Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 0 replies
  • Subscribers 4 subscribers
  • Views 95 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing und VPN Probleme

Maik Martin

Hallo zusammen,

ich habe mehrere Probleme mit der aktuellen XGS Serie und komme teilweise einfach nicht weiter.

So hoffe ich das nun hier geholfen werden kann :) .

Problem 1: ANY ist nicht ANY

 ich habe es jetzt nun schon mehrfach gehabt, das ich eine Freigabe für ein Subnet erstellt habe (bsp. Gast WLAN)

in der ich das gesamte Subnet zu WAN , ANY Host, ANY Service freigebe. Es sind keine weiteren Funktionen wie IPS, Application filter oder WEB-Filter

für diese Freigabe eingerichtet. Die Regel befindet sich an Pos 5 des Regelwerkes (auch an Pos 1 keine Änderung).

Wenn ich nun in die logs schaue, sehe ich hunderte geblockte  Packete, die entweder "invalid Packet" oder keinem Ziel zugeordnet werden können (der Zielport ist zu 90% 443). 

Erstelle ich jedoch eine Freigabe für das Subnet zu WAN, ANY Host, HTTPS beruhigt sich das Log und auch die Probleme treten nicht mehr auf.

Problem 2: ANY in VPN?!

Ich habe einen routenbasierten IPSec VPN Tunnel zwischen zwei Standorten (XGS 107 und XGS 116).

Der Tunnel ist erfolgreich aufgebaut, die gewünschten Subnets sind verbunden und Zugriff auf Ressourcen ist wie gewünscht möglich.

Ein Firewallregel die ANY Service unterhalb der Netze erlaubt ist beidseitig eingerichtet.

Nun stehen an beiden Standorten eine Telefonanlage der Telekom.

Hier kann die Masteranlage zwar die Nebenstelle erreichen, jedoch andersherum nicht.

Im Log und PCAP sehe ich keinerlei geblockten Packete und die Packete die an der Sophos ankommen, werden korrekt geroutet.

Nun haben wir einen IPSec VPN Tunnel zwischen den Modems (LANCOM) hergestellt, also vor den Firewalls und die Anlagen funktionieren einwandfrei.

Problem 3: Ständige VPN Abbrüche

Ich betreue knapp 100 Firewalls bei verschiedenen Kunden, die teilw. diverse Standortvernetzungen via IPSec VPN realisieren.

Nun ist es bei einigen so, dass bestimmte Verbindungen täglich 20-50x die Verbindung verlieren und direkt wieder aufbauen.

Der Kunde bemerkt davon nichts, da die downtime nur 2-5 Sekunden beträgt, jedoch kann das doch nicht richtig sein?

Das Problem tritt bei verschiedensten Konstellationen auf, folgend ein paar die mir auf anhieb einfallen:

1. XGS zu XGS

2. XGS zu virtueller XGS

3. XGS zu Azure Gateway (getestet mit Basic und Standard Gateway sowie IKEv1 und IKEv2)

4. XGS zu Juniper

5. XGS zu SG

Ich hoffe ich bin nicht der einzige mit diesen Problemen und kann auf eure Unterstützung zählen Slight smile

MfG

Maik



This thread was automatically locked due to age.
Unfiltered HTML