Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 3 subscribers
  • Views 39166 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange problem with dropping connections

Jeff x
I rencently replaced my UTM device with Sophos UTM software installed on a desktop. Since then, I've noticed that two items I use on a regular basis are loosing their connections very frequently.

The first is Radmin which is a remote desktop software. I use this with both internal IP's (when I'm home and behind the UTM) and with public IP's (when I'm abroad).

Here is the odd part... The connection is lost only when I connect locally (not going through the UTM). The connections are not dropped when I access from outside of the LAN and go through the UTM. I know the problem IS somehow related to Sophos or the computer running it because when I unhook it from the switch, I do not have this problem. How can Sophos interfere with traffic that does not pass through it? For testing purposes, I turned off the DNAT rule in Sophos but that did not stop the problem.

The way I have it setup is a simple DNAT with auto firewall rule for one port that Radmin uses.

The second problem I encounter is when I use Putty to connect to a web proxy server for secured web browsing. It constantly loses connection.

Neither problem exists when I remove the Sophos box and replace it with my previous UTM device.

Currently, the only services I'm running on Sophos are the Firewall and IPS. I can't find anything in the logs.

Anyone have any ideas?


This thread was automatically locked due to age.
  • 0
    Hi, if it happens again, do your ssh connections to the internal IP instead of through the full-NAT and see if those work better.
    If so, then something's wrong within the firewall (IPS?).

    If not, then it's probably an ARP storm as William suggested; a sniffer should be able to confirm this.

    Barry
  • 0
    it is definitely a misconfiguration judging by the OP's continuing postings..[:)]
  • 0
    I'm planning on setting up WAF soon. Do you think I will encounter the same issue if I keep my current DNAT's and Full NAT's and simply disable them instead of removing them? I do plan on deleting them all together if/when I get WAF properly setup and working. I would like to keep them as a fallback until I make sure WAF is working properly.
  • 0
    That should work fine.

    Cheers - Bob
  • 0 in reply to BarryG
    Hi, if it happens again, do your ssh connections to the internal IP instead of through the full-NAT and see if those work better.


    I'm sorry, Barry. I don't understand what you mean. If you are referring to the Putty connection, that connection is from an internal node to an external IP so it does not go through the Full NAT but everything is working so far.
  • 0
    What about the 'Radmin' connection?

    Barry
  • 0 in reply to BarryG
    What about the 'Radmin' connection?

     
    The Radmin connections use a custom port number. When I was testing it, I was using local computers to connect to local computers and also external computers to connect to local computers.
     
    All of those connections were lost after a minute or two.
  • 0
    And were the local connections using internal IPs, or going through a full NAT?

    If it happens again, try the local IPs.

    Barry
  • 0
    They were using local IP's. That's why the last thing I checked was the Sophos box but as it turns out, that was the problem. Rather, a misconfiguration on my part but I still don't what that misconfiguration was. Maybe it was the static DNS I had specified for each domain. I have not specified any static DNS on the new install.
  • 0
    The problem came back.
     
    I'm seriously considering giving up and re-installing my old UTM device. I don't know what else to try.
     
    The last thing I tried was a fresh install of Sophos and I added only two computers to Network Definitions and no other configurations. As soon as I unplug the Sophos box, the problem goes away. I've also noticed my switch (Netgear FS116 v.1) is getting very hot.
     
    I replaced all of the cables on the Sophos box and the other two computers. The Sophos box has a built-in Intel NIC on the motherboard that I use for the internal interface. It also has a dual-port Intel NIC. I've even reconfigured and tried both of the ports on the dual-port NIC as the Internal interface but I get the same results. I've also tried plugging the Sophos box and the two computers into different ports on the switch. I even tried a different switch.
     
    Any ideas?