This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Paketverluste im RED-Tunnel

Markus Rubin over 3 years ago

Guten Tag,

wir haben bei einem Kunden folgendes Szenario:

Zentraler Standort mit einer XGS116 (SFOS 19.0.0 GA-Build317)

3 Aussenstellen mittels SD RED 60 angebunden.

Die Standorte haben jeweils eine DIGIBOX als Gateway, dahinter direkt angeschlossen laufen die RED Devices.

Einer der Standorte hat das Problem, dass sporadisch 1 bis 2 mal täglich für ca. 5 Minuten keine Pakete mehr durch den RED-Tunnel geschickt werden können.
Nach ein paar Minuten läuft der Tunnel wieder ohne Probleme.

(Die anderen Standorte haben keine Probleme.)

Der Anschluss wurde bereits durch den Provider (Telekom) geprüft: ohne Auffälligkeiten.
Das RED Device wurde am betroffenen Standort bereits getauscht.

Im Log der zentralen Sophos wird zum Zeitpunkt des Fehlers keine Systemmeldung angezeigt, welche auf ein Reconnect des betroffenen RED-Devices hindeutet.

Wer hat Ideen, was hier noch geprüft werden könnte?

Grüße Markus

This thread was automatically locked due to age.

Parents

0 Vivek Jagad over 3 years ago

Hello Markus Rubin,

Vielen Dank, dass Sie sich an die Community gewendet haben. Für den betroffenen Standort können Sie die folgenden Protokolle überprüfen:
> system.log & red.log – während der Zeit der Trennung
https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Logs/LogFileDetails/index.html

Thanks & Regards,
_______________________________________________________________

Vivek Jagad | Team Lead, Global Support & Services

Sophos Community | Product Documentation | Sophos Techvids | SMS
If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Markus Rubin over 3 years ago in reply to Vivek Jagad

Vielen Dank für die schnelle Rückmeldung. Beide genannten Logs zeigen keine Fehler zum Zeitpunkt des Fehlers an.
Cancel
Vote Up 0 Vote Down

Cancel
0 Vivek Jagad over 3 years ago in reply to Markus Rubin

Können Sie die Ausgabe der Protokolldatei während des Problems teilen? Damit wir unsere Ergebnisse überprüfen und Ihnen zur Verfügung stellen können.

Thanks & Regards,
_______________________________________________________________

Vivek Jagad | Team Lead, Global Support & Services

Sophos Community | Product Documentation | Sophos Techvids | SMS
If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Markus Rubin over 3 years ago in reply to Vivek Jagad

Hier der Auszug aus dem RED.log:

Wed Jun 1 09:15:39 2022Z REDD INFO: Red devices: Connected: 3 Disconnected 0 Enabled: 3 Disabled: 0
Wed Jun 1 09:20:40 2022Z REDD INFO: Red devices: Connected: 3 Disconnected 0 Enabled: 3 Disabled: 0
Wed Jun 1 09:25:41 2022Z REDD INFO: Red devices: Connected: 3 Disconnected 0 Enabled: 3 Disabled: 0
Wed Jun 1 09:30:42 2022Z REDD INFO: Red devices: Connected: 3 Disconnected 0 Enabled: 3 Disabled: 0
Wed Jun 1 09:35:43 2022Z REDD INFO: Red devices: Connected: 3 Disconnected 0 Enabled: 3 Disabled: 0
Wed Jun 1 09:40:44 2022Z REDD INFO: Red devices: Connected: 3 Disconnected 0 Enabled: 3 Disabled: 0
Reading REDv2 key from STDIN:
Reading REDv2 key from STDIN:
Reading REDv2 key from STDIN:
Wed Jun 1 09:45:45 2022Z REDD INFO: Red devices: Connected: 3 Disconnected 0 Enabled: 3 Disabled: 0
Wed Jun 1 09:50:46 2022Z REDD INFO: Red devices: Connected: 3 Disconnected 0 Enabled: 3 Disabled: 0

Im System Log melden sich, sobald wieder Pakete durch den Tunnel gehen, die WLAN APs mit folgendem Hinweis:

2022-06-01 11:51:35
Wireless Protection
Successfully sent config to AP [YYYYYYYY].
18007
SYSTEM
2022-06-01 11:51:34
Wireless Protection
Successfully sent config to AP [XXXXXXXX].
18007
SYSTEM
2022-06-01 11:51:19
Wireless Protection
Successfully sent config to AP [YYYYYYYY].
18007
SYSTEM
2022-06-01 11:51:17
Wireless Protection
Successfully sent config to AP [XXXXXXXX].
Cancel
Vote Up 0 Vote Down

Cancel
0 Vivek Jagad over 3 years ago in reply to Markus Rubin

Richtig, da ist nichts Verdächtiges, zufällig wenn der ISP geschwankt hat?

SD-RED 20 & SD-RED 60 TCP 3400 + UDP 3410
Können Sie überprüfen, ob der ISP, der mit dem RED verbunden ist, die Ports ordnungsgemäß geöffnet hat?
Sie können dies mit Hilfe der folgenden Website überprüfen:

www.ipfingerprints.com/portscan.php

Wenn Sie nach dem UDP-Protokoll suchen, verwenden Sie advance und aktivieren Sie den UDP-Scan.

Überprüfen Sie auch, ob die RED-Firmware von den Musteraktualisierungen auf dem neuesten Stand ist.

