Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 7 subscribers
  • Views 1318 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Genereller Paketverlust XG330

quietdecay76

Hallo zusammen,

ich habe ein Problem in meinem Netz mit der Sophos XG330. Eventuell hat jemand ähnliche Symptome und eventuell einen Richtungsvorschlag für mich.

Ich verwende zwei XG330 im active-passive HA Cluster mit der Firmware 18.5.2 MR-2-Build380. Die gleich genannten Probleme treten auf, egal welche Firewall die aktive ist, somit schließe ich einen Hardware Defekt aus.
Der Prozessor und Arbeitsspeicher sind auch unterfordert, da ist noch deutlich Luft nach oben.
Die Probleme sind nicht direkt, aber binnen einer Woche nach dem Update auf 18.5.2 aufgetreten.

Aufgefallen ist der Paketverlust erstmalig bei RDP Verbindungen via SSL VPN aus dem Home Office auf den Client in der Firma. Die RDP Verbindungen brechen alle 5-10 Minuten ab und werden beim 1. Versuch wiederhergestellt. Die VPN Verbindung bleibt dabei aufrecht erhalten und wird nicht erneut aufgebaut.
Dieses Problem existiert bei IPSec-Usern nicht mehr.

Intern verwende ich mehrere Client Netze für unterschiedliche Abteilungen, die trotzdem mit den selben Terminalservern arbeiten.
Intern bricht die RDP Verbindung nicht ab sondern hakt gelegentlich mal für 5-10 Sekunden.

Auch Verbindungen zu den Exchange Servern über Outlook haben Anfälligkeiten, Outlook ohne Cache Modus friert zu dieser Zeit ein und fordert danach eine erneute Passworteingabe.

Ich führe nun Pings von meinem Admin Client bzw. auch von einem Client aus einem anderen Clientnetz aus.
Dabei werden zwei Terminalserver und die beiden Exchange Server gepingt. Über die Paketverfolgung im Sophos Web GUI ist zu sehen, dass die Pakete zwar ankamen, aber vom Ziel keine Echo Response gesendet wurde. Es gibt alle 20-30 Minuten immer ca. 4-6 Ping Aussetzer (20 Sekunden).
Genau in diesem Zeitfenster hakt dann auch die RDP Sitzung und Outlook. Somit sind sehr viele Verbindungen von den Client Netzen gleichzeitig für alle Clients gestört.

Von meinem Admin Client kann ich per RDP noch auf die Ziele zugreifen, eine ICMP oder HTTP Response gibt es in diesem Zeitfenster jedoch nicht.

Ich hatte vermutet, dass es an den IPS Regeln liegen könnte und habe IPS zu Testzwecken komplett deaktiviert. Dies hat jedoch nicht geholfen.

Das Problem tritt auch nur bei gewöhnlichen Arbeitszeiten auf, ab dem Nachmittag oder Nachts gibt es keine RDP Aussetzer oder Ping Verlust.

Es gibt wohl einige IP Adressen die SYN Flooding (Max 200 Pakete pro Sekunde pro Quelle) betreiben, wenn ich diese IP Adresse als Source im tcpdump anschaue, sind das jedoch nur Kerberos Pakete Port 88 und TCP RDP Pakete. Manche Clients nutzen UDP für RDP, andere irgendwie TCP obwohl UDP dort nicht via Windows GPO verboten ist.

Virenscan habe ich auf den "Floodern" schon durchgeführt, die haben sowieso keine Internetverbindung.

Hat jemand einen Ansatz den ich da weiter verfolgen könnte?



This thread was automatically locked due to age.
  • 0 in reply to LuCar Toni

    Gerade gab es wieder einen Aussetzer, zwar nur zwei Pings, aber die Logs sind interessant:

    tcpdump (tcpdump -nei any host 10.1.204.6 and host 10.1.220.2 and icmp)

    10:34:11.617124 Port11, IN: In 1c:69:7a:69:f0:3d ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20307, length 40
    10:34:11.617124 Intern, IN: In 1c:69:7a:69:f0:3d ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20307, length 40
    10:34:11.617124 Intern.1204, IN: In 1c:69:7a:69:f0:3d ethertype IPv4 (0x0800), length 76: 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20307, length 40
    10:34:11.617157 Intern.1220, OUT: Out c8:4f:86:fc:00:03 ethertype IPv4 (0x0800), length 76: 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20307, length 40
    10:34:11.617158 Intern, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1220, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20307, length 40
    10:34:11.617159 Port12, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1220, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20307, length 40
    10:34:11.617656 Port11, IN: In 00:0c:29:56:e5:6a ethertype 802.1Q (0x8100), length 80: vlan 1220, p 0, ethertype IPv4, 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20307, length 40
    10:34:11.617656 Intern, IN: In 00:0c:29:56:e5:6a ethertype 802.1Q (0x8100), length 80: vlan 1220, p 0, ethertype IPv4, 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20307, length 40
    10:34:11.617656 Intern.1220, IN: In 00:0c:29:56:e5:6a ethertype IPv4 (0x0800), length 76: 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20307, length 40
    10:34:11.617670 Intern.1204, OUT: Out c8:4f:86:fc:00:03 ethertype IPv4 (0x0800), length 76: 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20307, length 40
    10:34:11.617671 Intern, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20307, length 40
    10:34:11.617671 Port11, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20307, length 40
    10:34:12.636577 Port11, IN: In 1c:69:7a:69:f0:3d ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20310, length 40
    10:34:12.636577 Intern, IN: In 1c:69:7a:69:f0:3d ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20310, length 40
    10:34:12.636577 Intern.1204, IN: In 1c:69:7a:69:f0:3d ethertype IPv4 (0x0800), length 76: 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20310, length 40
    10:34:16.271232 Port11, IN: In 1c:69:7a:69:f0:3d ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20316, length 40
    10:34:16.271232 Intern, IN: In 1c:69:7a:69:f0:3d ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20316, length 40
    10:34:16.271232 Intern.1204, IN: In 1c:69:7a:69:f0:3d ethertype IPv4 (0x0800), length 76: 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20316, length 40
    10:34:20.273065 Port11, IN: In 1c:69:7a:69:f0:3d ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20321, length 40
    10:34:20.273065 Intern, IN: In 1c:69:7a:69:f0:3d ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20321, length 40
    10:34:20.273065 Intern.1204, IN: In 1c:69:7a:69:f0:3d ethertype IPv4 (0x0800), length 76: 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20321, length 40
    10:34:24.112974 Intern.1220, OUT: Out c8:4f:86:fc:00:03 ethertype IPv4 (0x0800), length 76: 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20310, length 40
    10:34:24.112978 Intern, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1220, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20310, length 40
    10:34:24.112979 Port12, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1220, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20310, length 40
    10:34:24.113260 Intern.1220, OUT: Out c8:4f:86:fc:00:03 ethertype IPv4 (0x0800), length 76: 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20316, length 40
    10:34:24.113261 Intern, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1220, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20316, length 40
    10:34:24.113261 Port12, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1220, p 0, ethertype IPv4, 10.1.204.6 > 10.1.220.2: ICMP echo request, id 27, seq 20316, length 40
    10:34:24.113318 Port11, IN: In 00:0c:29:56:e5:6a ethertype 802.1Q (0x8100), length 80: vlan 1220, p 0, ethertype IPv4, 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20310, length 40
    10:34:24.113318 Intern, IN: In 00:0c:29:56:e5:6a ethertype 802.1Q (0x8100), length 80: vlan 1220, p 0, ethertype IPv4, 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20310, length 40
    10:34:24.136554 Intern.1204, OUT: Out c8:4f:86:fc:00:03 ethertype IPv4 (0x0800), length 76: 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20310, length 40
    10:34:24.136559 Intern, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20310, length 40
    10:34:24.136561 Port11, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20310, length 40
    10:34:24.136620 Intern.1204, OUT: Out c8:4f:86:fc:00:03 ethertype IPv4 (0x0800), length 76: 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20316, length 40
    10:34:24.136621 Intern, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20316, length 40
    10:34:24.136621 Port11, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20316, length 40
    10:34:24.136645 Intern.1204, OUT: Out c8:4f:86:fc:00:03 ethertype IPv4 (0x0800), length 76: 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20321, length 40
    10:34:24.136645 Intern, OUT: Out c8:4f:86:fc:00:03 ethertype 802.1Q (0x8100), length 80: vlan 1204, p 0, ethertype IPv4, 10.1.220.2 > 10.1.204.6: ICMP echo reply, id 27, seq 20321, length 40

    drppkt  (drppkt 'host 10.1.204.6 and host 10.1.220.2')

    Keine Ausgabe, hier gab es wohl keine dropped packets, Syntax ist meines Wissens nach richtig.

    Der Ping um 10:34:11 wird vom Ziel (10.1.220.2) noch beantwortet (echo reply), der Ping um 10:34:12 wurde nicht mehr beantwortet, der nächste um 10:34:16 und 10:34:20 ebenfalls nicht mehr. Erst ab 10:34:24 wird von 10.1.2022.2 wieder echo reply zurück geschickt.

  • 0 in reply to LuCar Toni

    Der Sophos Support hatte jetzt nach Analyse eines tcpdump logs ebenfalls den Befehl "set vpn conn-remove-tunnel-up disable" vorgeschlagen. Das hatte bisher ja leider noch nicht geholfen. Hast du noch eine andere Idee?

  • 0 in reply to quietdecay76

    Ich würde mir mal die Switche ansehen. Wird dort STP verwendet? Welche Switche nutzt ihr?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Auf Spanning Tree hätte ich jetzt auch getippt. Evtl. mal die Topologie changes oder Root History anschauen.

  • 0

    Hallo zusammen,

    danke für die vielen Antworten. Die Switches hatten wir am Anfang schon im Verdacht, konnten selbst aber nichts finden. Wir haben einen Dienstleister damit beauftragt Fehler in unserer Switch Konfiguration zu finden, Kleinigkeiten gab es wohl, aber nichts, dass für diese Ausfälle spricht.

    Anscheint ist der Wechsel des aktiven HA Knoten immer etwas schief gelaufen. So wie es aussieht war die passive Firewall nie aktiv.

    Wir haben jetzt unsere primäre Firewall abgeschaltet und die Config in der sekundären laufen lassen und seitdem gibt es keine weiteren Ausfälle.

    Letztendlich habe ich einen Hardware Defekt zu früh ausgeschlossen. Heute kam das Ersatzgerät an und ich hoffe, dass es damit getan ist.

Cookie Information Banner