Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 7 subscribers
  • Views 776 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bitte um Hilfe Site-to-Site-VPN

Patrick81

Hallo liebe Sophos Community,
mich plagt seit Monaten ein Problem. Erstmals aufgefallen ist es mir mit Version 18.5, es geht um das Thema Site-to-Site-VPN.


Ich habe eine Sophos XGS 126 mit FW [SFOS 19.5.0 GA-Build197], mit dieser Sophos sind ca. 50 VPNs verbunden. 35 Sophos XGS verschiedener Modelle, XGS 107, XGS 126, XGS 136, alle mit der Firmware Version [SFOS 19.5.0 GA-Build197], dann sind noch 15 LANCOM Router mit der Sophos verbunden.


Auf der „Haupt-Sophos“, die oben aufgeführte XGS 126 verwende ich das IPsec Profil [Head office (IKEv2)]. Die Sophos, die annehmen, verwenden das Profil [Branch office (IKEv2)]. Für die LANCOM Router habe ich ein eigenes Profil welches auf die LANCOM Router abgestimmt ist.

Randbemerkung: Die Verbindung vom Sophos zur LANCOM ist auch immer in Ordnung und stabil.


Jetzt habe ich das „Problem“ das jeden Morgen eine andere VPN getrennt ist und nicht wiederkommt. Es betrifft immer eine andere Sophos, einige Verbindungen halten gut 2–3 und mehr Wochen, auf einmal sind diese weg und lassen sich nicht mehr aufbauen. Meine eigene Sophos (XGS 107), die bei mir zu Hause steht, lief jetzt 6 Monate ohne Probleme, angefangen von ver. 18.5 über 19.1 und 19.5. Seit 2 Tagen habe ich massive Probleme die VPN wiederaufzubauen. Diese trennt sich jetzt täglich……


Es helfen immer nur die gleichen „Workarounds“


1.) auf beiden Seiten den PSK oder RSA auszutauschen, obwohl der sich nicht geändert hat!
    (Das hilft in 8 von 10 Fällen. VPN kommt instand wieder)
2.) Ziel Sophos (Branch-Office) neu starten
3.) VPN-Verbindung auf beiden Seiten löschen und Neu einrichten
4.) andere Internetleitung zum Aufbau oder Empfang verwenden


Bei einer Verbindung ist es so unverständlich, dass ich es kaum in Worte fassen kann. Seite A kann NICHT zur Seite B aufbauen, zum Testen wurden 3 verschiedene Internetleitungen verwendet. Telekom VDSL, Netcologne VDSL, NetCologne VDSL Gfast. Öffne ich auf Seite A den Putty und schaue mir die Life IPsec logs an, sehe ich das ein Aufbau von A nach B stattfindet. Gleichzeitig beobachte ich den Putty auf Seite B, dort kommt aber keine Anfrage von Sophos A an. Egal mit welcher der 3 Internetleitungen ich es versuche.

Baue ich von B nach A auf, steht die VPN-Verbindung direkt, egal welche der 3 Internetleitungen ich als Ziel angebe. Starte ich einen Ping von A nach B wird dieser sauber beantwortet. Die Verbindung hält maximal 3 Tage, egal zu welchem Ziel DSLer ich die Verbindung aufbaue. Dann hilft nur noch auf beiden Seiten den PSK oder RSA auszutauschen. Anschließend ist erstmal wieder für 2–3 Tage Ruhe….. Es wurden alle Internetleitungen der Quell und der Ziel-Sophos von den jeweiligen Providern geprüft, niemand konnte einen Leitungsfehler oder Auffälligkeiten finden.


Das IPsec Profil [Head Office (IKEv2)] wurde schon kopiert und die Wiederholungsversuche zum Verbindungsaufbau von 3 auf 10 umgestellt. Nach ein paar Tagen wurde umgestellt von 10 auf 0 (unendlich) versuche. Beides brachte keinen Erfolg. Es wurde auch schon der Sophos Support dazu geholt, aber offensichtlich konnte da anhand der Logs auch nichts konkretes gefunden werden…….

Hätte hier jemand eine Ahnung, was hier Phase ist? Ich bin echt am Verzweifeln Disappointed. Ich bin für jeden Tipp/Hilfe dankbar.

Danke schön für eure Zeit!

Grüße Patrick



This thread was automatically locked due to age.
Parents
  • 0

    Schönen guten Tag zusammen.

    Erst einmal vielen Dank für die Antworten.

