Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 28 subscribers
  • Views 4034 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Internet Probleme

David Rentsch

 Hi zusammen,

ich habe mir eine sophos Free Edition auf einer VM installiert und seither folgende Probleme :

- sophos webadmin ist sporadisch nicht erreichbar

- auf den Netzwerkclients werden websites manchmal garnicht geladen, manchmal dauert es sehr lange und manchmal geht es sehr schnell 

- größte Probleme macht aber das Streaming von Amazon Prime Video. Hier laden die VIdeos meistens garnicht, es dauert sehr lange bis ein Video startet, wird aber nicht lange wiedergegeben, bis wieder sehr lange geladen wird.

 

Als erstes zeige ich euch hier mal meinen aktuellen Netzwerkaufbau:

 

 

Auf der Fritzbox ist die sophos als "Exposed Host" freigegeben. Alle Anfragen von WAN gehen also zur sophos.

 

Auf der sophos habe ich quasi alles abgeschaltet oder geöffnet:

Die Firewallregel sieht wie folgt aus:

 

 

NAT habe ich folgende Maskierung:

 

 

Im Firewall Log erhalte ich immer wieder folgende Einträge:

 

So wie ich das sehe werden hier laufend Packete die von WAN auf die externe sophos schnittstelle kommen blockiert.

Ich Frage mich: Was sind das für packete, woher kommen diese und warum werden sie verworfen?

Da ich ja sogut wie alle sophos Funktionen deaktiviert habe, weiss ich nichtmehr wo ich ansetzen soll.

Vielleicht an den eingetragenen DNS-Weiterleitungen etwas falsch?

Oder muss ich fürs Streaming doch die Web Protection aktivieren um dann explizit zu erlauben, oder Application Control zu aktivieren?

 

Mir ist es schleierhaft, aus meiner Sicht sollte es so erstmal keine Probleme geben. Ich hoffe jemand von euch kann mir da vielleicht auf die Sprünge helfen. :)

 

EDIT: In der Firewall_log file stehen nur solche Einträge:

 

2018:11:28-13:06:15 sophos ulogd[6893]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="44:4e:6d:14:4d:37" dstmac="00:0c:29:59:13:b7" srcip="192.168.0.1" dstip="224.0.0.1" proto="2" length="36" tos="0x00" prec="0xc0" ttl="1"

 

Fwrule = 60001   <- könnte das auch die eine einzelne Regel sein die  eingerichtet ist?

 

Besten Dank,

Dave



This thread was automatically locked due to age.
Parents
  • 0

    Moin,

     

    also wenn der Webmin schon teilweise nicht läd und es sporadische Verbindungsabbrüche gibt, solltest Du hier vielleicht zuerst ansetzen. Vielleicht machst Du mal einen Dauerping auf die UTM und guckst auf dem Switch nach Frame-Errors auf den Ports.

  • 0 in reply to ThorstenSult

    Hallo Thorsten,

     

    danke für deine Antwort.

    Einen Dauerping habe ich noch nicht gemacht, dennoch war die sophos zu dem Zeitpunkt, an dem ich das webadmin nicht erreichen konnte, pingbar. Auch die Hardware/Netzwerknutzungs-Logs scheinen während dessen den Eindruck zu machen, normal zu funktionieren.

    Weitere Beobachtung dazu: Ich habe den webadmin nach außen freigegeben, aus dem internet komme ich auch immer einwandfrei aufs webadmin.

    Ohne sophos hatte ich diese Internet/streaming Probleme nicht.

    Kann mir jetzt nur noch vorstellen dass es mit irgendeinem setting der sophos bezüglich dem internen Netz zutun haben kann.

  • 0 in reply to David Rentsch

    Ok, wenn der Zugriff auf den Webmin via externer Adresse einwandfrei klapp -> Switch prüfen, Kabel prüfen, das Übliche...

     

    Möglicherweise verwendest Du auf dem ESX ein Teaming, was nicht korrekt funktioniert?

     

    Vielleicht solltest Du auch mal die CAM auf dem Switch prüfen. Grade in virutellen Umgebungen kann ein Adresskonflikt schnell entstehen.

  • 0 in reply to ThorstenSult

    Super das du dich hier beteiligst. :)

     

    Bevor die sophos in Betrieb ging, war natürlich die Fritzbox direkt im LAN und hat auch DHCP/DNS gemacht.  Hier funktionierte alles tadellos.

    Mit Einsatz der sophos hat sich an der physikalischen (Switch, Kabel) sowie virtuellen (vswitche, VLAN) Infrastruktur nichts geändert.

     

    Geändert hat sich nur dass jetzt die sophos statt der Fritzbox das gateway ist und DHCP/DNS nun von einer VM übernommen wurde.

    Ich wüsste nicht wo ich noch suchen könnte.

    Die sophos blockt ja offensichtlich einiges, was genau und wieso ist mir noch ein Rätsel.

  • 0 in reply to David Rentsch

    Hi,

    also was sich auf jeden Fall geändert haben muss ist die Verbindung von der virtuellen UTM auf die Fritzbox. Das muss ja eine andere Schnittstelle auf dem ESXi sein.

    Was passiert denn wenn du von deinem server auf die UTM zugreifst die gleiche Probleme? Der läuft ja direkt über den vSwitch.

    Die Sophos block natürlich einiges, das ist ja der Sinn der Firewall dass von außen nix in dein Netz kommt was du nicht autorisiert hast.

    Grüße Thomas

  • 0 in reply to ThomasBachmaier

    Viel blockieren sollte die UTM ja nicht, da eine internal -> any -> any Regel gesetzt ist und ATP sowie IPS und alles Andere deaktiviert sind...

     

    Die Symptome "Mal gehts, mal gehts nicht" sind häufig zurückzuführen auf fehlerhafte Teamings, Duplixmismatch oder Adresskonflikte. Von daher würde ich ja auch zuerst hier ansetzen.

  • 0 in reply to ThorstenSult

    Stimmt natürlich, 2tes NIC vom Server um die sophos mit der Fritzbox zu verbinden und natürlich das Kabel sind hinzugekommen. Das Kabel war schonmal woanders fehlerfrei in Benutzung und die NIC zeigt auf dem Host auch keine Fehler an.

    Auf der Switch sind ebenfalls keine Error-Logeinträge zu finden, die läuft sauber.

    Auf dem Server habe ich kein Teaming aktiviert - es existieren nur 2 NICS die jeweils physikalisch mit den beiden unterschiedlichen Netzen verbunden sind.

    Aber jetzt wo du IP-Adresskonflikte ansprichst und ich nochmal drüber nachdenke, könnte das eine Möglichkeit sein.

    Da ich das gleiche subnetz (192.168.2.0) wollte habe ich beim Wechsel von Fritzbox DHCP zum window DHCP-Server  1zu1 die MAC-Adressen der Netzwerkclients auf der Fritzbox als Reservierung auf den Windows DHCP-Server übertragen. 

    Eigentlich alles sauber, falls aber jetzt ein Gerät die IP-Adresse manuell konfiguriert hat, ist die Reservierung ja auch hinfällig. Da fällt mir spontan auch genau ein Gerät ein, welches ich zwar auch reserviert habe, aber ich im neuen Netzsetup noch nicht erreicht habe,  das ist die iDRAC-Schnittstelle des Hosts. Und das ist mir jetzt schon fast peinlich, aber ich war mir mit der DHCP-Reservierungen so sicher, dass ich es kategorisch ausgeschlossen habe - die alte IP-Adresse der iDRAC war 192.168.2.254! (die neue sophos (standard-GW Adresse)).

    Die Indizien sprechen jetzt ja alle für sich, prüfen kann ich es erst heute Abend und geb dann nochmal Rückmeldung.

    Danke das ihr euch da mit reingefuchst habt! :)

  • 0 in reply to David Rentsch

    Hallo David,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    The first thing that comes to mind is the MTU 576 problem.  What MTU do you see in the Schnitstelle definition?

    At the command line of the UTM, what result do you get from ifconfig?

    You might want to read #1 and #2 in Rulz.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

Reply
  • 0 in reply to David Rentsch

    Hallo David,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    The first thing that comes to mind is the MTU 576 problem.  What MTU do you see in the Schnitstelle definition?

    At the command line of the UTM, what result do you get from ifconfig?

    You might want to read #1 and #2 in Rulz.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

Children
No Data