Thanks & Regards,
_______________________________________________________________

Vivek Jagad | Team Lead, Global Support & Services

Sophos Community | Product Documentation | Sophos Techvids | SMS
If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Markus Rubin over 3 years ago in reply to Vivek Jagad

Das externe Monitoring auf den ISP zeigt keine Fehler an.

Hier das Ergebnis des Portscans:

3400/udp filtered csms2
3410/udp filtered networklenss

Die Firmware ist die 3.0.007
Cancel
Vote Up 0 Vote Down

Cancel
0 Vivek Jagad over 3 years ago in reply to Markus Rubin

Die Firmware sieht aktuell aus.

3400 ist ein TCP-Port, sodass Sie im Abschnitt „Erweitert“ keine UDP-Scan-Option benötigen.

Beide sind als gefiltert markiert.

Ein Port wird als "gefiltert" markiert, wenn die Pakete an diesen Port gesendet werden, jedoch verhindert die Paketfilterung (z. B. eine Firewall), dass die Pakete diesen Port erreichen.

Thanks & Regards,
_______________________________________________________________

Vivek Jagad | Team Lead, Global Support & Services

Sophos Community | Product Documentation | Sophos Techvids | SMS
If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 Vivek Jagad over 3 years ago in reply to Markus Rubin

Die Firmware sieht aktuell aus.

3400 ist ein TCP-Port, sodass Sie im Abschnitt „Erweitert“ keine UDP-Scan-Option benötigen.

Beide sind als gefiltert markiert.

Ein Port wird als "gefiltert" markiert, wenn die Pakete an diesen Port gesendet werden, jedoch verhindert die Paketfilterung (z. B. eine Firewall), dass die Pakete diesen Port erreichen.

Thanks & Regards,
_______________________________________________________________

Vivek Jagad | Team Lead, Global Support & Services

Sophos Community | Product Documentation | Sophos Techvids | SMS
If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 Markus Rubin over 3 years ago in reply to Vivek Jagad

Ich habe die Abfrage nochmals gestartet:

hier das Ergebnis:

3400/tcp open csms2
3410/udp open|filtered networklenss
Cancel
Vote Up 0 Vote Down

Cancel
0 Vivek Jagad over 3 years ago in reply to Markus Rubin

Sieht gut aus, und die Situation für Sie ist zufällig oder tritt nach einem bestimmten Zeitintervall auf?

Hast du schon versucht den ISP zu wechseln?

Thanks & Regards,
_______________________________________________________________

Vivek Jagad | Team Lead, Global Support & Services

Sophos Community | Product Documentation | Sophos Techvids | SMS
If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Markus Rubin over 3 years ago in reply to Vivek Jagad

Der Fehler tritt sporadisch auf. Hier ist keine Regelmäßigkeit erkennbar.

Den ISP können wir nicht wechseln. Es gibt nur diesen einen Anschluss beim Kunden.
Cancel
Vote Up 0 Vote Down

Cancel
0 Vivek Jagad over 3 years ago in reply to Markus Rubin

Wenn ISP flimmert, wird dies unter system.log für die rote Verbindung und unter dgd.log erfasst

Haben Sie darüber hinaus eine Zunahme der Bandbreitenauslastung oder der Anzahl der Benutzer während des Problems festgestellt?

Thanks & Regards,
_______________________________________________________________

Vivek Jagad | Team Lead, Global Support & Services

Sophos Community | Product Documentation | Sophos Techvids | SMS
If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Markus Rubin over 3 years ago in reply to Vivek Jagad

Zum Zeitpunkt der Fehler sind keine Meldungen im System.log und im DGD.log erkennbar.

Die Bandbreitenauslastung bleibt konstant.
Cancel
Vote Up 0 Vote Down

Cancel
0 Vivek Jagad over 3 years ago in reply to Markus Rubin

In diesem Fall können Sie jetzt eine Wireshark-Paketerfassung von einem Computer hinter der roten Appliance ausführen und warten, bis das Problem erneut auftritt, um die Ursache weiter zu ermitteln.

Thanks & Regards,
_______________________________________________________________

Vivek Jagad | Team Lead, Global Support & Services

Sophos Community | Product Documentation | Sophos Techvids | SMS
If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Markus Rubin over 3 years ago in reply to Vivek Jagad

Was genau soll mit dem Wireshark geprüft werden?

Aktuell überwachen wir die Leitung mittels PING.
Cancel
Vote Up 0 Vote Down

Cancel
0 Vivek Jagad over 3 years ago in reply to Markus Rubin

Ping sollte in Ordnung sein oder die Pakete für TCP 3400 und UDP 3410 herausfiltern

Thanks & Regards,
_______________________________________________________________

Vivek Jagad | Team Lead, Global Support & Services

Sophos Community | Product Documentation | Sophos Techvids | SMS
If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 Markus Rubin over 3 years ago in reply to Vivek Jagad

Die Ping Pakete kommen im Fehlerfall nicht mehr an.

Den erweiterten Wireshark können wir Ende der Woche beim Kunden vor Ort einrichten.
Cancel
Vote Up 0 Vote Down

Cancel
0 Vivek Jagad over 3 years ago in reply to Markus Rubin

Also gut, das wäre der nächste Aktionsplan.

Thanks & Regards,
_______________________________________________________________

Vivek Jagad | Team Lead, Global Support & Services

Sophos Community | Product Documentation | Sophos Techvids | SMS
If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel