Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intermittent dropped traffic over IPSec VPN?

Hi all, this is a continuation of the RFC1918 thread I started last week.  We have a VPN set up to a Rackspace-hosted server, and the VPN is passing traffic, but now I'm having some assorted problems with it.

Layout:
5 TIME CLOCKS and 1 Windows server on various subnets  CORP NETS  CORP ROUTER  SOPHOS FW  INTERNET  VPN  HOSTED SERVER

The hosted server is a Windows box, and from it you can access the http page of the clocks for configuration.  By the diagram above, the "HOSTED SERVER" is attempting to open the "TIME CLOCKS" HTTP page.  It works about 95% of the time, but randomly not for the same clock in a row, the HTTP page starts to load, and then in the middle of the page, you get the splash page of the firewall, indicating that the page is timing out.  Local network users never have this issue.
The only non-default setting I've chosen that the VPN wizard did not do was to check, on the Remote Gateway tab, the "Support Path MTU Discovery", thinking maybe that the MTU is too large.  A "ping -f -l" from an allowed inside host to the hosted server shows that the MTU has to be 1410 or lower to avoid fragmentation.

Any ideas?


This thread was automatically locked due to age.
  • If you're using the Web Proxy, check the Web Filtering log for one of these occurrences.  It may be AV scanning causing a delay, leading to the timeout.  The log entries will have a time to process (fullreqtime).  If this is the case, the usual fix is to create an AV exception rule for the transaction or add either source or destination to the transparent proxy skiplist, depending on the mode you are running the proxy in.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • If you're using the Web Proxy, check the Web Filtering log for one of these occurrences.  It may be AV scanning causing a delay, leading to the timeout.  The log entries will have a time to process (fullreqtime).  If this is the case, the usual fix is to create an AV exception rule for the transaction or add either source or destination to the transparent proxy skiplist, depending on the mode you are running the proxy in.


    I think you've solved two of my problems at once!  Quite by accident, I see from the Webfilter log that the hosted server is trying to access a non-existent link, which is what is filling up my log partition (I have a thread about that open on the logging forum).  This would explain why the problem started the same time I got the VPN up and running.

    /var/log/http/2015/07/http-2015-07-08.log.gz:2015:07:08-03:39:10 fw-1 httpproxy[6242]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="TIME CLOCK" dstip="HOSTED SERVER" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2595" request="0x12aa6000" url="http://HOSTED SERVER/DCDGateway/DCDGatewayEx.aspx" referer="" error="No route to host" authtime="0" dnstime="190" cattime="31" avscantime="0" fullreqtime="5389863" device="0" auth="0" ua="" exceptions="" reputation="neutral" category="9998" reputation="neutral" categoryname="Uncategorized"
  • Well, I did respond to that other thread as well.  [:)]  Two birds, one stone.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Well, I did respond to that other thread as well.  [:)]  Two birds, one stone.


    What I don't get is why it's saying that the traffic is being blocked, for "No route to host".  The VPN is the route to the host, but why doesn't the webfilter know that?
  • Think of the "blocked" message as meaning that the request "failed" - we all agree that the wording is misleading.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Think of the "blocked" message as meaning that the request "failed" - we all agree that the wording is misleading.

    Cheers - Bob


    Following your advice, I added the hosted server to the Destination Transparent mode skiplist, and everything seems to be working now.