Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 7 subscribers
  • Views 784 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bitte um Hilfe Site-to-Site-VPN

Patrick81

Hallo liebe Sophos Community,
mich plagt seit Monaten ein Problem. Erstmals aufgefallen ist es mir mit Version 18.5, es geht um das Thema Site-to-Site-VPN.


Ich habe eine Sophos XGS 126 mit FW [SFOS 19.5.0 GA-Build197], mit dieser Sophos sind ca. 50 VPNs verbunden. 35 Sophos XGS verschiedener Modelle, XGS 107, XGS 126, XGS 136, alle mit der Firmware Version [SFOS 19.5.0 GA-Build197], dann sind noch 15 LANCOM Router mit der Sophos verbunden.


Auf der „Haupt-Sophos“, die oben aufgeführte XGS 126 verwende ich das IPsec Profil [Head office (IKEv2)]. Die Sophos, die annehmen, verwenden das Profil [Branch office (IKEv2)]. Für die LANCOM Router habe ich ein eigenes Profil welches auf die LANCOM Router abgestimmt ist.

Randbemerkung: Die Verbindung vom Sophos zur LANCOM ist auch immer in Ordnung und stabil.


Jetzt habe ich das „Problem“ das jeden Morgen eine andere VPN getrennt ist und nicht wiederkommt. Es betrifft immer eine andere Sophos, einige Verbindungen halten gut 2–3 und mehr Wochen, auf einmal sind diese weg und lassen sich nicht mehr aufbauen. Meine eigene Sophos (XGS 107), die bei mir zu Hause steht, lief jetzt 6 Monate ohne Probleme, angefangen von ver. 18.5 über 19.1 und 19.5. Seit 2 Tagen habe ich massive Probleme die VPN wiederaufzubauen. Diese trennt sich jetzt täglich……


Es helfen immer nur die gleichen „Workarounds“


1.) auf beiden Seiten den PSK oder RSA auszutauschen, obwohl der sich nicht geändert hat!
    (Das hilft in 8 von 10 Fällen. VPN kommt instand wieder)
2.) Ziel Sophos (Branch-Office) neu starten
3.) VPN-Verbindung auf beiden Seiten löschen und Neu einrichten
4.) andere Internetleitung zum Aufbau oder Empfang verwenden


Bei einer Verbindung ist es so unverständlich, dass ich es kaum in Worte fassen kann. Seite A kann NICHT zur Seite B aufbauen, zum Testen wurden 3 verschiedene Internetleitungen verwendet. Telekom VDSL, Netcologne VDSL, NetCologne VDSL Gfast. Öffne ich auf Seite A den Putty und schaue mir die Life IPsec logs an, sehe ich das ein Aufbau von A nach B stattfindet. Gleichzeitig beobachte ich den Putty auf Seite B, dort kommt aber keine Anfrage von Sophos A an. Egal mit welcher der 3 Internetleitungen ich es versuche.

Baue ich von B nach A auf, steht die VPN-Verbindung direkt, egal welche der 3 Internetleitungen ich als Ziel angebe. Starte ich einen Ping von A nach B wird dieser sauber beantwortet. Die Verbindung hält maximal 3 Tage, egal zu welchem Ziel DSLer ich die Verbindung aufbaue. Dann hilft nur noch auf beiden Seiten den PSK oder RSA auszutauschen. Anschließend ist erstmal wieder für 2–3 Tage Ruhe….. Es wurden alle Internetleitungen der Quell und der Ziel-Sophos von den jeweiligen Providern geprüft, niemand konnte einen Leitungsfehler oder Auffälligkeiten finden.


Das IPsec Profil [Head Office (IKEv2)] wurde schon kopiert und die Wiederholungsversuche zum Verbindungsaufbau von 3 auf 10 umgestellt. Nach ein paar Tagen wurde umgestellt von 10 auf 0 (unendlich) versuche. Beides brachte keinen Erfolg. Es wurde auch schon der Sophos Support dazu geholt, aber offensichtlich konnte da anhand der Logs auch nichts konkretes gefunden werden…….

Hätte hier jemand eine Ahnung, was hier Phase ist? Ich bin echt am Verzweifeln Disappointed. Ich bin für jeden Tipp/Hilfe dankbar.

Danke schön für eure Zeit!

Grüße Patrick



This thread was automatically locked due to age.
  • 0

    Hallo!

    Versuch mal im Head Office das Profil für S2S auf Respond only zu stellen.

    Bei Policy Based Site to Site Adresse der Gegenseite auf *. Bei Tunnel Interface IPsec Adresse der Gegenseite auf 0.0.0.0

    Die andere Sophos auf Initiate und Re-Connect

    So läuft es bei mir stabil. NetCologne verwendet teilweise kein echtes IPv4 sondern DualStack

    PSK läuft gefühlt stabiler als RSA.

