This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED zufällige Verbindungsabbrüche

Hallo zusammen,

ich habe ein Problem mit Verbindungsabbrüchen mit einem RED, die scheinbar völlig zufällig auftreten. Manchmal mehrmals täglich, manchmal tagelang gar nicht.

Das seltsame dabei ist, dass auf der UTM das RED immer noch als aktiv angezeigt wird und auch im "Live Log" immer noch Ping und Pong hin und her laufen. Mein Kunde kommt allerdings in der Außenstelle mit keinem der PCs mehr ins Internet oder auf den Server. Erst wenn man das RED vom Strom trennt und neu einschaltet, funktioniert es wieder (manchmal für Stunden, manchmal für Tage).

Ich werde die Konfiguration mal so genau wie möglich beschreiben und hoffe jemand hier kann mir helfen. Falls noch Infos fehlen, einfach fragen!

Ich habe eine UTM SG135, die über Kabel Deutschland mit dem Internet verbunden ist. Zwischen dem Kabelmodem und der UTM habe ich einen Switch installiert. Das hat den Grund dass, die UTM nicht lange genug auf eine DHCP-Antwort von Kabel Deutschland watet, wenn Kabel Deutschland wieder einmal beschließt das Kabelmodem neu zu starten. Der Switch löst dieses Problem. Ich denke nicht, dass es relevant ist, erwähne es aber der Vollständigkeit wegen. Das Kabelmodem läuft im Bridge-Mode. Bei Kabel Deutschland ist der Business 500 Tarif mit statischer IP gebucht.

Das RED15 läuft über einen Telekom Anschluss mit einer Digitalisierungsbox Premium (auch statische IP). Das RED ist als Exposed Host in der Digitalisierungsbox eingetragen.

Das Problem besteht seit anfangs an (Mai 2019)

Ich hatte bereits folgendes versucht, ohne irgendeine Änderung.:

RED Tunnel compression on / off
External WAN MTU Size: 1200, 1492, 1500
RED getauscht.

Hier die Konfiguration:

Model SG135

Firmware: 9.605-1

Interfaces:

External (WAN):

Dynamic IPv4

IPv4 Default GW: on

MTU Size: 1492

LAN :

IPv4: 10.1.1.254

IPv4 Netmask: /24 (255.255.255.0)

MTU Size 1500

RED:

IPv4: 192.168.188.254

IPv4 Netmask: /24 (255.255.255.0)

MTU Size 1472

Static Route:

Network: RED

Interface LAN

Metric: 5

Firewall:

Für die Standard-Services vom Installationsassistenten angelegt habe ich die Source RED hinzugefügt.

Als Beispiel:

Source: LAN (Network), RED(Network)

Service: DNS

Destination: Any

NAT -> Masquerading

LAN (Network) – External (WAN)

RED (Network) -> External (WAN)

RED-Management:

Branch Name: RED

Client type: RED15

Tunnel ID: 2

Operation mode: Standard / Unified

Uplink mode: DHCP Client

Tunnel compression: on

DHCP:

Interface: RED

Range start: 192.168.188.20

Range end: 192.168.188.188

DNS Server 1: 10.1.1.251

DNS server 2: 192.168.188.254

Default gateway: 192.168.188.254

Lease time: 86400

(Das LAN bekommt DHCP über den Domänencontroller)

This thread was automatically locked due to age.

Parents

0 seroal over 5 years ago

Moin,

da habe ich ein paar Fragen:

- Kannst du, wenn das Problem besteht das Gateway, also das RED Interface, die 192.168.188.254 noch anpingen?

- Wenn du das Gateway vom RED Netzwerk aus anpingen kannst, kannst du es auch von der UTM aus anpingen

- Seit wann nutzt du die 9.6er Firmware?

- Hast du da im Mai Updates eingespielt?

- Hast du seit Mai irgendwelche RED EInstellungen verändert?

- Nur mal so am Rande, warum ist sie als "Exposed Host" eingetragen? Hat das irgendeine Bewandnis?

- Testweise könntest du mal die Tunnelkomprimierung deaktivieren
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 seroal over 5 years ago

Moin,

da habe ich ein paar Fragen:

- Kannst du, wenn das Problem besteht das Gateway, also das RED Interface, die 192.168.188.254 noch anpingen?

- Wenn du das Gateway vom RED Netzwerk aus anpingen kannst, kannst du es auch von der UTM aus anpingen

- Seit wann nutzt du die 9.6er Firmware?

- Hast du da im Mai Updates eingespielt?

- Hast du seit Mai irgendwelche RED EInstellungen verändert?

- Nur mal so am Rande, warum ist sie als "Exposed Host" eingetragen? Hat das irgendeine Bewandnis?

- Testweise könntest du mal die Tunnelkomprimierung deaktivieren
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 Olli-204 over 5 years ago in reply to seroal

Danke für Eure Antworten!

Ich werde bei dem nächsten Verbindungsabbruch das RED-Log posten und die Fragen zu dem Ping beantworten. Die letzen Ausfälle gab es 3 Mal am Montag. Es kann eigentlich nicht mehr sehr lange dauern :-)

Ich habe die UTM und das RED erst seit Mai und immer alle Updates zeitnah eingespielt, weil ich hoffte das Problem könnte sich dadurch lösen.

Die Verbindungsabbrüche bestanden also von Anfang an.

Die "Exposed Host" - Einstellung habe ich nur deshalb gemacht, um sicherzugehen, dass die Verbindungsabbrüche nicht an der Firewall der Telekom-Digitalisierungsbox vor dem RED liegen. Ursprünglich hatte ich Portweiterleitungen eingerichtet.

Nochmal vielen Dank an Euch, ich bin sehr froh für jeden Tipp, den ich bekommen kann!
Cancel
Vote Up 0 Vote Down

Cancel
0 seroal over 5 years ago in reply to Olli-204

Gerne.

Aber nochmal die Frage, wozu richtet du die RED als Exposed host ein, und wozu dienen die Portweiterleitungen? Die Red muss einfach nur nach draußen kommen, da musst du nichts an die Red weiterleiten...

Bei Sophos kann ich dir nur raten, erstmal abwarten vor der Installation neuer Updates. Dann solltest du nach ein paar Tagen nach Benutzererfahrungen im Forum suchen und die Mitteilungen unterhalb der Ankündigungen zu Firmwareupdates (hier: https://community.sophos.com/products/unified-threat-management/b/blog )lesen.

Gruß
Cancel
Vote Up 0 Vote Down

Cancel
0 BAlfson over 5 years ago in reply to Olli-204

Hallo Olli,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

Also, when this next happens, check the Firewall and Intrusion Prevention logs for anything related.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel

0 Olli-204 over 5 years ago in reply to BAlfson

Heute morgen gegen 7 Uhr und gestern gegen 16 Uhr gab es wieder Ausfälle.

Wichtig: Die Mitarbeiter vor Ort haben die RED vom Strom getrennt damit sie wieder arbeiten können.

Wenn also eine Unterbrechung protokolliert wurde, kann das auch davon kommen.

Das Firewall-Log hänge ich wegen der Größe als Anlage an: packetfilter.log

Und hier das RED Log von heute 7:00:

