Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2176 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS issue

edwardl.a.u
Hi All,

for the last few days we have been having issues loading our internal web applications through VPN, both Site to Site IPsec and SSL VPN.

If we turn off IPS then everything works. When the IPS is on, nothing related is stated in the log, although the websites starts timing out or not loading properly anymore.

Under IPS Local networks is:
Internal (Network)

Policy is: Drop silently

I tried adding VPN Pool (IPsec) and VPN Pool (SSL) to the list but it didn't help.

Anto-Portscan is on

I also tried putting all the attack patterns to alert instead of drop, but still nothing related is logged.

Is there another way to find out what rule is causing it?

Best,
Eddie


This thread was automatically locked due to age.
  • 0
    Hi Eddie,

    next time, please start a search for similar issues first - or, in this case - look at the last topics in the forum. This problem was already discussed for days here because we're kinda all affected:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/41820

    The problem you mentioned here with the VPN traffic and IPS is exactly the same i have. I could workaround it by creating IPS Exceptions for the affected servers/services! You can even shutdown IPS completly if you want, but adding exceptions doesnt sacrifice all the IPS protection.

    best, martin
  • 0
    Thanks very much Martin, for the quick reply and assistance. I read the post but wasn't sure it was related since I didn't notice any "snort not running" alerts.

    Will keep it in mind next time. 

    Best,
    Eddie
  • 0
    Hi Eddie,

    no problem. But its better to post your problem in the same thread since mostly - when a lot of people complaining about the same issue, you're probably also one of them (even if the symptoms may differ slightly)

    But you should be able to see the ***Caugt Term-Signal*** log line for your IPS around the time last monday the problem started (i also did not get the email, but my IPS restarted anyways!) If you can find that line around 13 to 15h (depending on then you update your IPS patterns) then you're also affected

    Best, Martin