    Kuck auch mal da an: docs.sophos.com/.../CreatingSiteToSiteIPsecVPN.html

  • 0

    Versuch im Paket Capture von beiden Appliances auf Port 4500 und port 500 zu schauen. Wenn du dort Ungereimtheiten findest, dann sind es Produkte davor, die die Pakete verwerfen. 

    __________________________________________________________________________________________________________________

  • 0

    Schönen guten Tag zusammen.

    Erst einmal vielen Dank für die Antworten.

    @XGS-Admin , das habe ich in der Tat alles versucht, leider ohne Erfolg Frowning2. Ich weiß auch das ich einen Dual-Stack Anschluss habe. KEINEN DS-Lite! Der Anschluss reagiert sauber auf IPv4 und IPv6, ich bin mir auch bewusst drüber das die Dual-Stack Anschlüsse nicht der Knaller sind..... daher baue ich in der Regel die Verbindung von mir zur Firma auf (107 -> 126).

    Dennoch ist es ein Graus das über viele Monate alles sauber lief und jetzt humpelt meine VPN-Verbindung auch noch. Die Richtung wer aufbaut ist in meinem Fall im Prinzip egal, es gehen beide Richtungen ohne Probleme. Der DSLer auf Firmen-Seite (an Sophos XGS  126) macht jede Nacht einen 24 Std. disconnect.

    Meine Seite (Sophos 107) trennt nicht weil ein Kabelanschluss dahinter ist, der trennt laut Provider alle 31 Tage 1x nachts um ca. 4:30 Uhr. Nun habe ich den 6 Tag in Folge keine VPN-Verbindung (kommt nicht von alleine wieder). Heute hat es gereicht einfach auf den Roten Ball unter Site-to-Site-VPN an zu klicken und die VPN stand wieder. Wie schon beschrieben ist das nicht immer der Fall, am Samstag habe ich dann den PSK neu gesetzt auf beiden Seiten. Laut Log ist der PSK falsch…….. die Situation habe ich ganz oft bei anderen VPN- Verbindungen. Aber der PSK ist 100% nicht falsch, ich habe mir die gesetzten PSK in einem Editor gespeichert, setze ich exakt den gleichen PSK neu, baut die VPN wieder auf.

    Noch zur Ergänzung: Auf der Seite Sophos 126 und Sophos 107 werden Fritz!Boxen verwendet. Bei mir im Home Office weil ich nur einen Kabelanschluss an meinem Wohnort bekomme. Auf Firmen Seite müssen wir eine Fritz!Box verwenden da das Sophos VDSL Modem keine Gfast Technik unterstützt, leider nur VDSL2 (mein aktueller Stand dazu).

    An beiden Fritz!Boxen ist ein Exposed Host direkt auf die Sophos/WAN eingerichtet. In beiden Fritz!Boxen stecken keine weitern Geräte, die z.B. den ESP/UDP 4500/UDP 500 verwenden würden. Sogar die SIP-Rufnummern sind deaktiviert die eigentlich “nur“ der UDP Port 5060 brauchen + HighPorts für RTP.

     

    @LuCar Toni, danke auch für deine Hilfe.

    Ich habe immer nur 2 „Phänomene“
    1 Verbindung kommt nicht wieder, entweder drücke ich auf wieder Verbinden und es geht. Ich sehe im Putty auf der Gegenseite Verbindung kommt an = alles gut, oder ich sehe das der PSK angeblich falsch ist.

    2 Dann die im ersten Post beschriebenen härte Fälle. Verbindung kommt erst gar nicht an, also ist im Putty auch nichts zu sehen. Dann kann sofern bei Kunden vorhanden eine andere Internetleitung angesprochen werden. Oder wir verwenden eine andere Internetleitung, dann klappen in der Regel auch diese VPN Verbindungen.

    Aber auf längere Zeit gesehen, wenn man mal einen „Funktionierenden“ Weg gefunden hat, worüber der Aufbau klappt. Bleibt es dabei das auch diese Verbindungen nach 3 Tagen, 3 Wochen, 3 Monaten irgendwann nicht mehr wieder kommen. Spätestens dann ist der PSK falsch!

    Ich habe alles nach Sophos Best Praxis eingerichtet, das einzige was ich nicht immer beeinflussen kann ist das Modem vor der Sophos, mal kann ich ein Sophos VDSL2 Modem verwenden,  mal ein Layer 3 Modem mal eine Fritz!Box. Das gute daran ist, dass ich verschiedene Einwahl/Verbindungsmethoden verwende. Hier ist zu erkennen, dass die WAN-Verbindungsart keine Rolle zu spielen scheint. Da ich dies Problem über alle verschieden WAN-Verbindungen habe.

    Ich empfinde es als äußerst auffällig das die beschrieben Probleme wohl nur von Sophos zu Sophos existieren. Bei den Verbindungen Sophos zu LANCOM ist zu 99% alles ok.

    Hier verwende ich ein Standard IKEv2 Profil wo nur die rekeying Zeiten angepasst wurden, da diese im LANCOM anders sind als bei der Sophos.

     

     

     

  • 0 in reply to Patrick81

    Hast du einen Wildcard Tunnel? Also einen * Remote Access Tunnel? 

    __________________________________________________________________________________________________________________

  • 0

    Hallo LuCar Toni, danke nochmal  für deine ideen.

    Ich habe 50x Site-to-Site-VPN IPsec am laufen mit dem Profil Head/Branch-office IKEv2. 1x "Fernzugriff/Remote-VPN" IPsec für den Kollegen der aus dem Home Office arbeitet. Aber keine Wildcard/SSL Tunnel. Die Abbrüche habe ich auch zu Kunden die aussschließlich nur eine IPsec Site-to-Site-VPN zur Sophos 126 haben und keine weitern VPNs vorhanden sind. Ferner waren die Abbrüche auf die beschriebene Art schon vorhanden, bevor ich dem Kollegen den IPsec "Fernzugriff/Remote-VPN" eingerichtet habe.

    Die "Fernzugriff-VPN" lief im übrigen auch ca. 3 Wochen stressfrei, seit 5-6 Tagen "genau wie ich" kopiert er den gleichen PSK neu in die Sophos 126 ohne etwas an der SCX Datei zu ändern neu rein, 1x am Tag bricht die Verbindung da weg, dann ist die Verbindung auch wieder da.......

    humm... sehr unglücklich das ganze Slight smile..............

    Viele Grüße

    Patrick

  • 0 in reply to Patrick81

    Ich meine damit, hast du einen Tunnel, der so konfiguriert ist: 

    __________________________________________________________________________________________________________________

  • 0

    Guten Abend Toni,

    unsere Seite baut zu allen anderen Sophos auf (Bis auf die eine Ausnahme). Also habe ich bei der Gateway Adress einen Eintrag drin, Feste IP oder DNS Eintrag.

    Als Identifier/Lokale ID/Remote ID, setze ich zum testen einmal alles ein :) Mail, IP, DNS. Auf Kundenseite allerdings habe ich bei der Gateway Adress nur 0.0.0.0 oder * drinne stehen auch testweise beide Varianten. Unsere IP bzw. DNS habe ich bis her dort nicht eingetragen.......

    Ich habe grade noch meine VPN vom HO zur Firma mal angepasst. Sieht nun wie folgt aus.

    Grüße

    Patrick

  • 0 in reply to Patrick81

    Wenn ich das so lese ...

    fällt mir spontan AVM ein, die Fritz!Boxen verteilen ggfs. automatisch die neue 7.50 Firmware.
    Und wenn das spontan, seit einigen Tagen passiert, ist viel denkbar.

    Prüf mal, ob es ein Update von der FB gegeben hat..

  • 0

    Guten Morgen Jürgen, danke für deine idee die alles andere als Abwägig ist.

    Tatsächlich haben wir schon einige Fitz!Boxen die auf 7.50 geupdatet. Die Wiresave VPN sowie die IKE VPN sind bei den Boxen deaktiviert. Wenn du auf Diagnose und Sicherheit gehst bei einer Fritz!Box siehst du "live" welche Ports die FB geönnet hat. Dort sehe ich immer nur die Sophos die entsprechende Ports geöffnet hat. Die Fritz!Box selber verhält sich still in Sachen Ports öffnen.

    In den letzten von mir beschrieben Fällen wird eine Kabel Fritz!Box 6660 und eine VDSL/Gfast Fritz!Box 7582 verwendet. Für diese wird die 7.50 noch nicht angeboten und sind auf dem Firmwarestand 7.29. Aber wie oben von mir beschrieben, betrifft es auch WAN-Verbindungen die über ein Sophos VDSL2 Modem oder ein externes Layer 3 Modem verbunden sind.

    Ich habe heute allerdings etwas gefunden wo ich mir noch nicht sicher bin. Falls es die Lösung sein sollte, werde ich diese hier noch veröffentlichen in der Hoffnung anderen damit zu helfen. Da warte ich jetzt erstmal mein Ergebniss ab.

    Viele Grüße

    Patrick

  • 0 in reply to Patrick81

    Erstell doch mal auf der der Fritzbox einen Wireshark Capture und schau dir den Traffic am PC an.
    ggfs. ist da schon etwas zu sehen.

Unfiltered HTML