Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 1929 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED SSL VPN dropping packets

mjpmotw
Dear all

I have a SG330 that connects to a RED50 at a remote site. I want to transfer NetApp SnapMirror oder SnapVault Data to that location.

After transferring 20MB/s (with compression) or 15MB/s (without) I am able to transfer 600GB of data without flaw.

Then the transfer stalls and I get an error from NetApp. The NetApp engineer says, that the tunnel is dropping packages.

"Everything goes fine until frame 783277 (tcp packet with sequence number 4178007152) on Vif0_20150714_150401.trc that never arrives to vif0_20150714_150405.trc

I can see that the frame is retransmitted in typical backoff procedure at frames  783532 783534 783535 783536 783537 783538 783539 783541 783542 783543 783545 and 783546.

SAN gives up at frame 783547 and considering the tcp session lost and send an RST.

The very first transmission is indeed received on vif0_20150714_150405.trc at frame 783560 but none of the retransmissions are."

I already put the RED Interface in the IPS local networks. Is ATP dropping packages or only IPS? How can I disable or isolate further "package dropping mechanism" on my SG330?


This thread was automatically locked due to age.
  • 0
    What do you see in the Intrusion Prevention log?  Please post a representative line. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Got something:

    2015:07:28-08:14:23 sg330a-1 snort[30195]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="MALWARE-BACKDOOR Htran banner" group="500" srcip="172.18.10.10" dstip="172.19.10.10" proto="6" srcport="10566" dstport="26044" sid="25281" class="A Network Trojan was Detected" priority="1" generator="1" msgid="0"

    The colored IPs are two netapp systems. One is mirroring snapsshots to the other. Looks like a package was dropped.

    I have now created a rule in IPS/Exceptions that skips everything "coming from those source networks" 172.18.10.10 and 172.19.10.10. What else to do or check?
Unfiltered HTML