itallrounder
Goto Top

HA Konstrukt für Firmennetzwerk mit mehreren WAN Verbindungen

Guten Morgen zusammen,

ich stehe gerade vor der Überlegung unser Firmen Netzwerk etwas umzustrukturieren.

Aktuell primäres Problem:

Wir haben theoretisch 2x Sophos XG310 (nur 1x Lizenzsiert, die andere soll als Passiv HA greifen)
Aktuell laufen unsere WAN Anschlüsse über die XG direkt nur seit dem Firmware Update auf die v.18 ist unser Komplettes Regelwerk im Eimer und die "zweite" WAN Leitung Offline...
Also Sohpos Support hinzuigezogen mit dem Ergebnis: Sophos meinte Komplette Konfig resetten und alles neu einrichten. Gesagt getan...sobald wir die zweite Leitung aktiv schalten haben wir massiv Probleme mit dem Routing...wir haben Dienste die müssen zwingend mit einer gewissen IP aus unserem /27 Netz rausfunken...funktioniert dann aber auf einmal nicht mehr. Ebenfalls haben wir bei aktivtivierter weiter Leitung Paketloss in unserem Management VLAN, welches die XG Firewall routet...

Um das ganze etwas zu entzerren schwebt mir vor, einen / zwei Mikrotik Router vor die Firewall zu hängen.
Ich bräuchte jedoch schon 2x 10GBit als Uplink im LACP zu unserer Sophos XG310.
Die beiden 10 GBit SFP Ports auf der XG sind aber schon belegt, da Sie auf unseren Core gehen als LACP.
Habe demnach noch 2x 10GB SFP+ auf der XG frei, wenn ich das richtig im Kopf habe.
Welchen Router würdet ihr für das Vorhaben einplanen?

Kommt hier eventuell jemand aus der Region Hannover und ist Sophos Partner mit entsprechenden KnowHow?
Unsere derzeitigen Dienstleister kennen sich mit Sophos nicht aus und wollen ne Palo Alto verkaufen....die Lizenz der Sophos läuft aber noch mind. bis 10/2022.


Folgendes soll erreicht werden:
Wir haben derzeit folgende WAN Anbindungen:
- Glasfaser Direkt Verbindung mit Nokia Übergabepunkt vom Anbieter und /27 IPv4 Subnetz 500/500 MBIt/s
- Glasfaser FLEX mit FritzBox 7590 und Glasfaser Modem vom Anbieter 250/250 Mbit/s 1x static IPv4
Neu hinzukommen, soll noch eine weitere Glasfaser Verbindung mit 1000 / 1000 MBIt/s, diese soll primär genutzt werden, um Backsups nach außen zu schieben.
Die WAN Leitungen sollen gelaodbalanced werden und im Falle des Ausfalls einer Leitung soll die zweite aktiv / dritte aktiv werden.

Grundsätzlich:
Leitung 1= /27 Subnetz mit sämtlichen Public Share für Exchange, SMTP, Citrix, Web Portale, Standortvernetzung
Leitung 2= 1x IPv4 static für Internetzugriff aller Clients auch Gäste Netz
Leitung 3 = Glasfaser von Vodafone für Upload von Backups (ca. 20TB initial und täglich ~2,5 TB Differenz

Aktueller Netzwerkaufbau:
alt


Neuer Netzwerkaufbau:
neues-konstrukt

Vor/ Nachteile der Umstellung:
- Entlastung der Firewall
- Entschlackung der FW und NAT Regeln
- ggf. doppelt NAT / Firewalling, da die ext. IP’s auf dem Router terminiert werden und nicht auf der Firewall


Offene Fragen:
- Was macht aus eurer Erfahrung am meisten Sinn? Router ala Mikrotik vor die Firewall oder weiterhin die Firewall alles machen lassen?
- Wenn ein Mikrotik davor kommt, welches Model? Budget sollte zwischen 250 und 600€ liegen
- Wie sichere ich folgenden Fall ab: Citrix von extern "cag.ourcomapny.com" läuft auf IP 11.22.33.44 von der LWL Direktverbindung. Wenn diese nun ausfällt ist auch das IPv4 Subnetz weg...was macht man hier am besten? Betroffen sind hier Cisco UCC Telefonanlage, Citrix Zugang, Nextcloud, Exchange, VPN Standortvernetzung


