Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3534 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Upgrade to SG330 Issues

jskain
Hi All:

I've got a ASG 320, running 9.309-3. I just got a new SG330 as a hardware upgrade. I got a 30-day temp license for it from Sophos. It had a version prior to 9.309-03 running on it, but updated to 9-309-3, same as the ASG.

I exported the running config and imported it to the new box for testing. Looked over the config on the new box and all seemed there.  I switched traffic over to it, and initially all seemed OK. I've got four Ethernet connections - three straight standard Ethernet (internal, primary external, etc.) and one trunk connection with four VLAN's on it - including the secondary internet connection, DMZ, etc.. 

However, I've got several DNAT/SNAT's running, for outside people to access an internal database, using additional addresses. Although the management console showed all the addresses were up, they wouldn't function. Couldn't connect to them. Rebooted the SG330 (twice even) no joy.

The DNAT/SNAT's were done before full NAT was available.

I've also got a dual internet connection - different carriers, etc. and have uplink balancing with multipath rules set up (most traffic goes out the primary unless it fails, then goes over to the secondary, and some traffic - like our BYOD wifi hotsopts goes out on the secondary, and fails over to the primary). But didn't look like it was using the secondary, even though showed as up.

Also, I've got four hardware VPN connections, three connect over the primary internet connection, and one over the secondary. The three over the primary came up, but the one over the secondary didn't.

I have a Sophos software VPN from home, and it came right back up, but it's using the primary IP address. 

I had it up about an hour, and no changes.

I plugged the cables back into the old ASG 320, and all came right back up - NAT's, VPN's, etc. 

Any ideas? 

John S.


This thread was automatically locked due to age.
  • 0
    John, try disabling/enabling each of your Additional Addresses.  Did that resolve the issue?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    What Netmask you use with your Additional IPs?
    Should be /32.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    I checked the additional addresses and they're all /32.
    I'll have to get some downtime (we're a 24x7 operation) to plug it back in and try disabling and enabling each of the additional addresses. I did reboot the new box twice to see if that would fix anything, but that didn't do it. I did notice the new box reboots WAY faster than the old one - like less than a minute. 

    Thanks for the replies, and if you have any more flashes of brilliance...

    John S.
  • 0
    Hi All:

    After a lot of experimenting, this is what I found. Initially I thought (and Sophos support seemed to think the same) that the DNAT's I have to steer external addresses to internal addresses were at fault.

    Last night, I did a fresh export from my ASG 320 and imported it to the SG 330. With so much trying and changing, thought it best to start over. The config works fine on the ASG 320.

    Anyway, imported it to the SG 330 and rebooted. Then switched the Ethernet cables from the old box to the new one. Same issues as before - The DNAT's coming in through the additional addresses wouldn't work. A ping outbound from one of the servers involved with the DNAT wouldn't work. And incoming services wouldn't work. But could ping out from a workstation, etc.

    I enabled ping on the SG, and could ping the primary address, but none of the additional addresses. That got me thinking. 

    So, went to the additional address page and disabled the additional address, then re-enabled it, and 15 or so seconds later things began working. I could ping out from the affected server, PPTP to it from the outside world, connect to a test IIS box through a DNAT, etc. And from the outside world could ping the additional addresses. 

    So, it seems the holdup was, for whatever reason, the additional addresses were not coming up. 

    Only other major issue found was this: we have four site-to-site VPN connections from outlying offices, all using the same Cisco firewall/VPN boxes at the distant end. Three of four came up. The three that came up were coming in through our primary ISP fiber connection. The one that didn't come up was coming in through our backup ISP AT&T connection. That port was up as our BYOD WiFi routes out through that connection, and in the ping test, was pingable. Changed the configuration to come in through the primary ISP and it came right up. Not sure on that one.

    But, operating on the new SG330. Initial observations, way more power - CPU has so far peaked at 7% and us usually at 1% or so.

    Anyway, more testing to follow, but seems to have found a solution. Up and running on the new box.

    Thanks for your suggestions !! (oh, I've turned the pingable setting off)

    John s.
  • 0
    I had tried disabling the additional addresses before, but I think maybe I was trying to do too many things at one time. This time PATIENCE !!. After bringing the new box up, I let it sit and run for about 15 minutes. Then did the down/up on the additional addresses. Probably before, when I tried that, didn't give things enough time to stabilize.
  • 0
    So it seems Grandis Professorem Astaro, you were dead on. Just got impatient. 
    Wonder if the additional addresses are always that finicky. Something to do with advertising, MAC addresses, etc. maybe?
  • 0
    I think I first remember running into this in V7.  I don't think I was able to reproduce this on demand.  It seems that I had disabled the interface before a reboot, but not the Additional Addresses.  When the ASG came back up, I enabled the interface, but the Additional Addresses would not respond to pings.  I suspect that Astaro Support told me about the disable/enable trick, but I've slept since then!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    And to add to the strangeness, today I tried putting the errant site-to-site VPN back on the Att connection and it kicked right in. 

    Maybe something with a different mac with the same ip, and taking time for arp to catch up? Wish someone with a lot more network smarts could explain it to me. 

    John S
  • 0
    A followup. Been running on the new GS330 for a month. Stable. CPU usage is next to nothing. I think it's peaked at about 14%, and during the day, with the heaviest usage, it's less than 10%. 

    I did an update last Thursday to apply 4 updates. Reboots are much faster. I had a ping outbound from a workstation, and from a server with a DNAT/SNAT. The ping from the workstation came up, and about 15 seconds later, the ping from the DNAT/SNAT-ed server came back up. 

    But, so far, so good. Much more responsive, much faster to show web pages to users, etc. 

    Thanks for all your help. 

    John S.
  • 0
    Maybe something with a different mac with the same ip, and taking time for arp to catch up?

    If you want to avoid having to call your ISP and asking them to reset their ARP table in your last-hop router, you can, prior to doing a switchover, go t the 'Hardware' tab and set the Virtual MAC Addresses to the existing ones on the old machine.  Note that this can be done before the backup of the old device or on the new machine before switching over.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML