Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 4 subscribers
  • Views 1852 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site VPN (SSL) Fehler nach Update

Olli-204

Hallo community,

 

ich habe seit dem Update auf die Firmware Version 9.701-6 das Problem, dass mein SSL-Site-to-Site VPN nicht mehr funktioniert.

Meine Konfiguration sieht wie folgt aus:

 

Sophos UTM SG - Server-Standort (9.701-6)

Sophos UTM SG - Standort A (9.701-6) - VPN FEHLER

Sophos UTM SG - Standort B (9.510-5) - VPN OK

 

Die Standorte A und B sind beide mit SSL VPN zum Server-Standort angebunden. 

In der Site-to-Site VPN Ansicht werden mir ALLE Verbindung grün, also OK angezeigt. 

Jedoch funktioniert ein Ping von Standort A zum Server-Standort NICHT.

An Standort B ist alles ok.

Am Freitag vor dem Update war noch alles OK. 

 

Hier das LOG auf von Standort A:

2020:02:03-14:30:12 utm-ld openvpn[20793]: MANAGEMENT: Client disconnected
2020:02:03-14:42:56 utm-ld openvpn[20793]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt_REF_SslCliLdsrv
2020:02:03-14:42:56 utm-ld openvpn[20793]: MANAGEMENT: CMD 'state'
2020:02:03-14:43:01 utm-ld openvpn[20793]: MANAGEMENT: CMD 'state'
2020:02:03-14:43:06 utm-ld openvpn[20793]: MANAGEMENT: CMD 'state'
2020:02:03-14:43:11 utm-ld openvpn[20793]: MANAGEMENT: CMD 'state'
2020:02:03-14:43:17 utm-ld openvpn[20793]: MANAGEMENT: CMD 'state'
2020:02:03-14:43:22 utm-ld openvpn[20793]: MANAGEMENT: CMD 'state'
2020:02:03-14:43:27 utm-ld openvpn[20793]: MANAGEMENT: CMD 'state'
2020:02:03-14:43:30 utm-ld openvpn[20793]: MANAGEMENT: CMD 'state'
2020:02:03-14:43:30 utm-ld openvpn[20793]: MANAGEMENT: CMD 'state'
2020:02:03-14:43:40 utm-ld openvpn[20793]: MANAGEMENT: Client disconnected
2020:02:03-14:45:02 utm-ld openvpn[20793]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt_REF_SslCliLdsrv
2020:02:03-14:45:02 utm-ld openvpn[20793]: MANAGEMENT: CMD 'state'
2020:02:03-14:45:02 utm-ld openvpn[20793]: MANAGEMENT: CMD 'state'
2020:02:03-14:45:12 utm-ld openvpn[20793]: MANAGEMENT: Client disconnected

 

Hier das LOG von Standort Server:

2020:02:03-14:47:02 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:02 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:05 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:11 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:16 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:21 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:27 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:28 sg135 openvpn[25871]: REF_AaaUse2/217.91.XXX.XXX:53546 MULTI: Learn: 192.168.188.147 -> REF_AaaUse2/217.91.XXX.XXX:53546
2020:02:03-14:47:32 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:37 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:43 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:48 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:53 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
2020:02:03-14:47:59 sg135 openvpn[25871]: MANAGEMENT: CMD 'status -1'
 
Die unkenntlich gemachte IP ist die öffentliche IP von Standort A.
In der SSL Verbindung ist eingetragen, dass Firewall-Regeln automatisch erstellt werden.
 
Hat jemand eine Idee, was ich noch versuchen könnte?
 
Grüße
Olli
 


This thread was automatically locked due to age.
Parents
  • 0

    Hallo Olli,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I like Philipp's suggestions, and you will see why if you read #1 and #2 in Rulz (last updated 2019-04-17) carefully.  I suspect the SG in Standort A.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo,

    seit dem Update auf "9.701-6" haben wir auch Probleme mit allen unseren Site-to-Site-IPsec-VPN-Verbindungen.
    Es ist wie beschrieben: unter IPsec selbst alles grün, unter "Site-to-Site-VON" alles rot.

    Mir fällt im Log nur eine Zeile auf, die Probleme machen könnte:

    2020:02:19-16:08:04 sg230-1 pluto[9925]: | **parse ISAKMP Message:
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | initiator cookie:
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | 31 ...
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | responder cookie:
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | eb ...
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | next payload type: ISAKMP_NEXT_N
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | ISAKMP version: ISAKMP Version 1.0
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | exchange type: ISAKMP_XCHG_INFO
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | flags: none
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | message ID: f9 ...
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | length: 102
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | ICOOKIE: 31 ...
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | RCOOKIE: eb ...
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | peer: 5d ...
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | state hash entry 30
    2020:02:19-16:08:04 sg230-1 pluto[9925]: | state object not found

    Hab im Netz nichts mehr weiter dazu finden können.
    Kennt man mittlerweile die Ursache?

    Grüße, Uwe

  • 0 in reply to Uwe Beierlein

    Hallo Uwe,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    In 15 years here, I can't think of a time when a problem was solved using debug with the IPsec log.  Try the following:

    1. Confirm that Debug is not enabled.
    2. Disable the IPsec Connection.
    3. Start the IPsec Live Log and wait for it to begin to populate.
    4. Enable the IPsec Connection.
    5. Copy here about 60 lines from enabling through the error.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

    vielen Dank für die schnelle Antwort!

    Mittlerweile sind alle VPN-Verbindung wieder online.

    Ich kann nicht sagen, was die Ursache war:
    Es wurden alle Verbindungen deaktiviert und nach einiger Zeit jede einzeln wieder aktiviert.

    Grüße, Uwe

Reply Children
No Data
Unfiltered HTML