Lieben Gruß

Content-ID: 1413729645

Url: https://administrator.de/forum/ha-konstrukt-fuer-firmennetzwerk-mit-mehreren-wan-verbindungen-1413729645.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

aqui
aqui 21.10.2021 aktualisiert um 11:24:09 Uhr
Goto Top
Wenn man das "+" Zeichen laut FAQ für eingebundene Bilder intelligent und richtig nutzt dann erscheinen die embeddeten Bilder auch richtig zum Thread Kontext bezogen und nicht wirr und bedeutungslos am Ende des Threads.
Kann man übrigens immer noch nachträglich mit dem "Bearbeiten" Knopf anpassen !
face-wink

Zu den offenen Fragen:
  • Direkte Anbindung ist immer besser weil du so NAT Probleme und ggf. doppeltes Firewalling vermeidest. Wozu eine Kaskade mit doppeltem Routing als "Durchlauferhitzer" ?
  • RB4011 oder größer
  • Citrix lässt man immer auf eine viruelle IP laufen also eine die geshared wird zw. deinen HA Komponenten (z.B. VRRP) somit ist diese immer erreichbar egal ob Link oder Hardware ausfallen.
ITAllrounder
ITAllrounder 21.10.2021 um 11:05:38 Uhr
Goto Top
Zitat von @aqui:

Wenn man das "+" Zeichen laut FAQ für eingebundene Bilder intelligent und richtig nutzt dann erscheinen die embeddeten Bilder auch richtig zum Thread Kontext bezogen und nicht wirr und bedeutungslos am Ende des Threads.
Kann man übrigens immer noch nachträglich mit dem "Bearbeiten" Knopf anpassen ! face-wink

ist erledigt face-smile


Zu den offenen Fragen:
  • Direkte Anbindung ist immer besser weil du so NAT Probleme und ggf. doppeltes Firewalling vermeidest. Wozu eine Kaskade mit doppeltem Routing als "Durchlauferhitzer" ?

Unser Problem ist, dass die Sophos bei uns derzeit nur mit einer WAN Verbindung klar kommt, da anderen Falls unsere NAT Regeln nicht mehr greifen und die Firewall Random mit Interface 5 oder 6 und verschiedenen Public IP's au de /27 rausfunkt.
Anleitung laut Sophos:
https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onli ...


* RB4011 oder größer
  • Citrix lässt man immer auf eine viruelle IP laufen also eine die geshared wird zw. deinen HA Komponenten (z.B. VRRP) somit ist diese immer erreichbar egal ob Link oder Hardware ausfallen.

Intern läuft Citrix über Netscaler über VIP's nur nach extern habe ich nur die Wahl meiner vom Provider zugewiesenen IPv4 Adressen...
aqui
aqui 21.10.2021 um 11:30:41 Uhr
Goto Top
bei uns derzeit nur mit einer WAN Verbindung klar kommt
Wie ist das jetzt zu verstehen ?? Ein Konfig Fehler oder Fehler im Setup oder ist die Sophos technisch nicht in der Lage mit einer Dual WAN Konfig umzugehen ?
Laut Sophos_Doku sollte sie es können. Deren Knowledgebase hat diverse Einträge dazu ?
und die Firewall Random mit Interface 5 oder 6 und verschiedenen Public IP's au de /27 rausfunkt.
Wie ist das möglich ? Normal gibt es dafür eine exakte Policy Route wo sowas niemals passieren kann ?! Ist das jetzt ein Fehler im Setup der Sophos, also hausgemacht ?
nur die Wahl meiner vom Provider zugewiesenen IPv4 Adressen...
Sind das mehrere, sprich besitzt du ein kleines Subnetz vom Provider oder ist das nur eine einzige ?
Sind diese Provider Adressen (oder Adresse) statisch ?
Mit einer singulären IP ist das dann etwas tricky, geht aber auch sofern du 2 singuläre feste IPs hast, denn dann nutzt du ein DNS Balancing auf diese IP Adressen mit Failover.
ITAllrounder
ITAllrounder 21.10.2021 um 11:45:29 Uhr
Goto Top
Zitat von @aqui:

bei uns derzeit nur mit einer WAN Verbindung klar kommt
Wie ist das jetzt zu verstehen ?? Ein Konfig Fehler oder Fehler im Setup oder ist die Sophos technisch nicht in der Lage mit einer Dual WAN Konfig umzugehen ?
Laut Sophos_Doku sollte sie es können. Deren Knowledgebase hat diverse Einträge dazu ?

