable, but the RED do a reset.

Also no u2d-process is running in the main office (utm120 rev 5, 9.306) and the cpu-/ram usage is on normal behaviour.

Does it really depends on the ping-time to the main-site?
Maybe an additional option on the utm-webgui where you can adjust the timeout (e.g. from around 10s to 60s or higher) will be fine...

@BeanAnimal:

In which mode is your RED working (Standard/Unified, Standard/Split or Transparent/Split)?

How are you receiving your DNS-Serveradresses (WAN/External)? Automatic or are you using Google-DNS (8.8.8.8) fixed ips?

Hello.

I've got nearly the same problem. But i use Red 10.
At friday, my teammate updated the latest firmware.
Since this time i've get every 1-3 hours reports about the link that is down und up again.
Before the update, all worked fine.

Are there any Solutions up to now?

Any Updates for that?
Still getting notifications about tunnel down/up several times a day.