2019:10:30-06:51:20 sg135 red_server[32151]: A350246331085F2: command '{"data":{"seq":9441},"type":"PING"}'
2019:10:30-06:51:20 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{"seq":9441},"type":"PONG"}
2019:10:30-06:51:29 sg135 red_server[32151]: A350246331085F2: command '{"data":{"key1":"mXOtVzU4Vv6X4kPynu8d6IPjedxwrMGyAv\/oDf2iVBw=","key_active":0},"type":"SET_KEY_REQ"}'
2019:10:30-06:51:29 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{},"type":"SET_KEY_REP"}
2019:10:30-06:51:35 sg135 red_server[32151]: A350246331085F2: command '{"data":{"seq":9442},"type":"PING"}'
2019:10:30-06:51:35 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{"seq":9442},"type":"PONG"}
2019:10:30-06:51:51 sg135 red_server[32151]: A350246331085F2: command '{"data":{"seq":9443},"type":"PING"}'
2019:10:30-06:51:51 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{"seq":9443},"type":"PONG"}
2019:10:30-06:52:08 sg135 red_server[32151]: A350246331085F2: command '{"data":{"seq":9444},"type":"PING"}'
2019:10:30-06:52:08 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{"seq":9444},"type":"PONG"}
2019:10:30-06:52:24 sg135 red_server[32151]: A350246331085F2: command '{"data":{"seq":9445},"type":"PING"}'
2019:10:30-06:52:24 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{"seq":9445},"type":"PONG"}
2019:10:30-06:52:39 sg135 red_server[32151]: A350246331085F2: command '{"data":{"seq":9446},"type":"PING"}'
2019:10:30-06:52:39 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{"seq":9446},"type":"PONG"}
2019:10:30-06:52:56 sg135 red_server[32151]: A350246331085F2: command '{"data":{"seq":9447},"type":"PING"}'
2019:10:30-06:52:56 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{"seq":9447},"type":"PONG"}
2019:10:30-06:53:12 sg135 red_server[32151]: A350246331085F2: command '{"data":{"seq":9448},"type":"PING"}'
2019:10:30-06:53:12 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{"seq":9448},"type":"PONG"}
2019:10:30-06:53:28 sg135 red_server[32151]: A350246331085F2: command '{"data":{"seq":9449},"type":"PING"}'
2019:10:30-06:53:28 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{"seq":9449},"type":"PONG"}
2019:10:30-06:53:44 sg135 red_server[32151]: A350246331085F2: command '{"data":{"seq":9450},"type":"PING"}'
2019:10:30-06:53:44 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{"seq":9450},"type":"PONG"}
2019:10:30-06:54:00 sg135 red_server[32151]: A350246331085F2: command '{"data":{"seq":9451},"type":"PING"}'
2019:10:30-06:54:00 sg135 red_server[32151]: A350246331085F2: Sending json message {"data":{"seq":9451},"type":"PONG"}
2019:10:30-06:54:11 sg135 red2ctl[4633]: Missing keepalive from reds2:0, disabling peer 217.91.185.42
2019:10:30-06:54:16 sg135 red_server[4654]: SELF: (Re-)loading device configurations
2019:10:30-06:54:31 sg135 red_server[32151]: A350246331085F2: No ping for 30 seconds, exiting.
2019:10:30-06:54:31 sg135 red_server[32151]: id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="A350246331085F2" forced="0"
2019:10:30-06:54:31 sg135 red_server[32151]: A350246331085F2 is disconnected.
2019:10:30-06:55:29 sg135 red_server[12944]: SELF: Cannot do SSL handshake on socket accept from '217.91.185.42': SSL connect accept failed because of handshake problems
2019:10:30-06:55:32 sg135 red_server[12946]: SELF: New connection from 217.91.185.42 with ID A350246331085F2 (cipher AES256-GCM-SHA384), rev1<30>Oct 30 06:55:32 red_server[12946]: A350246331085F2: connected OK, pushing config
2019:10:30-06:55:33 sg135 red_server[12946]: A350246331085F2: command '{"data":{"version":"0"},"type":"INIT_CONNECTION"}'
2019:10:30-06:55:33 sg135 red_server[12946]: A350246331085F2: Initializing connection running protocol version 0
2019:10:30-06:55:33 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{},"type":"WELCOME"}
2019:10:30-06:55:35 sg135 red_server[12946]: A350246331085F2: command '{"data":{},"type":"CONFIG_REQ"}'
2019:10:30-06:55:35 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"pin":"","fullbr_dns":"","split_networks":"1.2.3.4","lan2_vids":"","lan4_vids":"","local_networks":"","tunnel_id":2,"manual2_netmask":24,"asg_cert":"[removed]","manual_address":"0.0.0.0","bridge_proto":"none","unlock_code":"r135kqni","password":"","manual2_defgw":"0.0.0.0","prev_unlock_code":"","manual_netmask":24,"lan3_vids":"","version_r2":"2005R2","mac_filter_type":"none","mac":"00:19:bb:09:b6:43","dial_string":"*99#","manual2_address":"0.0.0.0","version_ng_red50":"1-424-7131d4e52-0000000","manual_dns":"0.0.0.0","lan1_mode":"unused","username":"","activate_modem":0,"tunnel_compression_algorithm":"lzo","version_red50":"1-424-7131d4e52-0000000","fullbr_domains":"","htp_server":"remote.oliverreinhard.com","uplink_balancing":"failover","asg_key":"[removed]","type":"red15","deployment_mode":"online","uplink2_mode":"dhcp","version_red15":"1-424-7131d4e52-e9f0c31","man...L1514
2019:10:30-06:55:39 sg135 red_server[12946]: A350246331085F2: command '{"data":{"key1":"MQTb5TLq\/zN4sbwU0mXG56WsGI7Yn2U5tnx0Z8RIT\/Y=","key0":"jdquFtYb4EPzns5bgTOBvJOrguNQwR9xpyk13BCkIAA=","key_active":0},"type":"SET_KEY_REQ"}'
2019:10:30-06:55:39 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{},"type":"SET_KEY_REP"}
2019:10:30-06:55:40 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":0},"type":"PING"}'
2019:10:30-06:55:40 sg135 red_server[12946]: id="4201" severity="info" sys="System" sub="RED" name="RED Tunnel Up" red_id="A350246331085F2" forced="0"
2019:10:30-06:55:40 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":0},"type":"PONG"}
2019:10:30-06:55:41 sg135 red_server[12946]: A350246331085F2: command '{"data":{"wan1_ip":"192.168.2.254","mobile_signal_strength":"","wan2_ip":"","uplink":"WAN1","uplink_state":"0"},"type":"STATUS"}'
2019:10:30-06:55:41 sg135 red2ctl[4633]: Overflow happened on reds2:0
2019:10:30-06:55:41 sg135 red2ctl[4633]: Missing keepalive from reds2:0, disabling peer 217.91.185.42
2019:10:30-06:55:44 sg135 red2ctl[4633]: Received keepalive from reds2:0, enabling peer 217.91.185.42
2019:10:30-06:55:47 sg135 red_server[4654]: SELF: (Re-)loading device configurations
2019:10:30-06:55:56 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":1},"type":"PING"}'
2019:10:30-06:55:56 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":1},"type":"PONG"}
2019:10:30-06:56:12 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":2},"type":"PING"}'
2019:10:30-06:56:12 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":2},"type":"PONG"}
2019:10:30-06:56:28 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":3},"type":"PING"}'
2019:10:30-06:56:28 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":3},"type":"PONG"}
2019:10:30-06:56:44 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":4},"type":"PING"}'
2019:10:30-06:56:44 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":4},"type":"PONG"}
2019:10:30-06:56:59 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":5},"type":"PING"}'
2019:10:30-06:56:59 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":5},"type":"PONG"}
2019:10:30-06:57:15 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":6},"type":"PING"}'
2019:10:30-06:57:15 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":6},"type":"PONG"}
2019:10:30-06:57:32 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":7},"type":"PING"}'
2019:10:30-06:57:32 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":7},"type":"PONG"}
2019:10:30-06:57:48 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":8},"type":"PING"}'
2019:10:30-06:57:48 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":8},"type":"PONG"}
2019:10:30-06:58:03 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":9},"type":"PING"}'
2019:10:30-06:58:03 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":9},"type":"PONG"}
2019:10:30-06:58:19 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":10},"type":"PING"}'
2019:10:30-06:58:19 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":10},"type":"PONG"}
2019:10:30-06:58:35 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":11},"type":"PING"}'
2019:10:30-06:58:35 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":11},"type":"PONG"}
2019:10:30-06:58:52 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":12},"type":"PING"}'
2019:10:30-06:58:52 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":12},"type":"PONG"}
2019:10:30-06:59:08 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":13},"type":"PING"}'
2019:10:30-06:59:08 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":13},"type":"PONG"}
2019:10:30-06:59:24 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":14},"type":"PING"}'
2019:10:30-06:59:24 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":14},"type":"PONG"}
2019:10:30-06:59:40 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":15},"type":"PING"}'
2019:10:30-06:59:40 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":15},"type":"PONG"}
2019:10:30-06:59:55 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":16},"type":"PING"}'
2019:10:30-06:59:55 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":16},"type":"PONG"}
2019:10:30-07:00:11 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":17},"type":"PING"}'
2019:10:30-07:00:11 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":17},"type":"PONG"}
2019:10:30-07:00:28 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":18},"type":"PING"}'
2019:10:30-07:00:28 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":18},"type":"PONG"}
2019:10:30-07:00:44 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":19},"type":"PING"}'
2019:10:30-07:00:44 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":19},"type":"PONG"}
2019:10:30-07:00:59 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":20},"type":"PING"}'
2019:10:30-07:00:59 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":20},"type":"PONG"}
2019:10:30-07:01:15 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":21},"type":"PING"}'
2019:10:30-07:01:15 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":21},"type":"PONG"}
2019:10:30-07:01:32 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":22},"type":"PING"}'
2019:10:30-07:01:32 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":22},"type":"PONG"}
2019:10:30-07:01:48 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":23},"type":"PING"}'
2019:10:30-07:01:48 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":23},"type":"PONG"}
2019:10:30-07:02:03 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":24},"type":"PING"}'
2019:10:30-07:02:03 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":24},"type":"PONG"}
2019:10:30-07:02:19 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":25},"type":"PING"}'
2019:10:30-07:02:19 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":25},"type":"PONG"}
2019:10:30-07:02:36 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":26},"type":"PING"}'
2019:10:30-07:02:36 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":26},"type":"PONG"}
2019:10:30-07:02:52 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":27},"type":"PING"}'
2019:10:30-07:02:52 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":27},"type":"PONG"}
2019:10:30-07:03:09 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":28},"type":"PING"}'
2019:10:30-07:03:09 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":28},"type":"PONG"}
2019:10:30-07:03:25 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":29},"type":"PING"}'
2019:10:30-07:03:25 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":29},"type":"PONG"}
2019:10:30-07:03:41 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":30},"type":"PING"}'
2019:10:30-07:03:41 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":30},"type":"PONG"}