Technisch supported die Sophos mehrere WAN Verbindungen. Leider scheitert es bei uns an der Konfiguration.
Der Sophos Support weiß nur aktuell bei uns auch nicht mehr weiter, zu mal wir deren Bitte nach gekommen sind und die Firewall von Grund auf neu konfiguriert haben.

und die Firewall Random mit Interface 5 oder 6 und verschiedenen Public IP's au de /27 rausfunkt.
Wie ist das möglich ? Normal gibt es dafür eine exakte Policy Route wo sowas niemals passieren kann ?! Ist das jetzt ein Fehler im Setup der Sophos, also hausgemacht ?


Wir haben ja wie erwähnt derzeit 2 WAN Leitungen.
Leitung 1 hat ein Subnetz à la 81.14.XXX.145/27
Leitung 2 ist single static IP à la 91.12.XXX.134

Schalten wir nun die zweite WAN Leitung (Leitung 2) in unserer Sophos aktiv [derzeit ist das Interface deaktiviert], so geschieht folgendes:

Cisco Express Way für den Cisco UCC läuft bei uns auf der WAN IP 81.14.XXX.150 = Kommunikation erfolgreich
Schalte ich die Leitung 2 nun ein, sendet der Cisco Expressway aufeinmal mit der IP 81.14.XXX.157 raus...darauf antwortet dann natürlich der Client und stellt fest: Keine Inbound FW Rule, die auf der IP den Port zulässt. Verbindung beendet.

Ebenso ein Phänomen:
Microsoft Exchange sendet und empfängt Mails via S/MIME / SAPM Gateway bei einem ext. Dienstleister.
Also unsere MX laufen auf deren Server, die leiten uns alles an die 81.14.XXX.153 per SMTP weiter.
Wenn nun der Exchange eine Mail versendet, muss das zwingend über die 81.14.XXX.153 versendet werden. Hier setzt die Sophos aber plötzlich die 81.14.XXX.146 als Source IP...ergo diese IP darf nicht zu dem Anbieter senden und wird direkt abgewiesen. Alternativ versendet die Sophos diese Mails sogar über die Leitung 2 mit der IP 91.12.XXX.134.

Also passt in dem Zuge dann das SNAT auf der Sophos nicht.
Wir haben bereits ca. 50 Stunden mit einem ext. Dienstleister verbraten, der weiß nicht weiter. (Sogar Sophos Partner)
Der Sophos Support wurde auch mehrere Male bemüht gesamt ~26 Stunden angefallen
Wir haben unsere interne Kapazität dafür verbraten. ~+90 Stunden Zeitaufwand
Und das Thema ist nicht erledigt....wir sind hier intern keine "Netzwerk Experten" sondern kümmern uns um die gesamte IT. Andere Dienstleister die wir im Regelfall hinzu ziehen trauen sich an die Sophos nicht ran, deswegen die Fragen nach einem lokalen Partner.

nur die Wahl meiner vom Provider zugewiesenen IPv4 Adressen...
Sind das mehrere, sprich besitzt du ein kleines Subnetz vom Provider oder ist das nur eine einzige ?
Sind diese Provider Adressen (oder Adresse) statisch ?
Mit einer singulären IP ist das dann etwas tricky, geht aber auch sofern du 2 singuläre feste IPs hast, denn dann nutzt du ein DNS Balancing auf diese IP Adressen mit Failover.