    @XGS-Admin , das habe ich in der Tat alles versucht, leider ohne Erfolg Frowning2. Ich weiß auch das ich einen Dual-Stack Anschluss habe. KEINEN DS-Lite! Der Anschluss reagiert sauber auf IPv4 und IPv6, ich bin mir auch bewusst drüber das die Dual-Stack Anschlüsse nicht der Knaller sind..... daher baue ich in der Regel die Verbindung von mir zur Firma auf (107 -> 126).

    Dennoch ist es ein Graus das über viele Monate alles sauber lief und jetzt humpelt meine VPN-Verbindung auch noch. Die Richtung wer aufbaut ist in meinem Fall im Prinzip egal, es gehen beide Richtungen ohne Probleme. Der DSLer auf Firmen-Seite (an Sophos XGS  126) macht jede Nacht einen 24 Std. disconnect.

    Meine Seite (Sophos 107) trennt nicht weil ein Kabelanschluss dahinter ist, der trennt laut Provider alle 31 Tage 1x nachts um ca. 4:30 Uhr. Nun habe ich den 6 Tag in Folge keine VPN-Verbindung (kommt nicht von alleine wieder). Heute hat es gereicht einfach auf den Roten Ball unter Site-to-Site-VPN an zu klicken und die VPN stand wieder. Wie schon beschrieben ist das nicht immer der Fall, am Samstag habe ich dann den PSK neu gesetzt auf beiden Seiten. Laut Log ist der PSK falsch…….. die Situation habe ich ganz oft bei anderen VPN- Verbindungen. Aber der PSK ist 100% nicht falsch, ich habe mir die gesetzten PSK in einem Editor gespeichert, setze ich exakt den gleichen PSK neu, baut die VPN wieder auf.

    Noch zur Ergänzung: Auf der Seite Sophos 126 und Sophos 107 werden Fritz!Boxen verwendet. Bei mir im Home Office weil ich nur einen Kabelanschluss an meinem Wohnort bekomme. Auf Firmen Seite müssen wir eine Fritz!Box verwenden da das Sophos VDSL Modem keine Gfast Technik unterstützt, leider nur VDSL2 (mein aktueller Stand dazu).

    An beiden Fritz!Boxen ist ein Exposed Host direkt auf die Sophos/WAN eingerichtet. In beiden Fritz!Boxen stecken keine weitern Geräte, die z.B. den ESP/UDP 4500/UDP 500 verwenden würden. Sogar die SIP-Rufnummern sind deaktiviert die eigentlich “nur“ der UDP Port 5060 brauchen + HighPorts für RTP.

     

    @LuCar Toni, danke auch für deine Hilfe.

    Ich habe immer nur 2 „Phänomene“
    1 Verbindung kommt nicht wieder, entweder drücke ich auf wieder Verbinden und es geht. Ich sehe im Putty auf der Gegenseite Verbindung kommt an = alles gut, oder ich sehe das der PSK angeblich falsch ist.

    2 Dann die im ersten Post beschriebenen härte Fälle. Verbindung kommt erst gar nicht an, also ist im Putty auch nichts zu sehen. Dann kann sofern bei Kunden vorhanden eine andere Internetleitung angesprochen werden. Oder wir verwenden eine andere Internetleitung, dann klappen in der Regel auch diese VPN Verbindungen.

    Aber auf längere Zeit gesehen, wenn man mal einen „Funktionierenden“ Weg gefunden hat, worüber der Aufbau klappt. Bleibt es dabei das auch diese Verbindungen nach 3 Tagen, 3 Wochen, 3 Monaten irgendwann nicht mehr wieder kommen. Spätestens dann ist der PSK falsch!

    Ich habe alles nach Sophos Best Praxis eingerichtet, das einzige was ich nicht immer beeinflussen kann ist das Modem vor der Sophos, mal kann ich ein Sophos VDSL2 Modem verwenden,  mal ein Layer 3 Modem mal eine Fritz!Box. Das gute daran ist, dass ich verschiedene Einwahl/Verbindungsmethoden verwende. Hier ist zu erkennen, dass die WAN-Verbindungsart keine Rolle zu spielen scheint. Da ich dies Problem über alle verschieden WAN-Verbindungen habe.

    Ich empfinde es als äußerst auffällig das die beschrieben Probleme wohl nur von Sophos zu Sophos existieren. Bei den Verbindungen Sophos zu LANCOM ist zu 99% alles ok.

    Hier verwende ich ein Standard IKEv2 Profil wo nur die rekeying Zeiten angepasst wurden, da diese im LANCOM anders sind als bei der Sophos.

     

     

     

Reply
  • 0

    Schönen guten Tag zusammen.

    Erst einmal vielen Dank für die Antworten.

