Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 5 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 741 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XGS4500 - Connection reset

Marcel Hoffmann

Hallo,

wir sind derzeit dabei, von der UTM zur XGS zu migrieren (2 Boxen, A-P-HA). Grundkonfiguration wurde von der UTM übernommen, das meiste aber neu konfiguriert, weil die Systeme untereinander ja sehr unterschiedlich sind.

Wir planen nun, nach und nach die Module zu übernehmen und wollten mit dem Web Proxy anfangen. Leider gibt es da schon die ersten größeren Probleme.

Grundsätzlich funktioniert der Proxy, aber es kommt immer wieder beim Surfen zu Connection resets. Im Browser sieht man "ERR_CONNECTION_RESET" und das gleiche kann man auch im Wireshark sehen (TCP RST). Es dauert dann immer ein paar Minuten, bis es wieder funktioniert. Es scheint so zu sein, als ob der State der Verbindung verloren geht. Ich habe die Zeit für den TCP Idle timeout bereits angepasst, aber das bringt leider nichts.

Auch interne Webserver, wo der Zugriff nicht über das WAN-IF läuft, sind betroffen.

Diese Firmware  (SFOS 18.5.3 MR-3-Build408) ist installiert.

Es liegt nicht an der Hardware, da eine zweite Box an einem anderen Standort nach einem Failover den gleichen Fehler produziert.

Wir haben bereits einen Fall bei Sophos geöffnet, aber leider noch keine Rückmeldung erhalten. Leider ist der Support bei Sophos in letzter Zeit immer sehr zäh.

Hat jemand eine Idee oder einen Ansatz, was ich noch prüfen könnte?

Danke euch, viele Grüße

Marcel Hoffmann



This thread was automatically locked due to age.
  • 0

    Hast du STAS im Einsatz? 

    __________________________________________________________________________________________________________________

  • 0

    Hallo Marcel,

    Wie hast du den WebProxy eingebunden?

    Da gibt es den Standard-Mode (proxy-IP und Port im Browser eingestellt), den transparenten-Proxy und DPI.

    Wie sieht die zugehörige FW-Regel aus?

    Proxy-Mode ist inzwischen etwas veraltet und wir arbeiten meist mit DPI, wenn XG / SophosFirewall im Einsatz ist. Das läuft sehr gut. (OK, größere Probleme haben wir auch mit dem Proxy-mode nicht)

    Wenn es zu DPI Bedenken gibt ... evtl. können wir helfen.

    Aber ... ein paar Minuten bis es wieder geht, das ist schon heftig. Betrifft das dann nur die eine Verbindung/Webseite, alle WebSeiten, alle Nutzer zu dieser Zeit?
    ... ein Neuaufruf der Seite(n) hilft nicht?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Hallo zusammen,

    ja, ich habe STAS für einen Memberserver konfiguriert.

    Zum Webproxy - ich habe DPI und Webproxy geprüft - das führt gleichermaßen zu dem Problem. Es tritt ziemlich "random" auf und dann hilft auch kein direkter refresh. Aber nach 1-2 Minuten geht es dann wieder. Es scheint auch nur TCP betroffen zu sein, offene VOIP-Calls bleiben z.B. aktiv.

    Es sind dann auch immer alle User betroffen, die gerade surfen und im Log häufen sich dann diese TCP-RSTs.

    Ich habe in der Firewallregel (Source LAN - Any -> Destination Any - Any mit Services HTTPS-Services und Webcache-Port schon alles mögliche an- und ausgeknipst - auch ohne Änderung.

    Ich habe aber festgestellt, dass man mit einer Proxylosen Regel direkt über den Standardgateway immerproblemlos surfen kann, wenn man HTTP(s) für die IP des Users direkt freigibt.

    Viele Grüße

    Marcel

  • 0 in reply to Marcel Hoffmann

    Überprüfe, ob die STAS Quarantine unter Authentication aktiv ist. Wenn ja, bitte deaktivieren. 

    __________________________________________________________________________________________________________________

  • +1 in reply to LuCar Toni

    Ohne STAS scheint es zu funktionieren, habe STAS nun wieder aktiv und die STAS-Quarantäne schon eine Weile aus. Das scheint auch zu laufen. 

    Eigentlich wollte ich im ersten Step STAS nur nutzen, um im Proxylog zu sehen, wer surft und nicht nur eine IP-Adresse. Den Client selber habe ich noch nicht im Einsatz, da wir noch keine userbezogenen Regeln nutzen.

    Auf jeden Fall vielen Dank für die Hilfe. Ich habe schon eine Weile einen Case bei Sophos dazu auf, da hat sich bisher niemand mit einer Lösung gemeldet. Da bin ich froh, dass das Forum mir hier helfen konnte. Trotzdem sehr ärgerlich, dass einen der Support hier so hängen lässt, der ist ja auch nicht unbedingt kostenlos.

Cookie Information Banner