Wir haben ja wie erwähnt derzeit 2 WAN Leitungen.
Leitung 1 hat ein Subnetz à la 81.14.XXX.145/27
Leitung 2 ist single static IP à la 91.12.XXX.134
aqui
aqui 21.10.2021 aktualisiert um 12:19:45 Uhr
Goto Top
Schalte ich die Leitung 2 nun ein, sendet der Cisco Expressway aufeinmal mit der IP 81.14.XXX.157
Wie ist das möglich ? Wenn das als fester Alias definiert ist und auch der DNS dediziert auf diese IP Adresse zeigt kann die Firewall doch niemals in einer laufenden Session die Source IP wechseln. Sowas ist unmöglich mal abgesehen davon das das ein Verstoß gegen den TCP/IP Standard ist.
Das hört sich aber verschärft nach einem Bug der Sophos Firmware an !!
Konnte das Sophos TAC dieses Verhalten reproduzieren anhand eures Cases ?
Wen Cisco Express Way und auch der Exchange eine statische 1:1 NAT Zuweisung haben darf doch niemals die Source IP verändert werden. Ganz egal ob man einen zweiten WAN Port in Betrieb nimmt oder nicht.
Traurig an der ganzen Thematik ist aber das das Sophos TAC vermutlich auch ratlos ist, was sehr verwunderlich ist bei solch einem simplen Multi WAN Standard Szenario.
Solche Standard HA Designs sollten Tagesgeschäft sein bei Sophos. Wenn die das nicht zufriedenstellend lösen können müsst ihr euren Case entsprechend dort priorisieren und eskalieren.
Fakt ist ja das es primär am Sophos Setup liegt und nur da. Jetzt mal abgesehen ob Bug oder falsche Konfig.
Dein neues HA Design ist ja ein simpler Klassiker wie es viele Firmen identisch lösen, also auch kein Hexenwerk. Ohne detailierte Analyse des Sophos Setups wird man da aber vermutlich schwerlich weiterkommen.

Natürlich kann man das mit einer Hardware "Schlacht" lösen indem du das ganze HA Konstrukt dann von einem Cisco, Mikrotik oder was auch immer Router übernehmen lässt wie oben angedacht. Die Sophos leiten dann quasi als "dumme" Firewalls diese Daten nur über singuläre Interfaces weiter.
Das wird sicher gehen ist aber eigentlich der falsche Ansatz für eine Lösung.
Es zieht einen zusätzlichen Layer ein, schafft weiter zu managende Hardware und macht das Netzwerk komplexer.
Alles nur weil die Sophos nicht richtig arbeiten, warum auch immer. Will man das ???
Da berührt man aber dann Fragestellungen die ein technisches Forum nicht beantworten kann.
em-pie
em-pie 21.10.2021 um 12:18:05 Uhr
Goto Top
Moin,

Ich kenne die XG nur vom Namen her, wir nutzen die SG-Serie (im Active-/Passive-Verbund), aber es klingt, als wenn euer PolicyBased-Routing nicht sauber läuft. Hier wird das ja gut beschrieben: https://support.sophos.com/support/s/article/KB-000035947?language=en_US

Wichtig noch: habt ihr alles "sauber" verkabelt.
Jedes Modem muss mit einem Bein an jeder Sophos hängen - sofern möglich. Ansonsten halt 'nen "dummen" Switch zwischen hängen.

Ich wüsste jetzt, wen ich wen nennen könnte, weiß aber nicht, ob die vom Ruhrgebiet bis nach Hannover aktiv sind.
Gerne kann ich dir per PN mal einen Firmennamen und Kontakt nennen, falls du Interesse hast.

Gruß
em-pie
aqui
aqui 21.10.2021 aktualisiert um 12:26:02 Uhr
Goto Top
Jedes Modem muss mit einem Bein an jeder Sophos hängen
Jein, das ginge technisch gar nicht ! Zumindestens reine NUR Modems können nicht bidirektional angeschlossen werden. Bei reinen NUR Modems muss jeder dedizierte WAN Port auch ein dediziertes Modem haben. Der Internet Port terminiert ja dann direkt auf der Firewall.
Bei Routern sieht das natürlich anders aus, denn dort ist das Internet ja auf dem Router terminiert der es dann auf einem Koppelnetz weiterreicht an die Firewalls per LAG oder VRRP usw.
Hängt also immer davon ab ob der TO reine Modems oder Router VOR den Firewalls plaziert. Dazu sagt die obige Skizze leider nichts aus.
Zumindestens bei dem Provider der das /27er Subnetz zur Verfügung stellt ist nicht ganz klar wie das auf der TO Seite terminiert ist.
em-pie
em-pie 21.10.2021 um 12:29:17 Uhr
Goto Top
@aqui: per se hast du natürlich recht.