    @XGS-Admin , das habe ich in der Tat alles versucht, leider ohne Erfolg Frowning2. Ich weiß auch das ich einen Dual-Stack Anschluss habe. KEINEN DS-Lite! Der Anschluss reagiert sauber auf IPv4 und IPv6, ich bin mir auch bewusst drüber das die Dual-Stack Anschlüsse nicht der Knaller sind..... daher baue ich in der Regel die Verbindung von mir zur Firma auf (107 -> 126).

    Dennoch ist es ein Graus das über viele Monate alles sauber lief und jetzt humpelt meine VPN-Verbindung auch noch. Die Richtung wer aufbaut ist in meinem Fall im Prinzip egal, es gehen beide Richtungen ohne Probleme. Der DSLer auf Firmen-Seite (an Sophos XGS  126) macht jede Nacht einen 24 Std. disconnect.

    Meine Seite (Sophos 107) trennt nicht weil ein Kabelanschluss dahinter ist, der trennt laut Provider alle 31 Tage 1x nachts um ca. 4:30 Uhr. Nun habe ich den 6 Tag in Folge keine VPN-Verbindung (kommt nicht von alleine wieder). Heute hat es gereicht einfach auf den Roten Ball unter Site-to-Site-VPN an zu klicken und die VPN stand wieder. Wie schon beschrieben ist das nicht immer der Fall, am Samstag habe ich dann den PSK neu gesetzt auf beiden Seiten. Laut Log ist der PSK falsch…….. die Situation habe ich ganz oft bei anderen VPN- Verbindungen. Aber der PSK ist 100% nicht falsch, ich habe mir die gesetzten PSK in einem Editor gespeichert, setze ich exakt den gleichen PSK neu, baut die VPN wieder auf.

    Noch zur Ergänzung: Auf der Seite Sophos 126 und Sophos 107 werden Fritz!Boxen verwendet. Bei mir im Home Office weil ich nur einen Kabelanschluss an meinem Wohnort bekomme. Auf Firmen Seite müssen wir eine Fritz!Box verwenden da das Sophos VDSL Modem keine Gfast Technik unterstützt, leider nur VDSL2 (mein aktueller Stand dazu).

    An beiden Fritz!Boxen ist ein Exposed Host direkt auf die Sophos/WAN eingerichtet. In beiden Fritz!Boxen stecken keine weitern Geräte, die z.B. den ESP/UDP 4500/UDP 500 verwenden würden. Sogar die SIP-Rufnummern sind deaktiviert die eigentlich “nur“ der UDP Port 5060 brauchen + HighPorts für RTP.

     

    @LuCar Toni, danke auch für deine Hilfe.

    Ich habe immer nur 2 „Phänomene“
    1 Verbindung kommt nicht wieder, entweder drücke ich auf wieder Verbinden und es geht. Ich sehe im Putty auf der Gegenseite Verbindung kommt an = alles gut, oder ich sehe das der PSK angeblich falsch ist.

    2 Dann die im ersten Post beschriebenen härte Fälle. Verbindung kommt erst gar nicht an, also ist im Putty auch nichts zu sehen. Dann kann sofern bei Kunden vorhanden eine andere Internetleitung angesprochen werden. Oder wir verwenden eine andere Internetleitung, dann klappen in der Regel auch diese VPN Verbindungen.

    Aber auf längere Zeit gesehen, wenn man mal einen „Funktionierenden“ Weg gefunden hat, worüber der Aufbau klappt. Bleibt es dabei das auch diese Verbindungen nach 3 Tagen, 3 Wochen, 3 Monaten irgendwann nicht mehr wieder kommen. Spätestens dann ist der PSK falsch!

    Ich habe alles nach Sophos Best Praxis eingerichtet, das einzige was ich nicht immer beeinflussen kann ist das Modem vor der Sophos, mal kann ich ein Sophos VDSL2 Modem verwenden,  mal ein Layer 3 Modem mal eine Fritz!Box. Das gute daran ist, dass ich verschiedene Einwahl/Verbindungsmethoden verwende. Hier ist zu erkennen, dass die WAN-Verbindungsart keine Rolle zu spielen scheint. Da ich dies Problem über alle verschieden WAN-Verbindungen habe.

    Ich empfinde es als äußerst auffällig das die beschrieben Probleme wohl nur von Sophos zu Sophos existieren. Bei den Verbindungen Sophos zu LANCOM ist zu 99% alles ok.

    Hier verwende ich ein Standard IKEv2 Profil wo nur die rekeying Zeiten angepasst wurden, da diese im LANCOM anders sind als bei der Sophos.

     

     

     

Children
Unfiltered HTML