2019:10:30-07:03:56 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":31},"type":"PING"}'
2019:10:30-07:03:56 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":31},"type":"PONG"}
2019:10:30-07:04:12 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":32},"type":"PING"}'
2019:10:30-07:04:12 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":32},"type":"PONG"}
2019:10:30-07:04:29 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":33},"type":"PING"}'
2019:10:30-07:04:29 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":33},"type":"PONG"}
2019:10:30-07:04:45 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":34},"type":"PING"}'
2019:10:30-07:04:45 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":34},"type":"PONG"}
2019:10:30-07:05:00 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":35},"type":"PING"}'
2019:10:30-07:05:00 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":35},"type":"PONG"}
2019:10:30-07:05:16 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":36},"type":"PING"}'
2019:10:30-07:05:16 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":36},"type":"PONG"}
2019:10:30-07:05:33 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":37},"type":"PING"}'
2019:10:30-07:05:33 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":37},"type":"PONG"}
2019:10:30-07:05:48 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":38},"type":"PING"}'
2019:10:30-07:05:48 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":38},"type":"PONG"}
2019:10:30-07:06:05 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":39},"type":"PING"}'
2019:10:30-07:06:05 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":39},"type":"PONG"}
2019:10:30-07:06:21 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":40},"type":"PING"}'
2019:10:30-07:06:21 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":40},"type":"PONG"}
2019:10:30-07:06:37 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":41},"type":"PING"}'
2019:10:30-07:06:37 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":41},"type":"PONG"}
2019:10:30-07:06:52 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":42},"type":"PING"}'
2019:10:30-07:06:52 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":42},"type":"PONG"}
2019:10:30-07:07:08 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":43},"type":"PING"}'
2019:10:30-07:07:08 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":43},"type":"PONG"}
2019:10:30-07:07:25 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":44},"type":"PING"}'
2019:10:30-07:07:25 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":44},"type":"PONG"}
2019:10:30-07:07:41 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":45},"type":"PING"}'
2019:10:30-07:07:41 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":45},"type":"PONG"}
2019:10:30-07:07:57 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":46},"type":"PING"}'
2019:10:30-07:07:57 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":46},"type":"PONG"}
2019:10:30-07:08:13 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":47},"type":"PING"}'
2019:10:30-07:08:13 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":47},"type":"PONG"}
2019:10:30-07:08:30 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":48},"type":"PING"}'
2019:10:30-07:08:30 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":48},"type":"PONG"}
2019:10:30-07:08:45 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":49},"type":"PING"}'
2019:10:30-07:08:45 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":49},"type":"PONG"}
2019:10:30-07:09:01 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":50},"type":"PING"}'
2019:10:30-07:09:01 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":50},"type":"PONG"}
2019:10:30-07:09:17 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":51},"type":"PING"}'
2019:10:30-07:09:18 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":51},"type":"PONG"}
2019:10:30-07:09:34 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":52},"type":"PING"}'
2019:10:30-07:09:34 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":52},"type":"PONG"}
2019:10:30-07:09:49 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":53},"type":"PING"}'
2019:10:30-07:09:49 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":53},"type":"PONG"}
2019:10:30-07:10:06 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":54},"type":"PING"}'
2019:10:30-07:10:06 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":54},"type":"PONG"}
2019:10:30-07:10:22 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":55},"type":"PING"}'
2019:10:30-07:10:22 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":55},"type":"PONG"}
2019:10:30-07:10:38 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":56},"type":"PING"}'
2019:10:30-07:10:38 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":56},"type":"PONG"}
2019:10:30-07:10:53 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":57},"type":"PING"}'
2019:10:30-07:10:53 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":57},"type":"PONG"}
2019:10:30-07:11:09 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":58},"type":"PING"}'
2019:10:30-07:11:09 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":58},"type":"PONG"}
2019:10:30-07:11:26 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":59},"type":"PING"}'
2019:10:30-07:11:26 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":59},"type":"PONG"}
2019:10:30-07:11:41 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":60},"type":"PING"}'
2019:10:30-07:11:41 sg135 red_server[12946]: A350246331085F2: Sending json message {"data":{"seq":60},"type":"PONG"}
2019:10:30-07:11:57 sg135 red_server[12946]: A350246331085F2: command '{"data":{"seq":61},"type":"PING"}'




Und hier das Intrusion Prevention System - Log:

2019:10:30-10:52:32 sg135 snort[19838]: S5: Session exceeded configured max bytes to queue 1048576 using 1052578 bytes (client queue). 24.134.124.25 33122 --> 205.185.216.10 80 (0) : LWstate 0x9 LWFlags 0x6007
2019:10:30-12:44:08 sg135 snort[19824]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="OS-WINDOWS Microsoft Windows Terminal server RDP over non-standard port attempt" group="110" srcip="92.63.194.17" dstip="10.1.1.251" proto="6" srcport="1513" dstport="443" sid="49040" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"
2019:10:30-12:48:22 sg135 snort[19824]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="OS-WINDOWS Microsoft Windows Terminal server RDP over non-standard port attempt" group="110" srcip="92.63.194.17" dstip="10.1.1.251" proto="6" srcport="21" dstport="443" sid="49040" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"

0 BAlfson over 5 years ago in reply to Olli-204

As expected, Oliver, there's nothing interesting in the Intrusion Prevention log.

What are 192.168.xxx.181, 192.168.xxx.254, 192.168.xxx.1, 85.xx.yyy.29 and 99.xx.yyy.13?

In the RED log, it looks like the problem began at 06:54:11, and then everything was back to normal seconds after 06:55:44 - or not?

MfG - Bob (Bitte auf Deutsch weiterhin.)

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel
0 Olli-204 over 5 years ago in reply to BAlfson

The Addresses 192.168.188.xxx are Client Computers in the remote Network behind the RED. 192.168.188.254 is the gateway (Sophos UTM).

The staff member told me they unplugged the RED about five minutes to seven. So, I think this causes the interruption at 06:54:11 and the actual Problem appeared earlier.

Secretly I suspect it’s the internet providers fault…
Cancel
Vote Up 0 Vote Down

Cancel
0 piddae over 5 years ago in reply to Olli-204

I take the same view as Balfson. Olli, monitore die Leitung mit ping und evtl. prtg oder ähnl. Wenn es stark differierente Ping-Zeiten gibt, ist das kein gutes Zeichen. Gibt es evtl. Leitungsüberlastungen durch Vorgänge zwischen Stelle und Gegenstelle (Backup oder DB-Anwendung)? Kannst du auch mit prtg oder flowcontrol machen (wenn es die switches unterstützen).

Grüße Piddae
Cancel
Vote Up 0 Vote Down

Cancel