Bei der Sophos muss man wissen: die Kiste, die gerade im "Standby" hängt, hat alle Interfaces (bis auf das HA-Interface) im Status "down".

Und die Klassiker wie Draytek Vigor 165 oder das Allnet-Pendent haben ja zwei LAN-Ports. Gut, es sind mehr als nur reine Modems - da wäre dann der o. g. Switch als Binde-Glied von Nöten. Das haben wir damals auch so gelöst, als wir noch den DTAG ADSLer mit 'nem kleinen D-Link-Modem hatten. Alternativ auf dem vorhandenen Switch einfach ein VLAN erstellen, dort drei Ports zuordnen (1x Moden, 2x Sophos) und fertig.
aqui
aqui 21.10.2021 aktualisiert um 12:35:09 Uhr
Goto Top
hat alle Interfaces (bis auf das HA-Interface) im Status "down".
Ooops...ein Active-Active Design kann die nicht ?!
haben ja zwei LAN-Ports.
Ja, ist richtig aber eins ist dediziert nur fürs Management. Aber auch wenn, würde es nichts bringen weil das PPPoE (oder was auch immer) Interface ja physisch auf dem dahinter liegenden Gerät liegt und Provider selten mehr als eine PPP Session mit gleichen Credentials pro Endgerät zulassen. Meist geht das nicht.
Mit dem VLAN Ansatz ist das dann pfiffiger... face-wink
ITAllrounder
ITAllrounder 21.10.2021 aktualisiert um 12:51:06 Uhr
Goto Top
Zitat von @em-pie:

Moin,

Ich kenne die XG nur vom Namen her, wir nutzen die SG-Serie (im Active-/Passive-Verbund), aber es klingt, als wenn euer PolicyBased-Routing nicht sauber läuft. Hier wird das ja gut beschrieben: https://support.sophos.com/support/s/article/KB-000035947?language=en_US


Schaue ich mir gleich durch. Was wird denn in unserem Fall genau benötigt? Policy Based Routing ist was komplett anderes als der Sophos Support verlangt (SD WAN Policy). Oder Irre ich mich da?

// Edit:
Auch hier mal wieder das größte Sophos Problem:
Die Anleitung richtet sich nach der Firmware v 17.X
Wir haben die v 18 im Einsatz.

Was sich Sophos mit der v18 gedacht hat, weiß glaube ich bis heute niemand.
Mit der v17 hatten wir keine Probleme in die Richtung, da lief sogar noch ein LTE Backup mit.


Wichtig noch: habt ihr alles "sauber" verkabelt.
Jedes Modem muss mit einem Bein an jeder Sophos hängen - sofern möglich. Ansonsten halt 'nen "dummen" Switch zwischen hängen.

Wir haben eine zweite XG 310 seit ca. 2 Jahren hier "im Schrank liegen".
Der HA Link ist noch nicht aktiv, da wir erstmal die Thematik mit den WAN Anschlüssen klären müssen.

Unsere primäre LWL Direktverbindung läuft über ein Nokia Modem / Router, was vom Anbieter gestellt wird. Eine Einwahl der Sophos ist nicht notwendig. (Die Sophos hält als default IP für das Interface 5 die 81.14.XXX.146/27.
Die 81.14.XXX.145/27 ist das Nokia Teil vom Anbieter. Alle weiteren IP's sind als Alias auf dem Interface 5 angelegt.

Leitung zwei wird über ein Moidem vom Anbieter und einer FritzBox 7590 vom Anbieter betrieben.
Hier hat die Fritte ganz klassisch das Netz 192.168.178.0/24
Wobei die Fritte die 192.168.178.1 hat und die Sophos auf Interface 6 dann die 192.168.178.2 hält.


