Hallo zusammen,
ich habe ein Problem in meinem Netz mit der Sophos XG330. Eventuell hat jemand ähnliche Symptome und eventuell einen Richtungsvorschlag für mich.
Ich verwende zwei XG330 im active-passive HA Cluster mit der Firmware 18.5.2 MR-2-Build380. Die gleich genannten Probleme treten auf, egal welche Firewall die aktive ist, somit schließe ich einen Hardware Defekt aus.
Der Prozessor und Arbeitsspeicher sind auch unterfordert, da ist noch deutlich Luft nach oben.
Die Probleme sind nicht direkt, aber binnen einer Woche nach dem Update auf 18.5.2 aufgetreten.
Aufgefallen ist der Paketverlust erstmalig bei RDP Verbindungen via SSL VPN aus dem Home Office auf den Client in der Firma. Die RDP Verbindungen brechen alle 5-10 Minuten ab und werden beim 1. Versuch wiederhergestellt. Die VPN Verbindung bleibt dabei aufrecht erhalten und wird nicht erneut aufgebaut.
Dieses Problem existiert bei IPSec-Usern nicht mehr.
Intern verwende ich mehrere Client Netze für unterschiedliche Abteilungen, die trotzdem mit den selben Terminalservern arbeiten.
Intern bricht die RDP Verbindung nicht ab sondern hakt gelegentlich mal für 5-10 Sekunden.
Auch Verbindungen zu den Exchange Servern über Outlook haben Anfälligkeiten, Outlook ohne Cache Modus friert zu dieser Zeit ein und fordert danach eine erneute Passworteingabe.
Ich führe nun Pings von meinem Admin Client bzw. auch von einem Client aus einem anderen Clientnetz aus.
Dabei werden zwei Terminalserver und die beiden Exchange Server gepingt. Über die Paketverfolgung im Sophos Web GUI ist zu sehen, dass die Pakete zwar ankamen, aber vom Ziel keine Echo Response gesendet wurde. Es gibt alle 20-30 Minuten immer ca. 4-6 Ping Aussetzer (20 Sekunden).
Genau in diesem Zeitfenster hakt dann auch die RDP Sitzung und Outlook. Somit sind sehr viele Verbindungen von den Client Netzen gleichzeitig für alle Clients gestört.
Von meinem Admin Client kann ich per RDP noch auf die Ziele zugreifen, eine ICMP oder HTTP Response gibt es in diesem Zeitfenster jedoch nicht.
Ich hatte vermutet, dass es an den IPS Regeln liegen könnte und habe IPS zu Testzwecken komplett deaktiviert. Dies hat jedoch nicht geholfen.
Das Problem tritt auch nur bei gewöhnlichen Arbeitszeiten auf, ab dem Nachmittag oder Nachts gibt es keine RDP Aussetzer oder Ping Verlust.
Es gibt wohl einige IP Adressen die SYN Flooding (Max 200 Pakete pro Sekunde pro Quelle) betreiben, wenn ich diese IP Adresse als Source im tcpdump anschaue, sind das jedoch nur Kerberos Pakete Port 88 und TCP RDP Pakete. Manche Clients nutzen UDP für RDP, andere irgendwie TCP obwohl UDP dort nicht via Windows GPO verboten ist.
Virenscan habe ich auf den "Floodern" schon durchgeführt, die haben sowieso keine Internetverbindung.
Hat jemand einen Ansatz den ich da weiter verfolgen könnte?
This thread was automatically locked due to age.
