Anti Replay - Is this EVER going to be addressed?

If you have an idea for improving the UTM, the best way to get it noticed by Sophos developers is to submit a Feature Request and come back here to provide a link for other forum members to vote for it, too.

Have you asked Support if the rpm they supplied you with a year ago survives any Up2Dates past 9.107, or if the rpm can be safely re-applied after some Up2Dates?  I don't think there were any changes to the IPsec package until 9.2.  If they don't know, ask for escalation.  It may take escalation all the way to the developers, and that might be as long as three weeks.

Most all of my clients are on 9.111, 9.112 or 9.113.  I anticipate giving the go-ahead to 9.205-12 this week though.

Cheers - Bob

If you have an idea for improving the UTM, the best way to get it noticed by Sophos developers is to submit a Feature Request and come back here to provide a link for other forum members to vote for it, too.

While some folks me say the value in the "vote it up" system of prioritizing feature requests and bug fixes, I find it falls well short in many cases and don't have much faith in their real world effectiveness when compared to the old fashion way. Qualified support engineers should be able to identify issues and pass them to development with there qualification of votes or the number of reported incidents.

This case is a perfect example. This is a serious component implementation issue that affects just about any IPsec user who is not going UTM to UTM. Sadly, almost 100% of those affected would have no idea they were affected. No report, no vote, just an unstable tunnel with no clue as to why.

Have you asked Support if the rpm they supplied you with a year ago survives any Up2Dates past 9.107, or if the rpm can be safely re-applied after some Up2Dates?

 I was told that it was for 9.107 explicitly and that the RPM was A) not supported and an install at risk patch for 9.107 only and B) no further RPMS would be developed for  future firmware.

While I would love to tinker around a try to apply the patch to later firmware updates, the UTMs are in a production environment and the process of adding a non-production UTM and having the data center build out a test tunnel will be costly and time consuming. I would much rather the UTM IPsec implementation be fixed instead of spending so many resources playing around with an unsupported RPM that could break with ANY future update.

  I don't think there were any changes to the IPsec package until 9.2.  If they don't know, ask for escalation.  It may take escalation all the way to the developers, and that might be as long as three weeks.

 It took months to get them to even recognize there was a valid issue and it became fairly clear that they they had no intention of further dealing with it or future plans to change the functionality or reporting. 

Thanks for  the response. My goal here is just to raise awareness with the "regulars", as my official communication with support and development yielded no more than a 1-time, unsupported patch. I feel this is a serious design flaw in the IPsec implementation that could help (and explain) a lot of the problems that folks are having with IPsec rollouts.

I really do like the UTMs we have in the field but this issue is fairly significant for us and the fact that it has been raised several times and ignored is maybe even more significant.

If you have an idea for improving the UTM, the best way to get it noticed by Sophos developers is to submit a Feature Request and come back here to provide a link for other forum members to vote for it, too.

While some folks me say the value in the "vote it up" system of prioritizing feature requests and bug fixes, I find it falls well short in many cases and don't have much faith in their real world effectiveness when compared to the old fashion way. Qualified support engineers should be able to identify issues and pass them to development with there qualification of votes or the number of reported incidents.

This case is a perfect example. This is a serious component implementation issue that affects just about any IPsec user who is not going UTM to UTM. Sadly, almost 100% of those affected would have no idea they were affected. No report, no vote, just an unstable tunnel with no clue as to why.

Have you asked Support if the rpm they supplied you with a year ago survives any Up2Dates past 9.107, or if the rpm can be safely re-applied after some Up2Dates?

 I was told that it was for 9.107 explicitly and that the RPM was A) not supported and an install at risk patch for 9.107 only and B) no further RPMS would be developed for  future firmware.

While I would love to tinker around a try to apply the patch to later firmware updates, the UTMs are in a production environment and the process of adding a non-production UTM and having the data center build out a test tunnel will be costly and time consuming. I would much rather the UTM IPsec implementation be fixed instead of spending so many resources playing around with an unsupported RPM that could break with ANY future update.

  I don't think there were any changes to the IPsec package until 9.2.  If they don't know, ask for escalation.  It may take escalation all the way to the developers, and that might be as long as three weeks.

 It took months to get them to even recognize there was a valid issue and it became fairly clear that they they had no intention of further dealing with it or future plans to change the functionality or reporting. 

Thanks for  the response. My goal here is just to raise awareness with the "regulars", as my official communication with support and development yielded no more than a 1-time, unsupported patch. I feel this is a serious design flaw in the IPsec implementation that could help (and explain) a lot of the problems that folks are having with IPsec rollouts.

I really do like the UTMs we have in the field but this issue is fairly significant for us and the fact that it has been raised several times and ignored is maybe even more significant.