Für die Verfügbarkeit der zwei Internetanschlüsse an 2 Firewalls haben wir folgendes im Sinne:
RZ1 = Haupt Rechenzentrum (hier laufen alle externen WAN Verbindungen auf)
RZ2 = Backup RZ mit identischer Hardware Ausstattung, nur keine WAN Verbindung.

Uns schwebt da was in die Richtung vor:
Internetleitung 1 auf Management Switch (Ruckus ICX 7150-24P) stecken auf Port 1/1/3 mit dem VLAN 4001
Internetleitung 2 auf Management Switch (Ruckus ICX 7150-24P) stecken auf Port 1/1/3 mit dem VLAN 4002

Somit können wir dann in unserem internen Netzwerk über eine dedizierte inhouse LWL das VLAN 4001 und 4002 an beide Firewall geben, sodass diese sich mit dem zuständigen "Modem / Router" verbinden können.



Ich wüsste jetzt, wen ich wen nennen könnte, weiß aber nicht, ob die vom Ruhrgebiet bis nach Hannover aktiv sind.
Gerne kann ich dir per PN mal einen Firmennamen und Kontakt nennen, falls du Interesse hast.

Ruhrgebiet ist in der Tat sehr weit entfernt, bis jetzt werden wir aus Berlin betreut.
Das ganze ist halt in sofern ärgerlich, dass die Anfahrt höher ist und der DL bei einem Ausfall Remote nicht drauf schauen kann....da kein Internet face-sad
ukulele-7
ukulele-7 21.10.2021 um 12:49:37 Uhr
Goto Top
Active Active können die glaube ich schon, kostet aber deutlich mehr. Wir haben eine zweite Box auch nur kalt im Rack hängen und die selbe Config drauf. Alle WAN Ports (DSL Moden oder auch richtiger Router) haben jeweils dedizierte VLANs über die der selbe Port auf beiden Routern mit dem jeweiligen WAN Gatway sprechen kann.

Wir haben einen WAN Router zur DATEV, der hängt tatsächlich im Produktiv Netz und kann direkt angesprochen werden. Die Sophos SG reicht Verbindungen policy based dahin weiter, also alles nach Ziel IP-Netz.

Dienste die eine feste externe IP brauchen haben wir auch, sind als static routing hinterlegt. Der Rest läuft über uplink balancing und macht eigentlich keine Probleme.

Wann haben denn eure Probleme überhaupt angefangen? Oder lief das nie richtig?
ITAllrounder
ITAllrounder 21.10.2021 um 13:09:07 Uhr
Goto Top
Zitat von @ukulele-7:

Active Active können die glaube ich schon, kostet aber deutlich mehr. Wir haben eine zweite Box auch nur kalt im Rack hängen und die selbe Config drauf. Alle WAN Ports (DSL Moden oder auch richtiger Router) haben jeweils dedizierte VLANs über die der selbe Port auf beiden Routern mit dem jeweiligen WAN Gatway sprechen kann.

Wir haben einen WAN Router zur DATEV, der hängt tatsächlich im Produktiv Netz und kann direkt angesprochen werden. Die Sophos SG reicht Verbindungen policy based dahin weiter, also alles nach Ziel IP-Netz.

Dienste die eine feste externe IP brauchen haben wir auch, sind als static routing hinterlegt. Der Rest läuft über uplink balancing und macht eigentlich keine Probleme.

Wann haben denn eure Probleme überhaupt angefangen? Oder lief das nie richtig?

Ich denke mal, dass es bei uns hier ein Zusammenspiel aus vielem ist.
Anleitungen gibt es zu genüge im Netz aber meist für die v17 der XG Serie.

Static Routing, Policy Based Routing, SD WAN, Uplink Loadbalancing sind alles begriffe die hier mit hinein Spielen. HairPIN NAT kommt bei uns auch noch zu Tragen, genauso wie Source Natting.

Aktuell haben wir alleine 21 DNAT Regeln (Destionation NAT), 6 SNAT Regeln (Soruce NAT), Diverse VPN Regeln, ACL's und WAN Traffic Rules.

Dazu kommen derzeit ca. 42 Regeln und "NAT Rules"

Hier verliert man also schnell den Überblick.

Ich nehme mich als menschliche Fehlerquelle da auch nicht raus, da ich kein reiner Netzwerker bin und nur an der Oberfläche vom Netzwerk Know How kratze.
Privat mache ich eigentlich alles mit PFSense / Mikrotik und komme da super zu recht.
Habe daheim auch 2 WAN Anbindungen (TCOM LWL und VF Gigabit über Coax) dazu noch einen LTE Fallback, das läuft alles eins an. Aber da muss ich mich auch nicht drum kümmern dass zu 100% alles läuft. Wenn da mal was mit der Telekom statt Vodafone raus geht ist das halt so. Nur im Betrieb stört es dann die Produktivität.

Mit der FIrmware v.17 lief wie gesagt alles reibungslos.
Nach dem Upgrade auf die V18 ist unsere zweite Leitung mit ausgestiegen, mit oben genannten Symptomen.
Das ist nun gut 1 Jahr her, wir zahlen jeden Monat fleißig für eine Leitung die wir nicht verwenden können und sind an sich mit der v18 total unzufrieden.

Auch bei der Einführung des Cisco UCC gab es diverse Themen die mit dem Sophos Support angegangen werden mussten, wo Phänomen aufgetreten sind, wo ich nur die Hände über dem Kopf zusammen schlage und mich Frage: Wie kann sich Sophos erlauben derartigen Mist mit Ihrer Firmware zu veranstalten?

Ging von DNAT auf die Cisco UCC funktioniert nicht, weil die Sophos mitten im Betrieb sagt: No Route to Host, über verworfenen Pakete die laut Regelwerk durchgelassen werden sollen.

Bis hin zu einem weiteren Problem was wir mit Sophos haben:

Thema Standortvernetzung...
Alle Außenstellen (5 Stück) haben eine XG115W stehen mit einem 250 MBIT SVDSL Anschluss.
Die sind alle via SSL VPN an die XG310 angebunden, das Routing läuft und zack ohne zutun hören wir vom Außenstandort: Wir können uns am WLAN nicht anmelden. Der Radius für die Authentifizierung läuft am Hauptstandort....das VPN steht die IGELs sind alle verbunden nur der Radius reagiert nicht.

PING von der Firewall am Außenstandort auf den RADIUS am Hauptstandort: NO RESPONSE. Von einem L3 Switch hinter der Firewall am Außenstandort: PING geht durch.

Starte ich nun einfach den VPN Tunnel einmal neu, geht die Radius Auth wieder....bis (gute Frage, was da passiert) die Sophos wieder den Radius nicht mehr erreichen kann.

Der Sophos Support kann es sich nicht erklären und verweist auf einen ARP Cache der gelöscht werden soll?!
Oder ob wir es mal mit einem Neustart der Firewall versucht hätten....

Alle diese Fehler wie gesagt erst seit dem die Firmware auf v18 drauf gebügelt wurde.

Ich sehne mich auch bereits nach der Palo Alto und dem Dienstleister (4km entfernt) nur leider war das Projekt dieses Jahr nicht mehr drinne, zumal unsere Lizenz ja noch läuft für die XG.

Die Palo Alto soll am Hauptstandort hin als auch an den Außenstandorten und es soll auf IPSec statt SSL VPN gesetzt werden. Nur für das Projekt müssen wir ca. 90k€ netto einplanen inkl. Lizenz und Support für 3 Jahre
em-pie
em-pie 21.10.2021 aktualisiert um 13:13:11 Uhr
Goto Top
Zitat von @aqui:

hat alle Interfaces (bis auf das HA-Interface) im Status "down".
Ooops...ein Active-Active Design kann die nicht ?!
Doch, doch, aber wie @ukulele-7 schon schrieb: "Kostet".
Bei uns aber völlig OK. Der schwenk dauert keine 2 Sekunden und die WAN-Verbindung bleibt auch erhalten. "Nach außen" ist das für alle Komponenten nur ein Device, da auch die MAC nur virtuell ist.
Hier mal ein grober Umriss, wie das "HotStandby" auf der SG definiert wird: https://support.sophos.com/support/s/article/KB-000038677?language=en_US
https://www.sophos.com/en-us/medialibrary/PDFs/documentation/SophosFirew ...


haben ja zwei LAN-Ports.
Ja, ist richtig aber eins ist dediziert nur fürs Management. Aber auch wenn, würde es nichts bringen weil das PPPoE (oder was auch immer) Interface ja physisch auf dem dahinter liegenden Gerät liegt und Provider selten mehr als eine PPP Session mit gleichen Credentials pro Endgerät zulassen. Meist geht das nicht.
Mit dem VLAN Ansatz ist das dann pfiffiger... face-wink
und man kann räumliche Grenzen "überwinden" face-smile


Edit:
wenn ihr, @to mit der v18 unglücklich seid, warum nehmt ihr nicht wieder die v17?
die zweite Kiste liegt bei euch ja brach, bespielt die mit der v17, konfiguriert alles und steckt "hinterher" nur um.
ITAllrounder
ITAllrounder 21.10.2021 aktualisiert um 13:24:09 Uhr
Goto Top

Edit:
wenn ihr, @to mit der v18 unglücklich seid, warum nehmt ihr nicht wieder die v17?
die zweite Kiste liegt bei euch ja brach, bespielt die mit der v17, konfiguriert alles und steckt "hinterher" nur um.

Das war auch schon mein Vorschlag...
Kam aber nirgends gut an. Weder intern (Sicherheitsbedanken, weil man ggf. keine Updates erhält), Dienstleister das v17 EOL ist und Sophos ist überzeugt davon dass die v18 rund läuft und wir mit der v17 keinen Hersteller Support bekommen.
em-pie
em-pie 21.10.2021 um 15:09:00 Uhr
Goto Top
OK. die V17.5 hat zum 30.11. ihr EOL

Immer noch vor dem Hintergrund, dass ich keine XG in den Fingern habe/ hatte:
Welche V18 setzt ihr ein?
Die 18.5 M1?
Setzt ihr die ein?

Habt ihr mal versucht, bei 0 anzufangen (ihr habt ja eine Kiste brach liegen).
Fangt dort mal mit der Urkonfig an und kümmert euch NUR ums Multi-WAN. Keinen anderen Schnickschnak wie DNAT/ SNAT/ Firewall/ WebProxy
Dann, Zug um Zug mal eine Funktion nach der anderen implementieren. Nur so bekommt ihr ja die Ursache heraus.
Vielleicht das ganze durch SOPHOS begleiten lassen. Die sollen euch am Ende "irgendwie" entgegen kommen, weil die mit euch ja quasi nach 'nem scheinbaren Bug suchen müssen. Hier aber k.A. ob die da mitmachen.
ukulele-7
ukulele-7 21.10.2021 um 15:23:55 Uhr
Goto Top
Ich habe auch keine XG bisher und kann nichts zu RADIUS sagen aber eine Sache zu Standorten die bei mir für Probleme gesorgt hat:
Ich hatte eine RED und mehrere SoftVPN-Clients gleichzeitig online. Es gab ein Objekt "VPN User Gruppe" oder so das wurde in einer Firewall Regel verwendet (VoIP). Problem: Jedes mal wenn sich ein neuer SoftVPN Client eingewählt hat wurde die VPN User Gruppe um eine IP ergänzt. Das wurde per push config auf die RED Box geschrieben und die hat mal kurz die Verbindung neu aufgebaut. Lösung war dann den VPN Pool, also IP Range zu nehmen. Vielleicht gibt es etwas ähnliches bei euch mit Firewall Regeln die den RADIUS, der dadurch eine Verbindung verliert - Spekulation.
MysticFoxDE
MysticFoxDE 21.10.2021 aktualisiert um 20:23:46 Uhr
Goto Top
Moin ITAllrounder,

Wir haben theoretisch 2x Sophos XG310 (nur 1x Lizenzsiert, die andere soll als Passiv HA greifen)

auch praktisch bleiben es zwei, die laufen halt in einem active-passive Verbund und nicht active-active,
aber das ist bei deinem Problem vollkommen irrelevant.

Aktuell laufen unsere WAN Anschlüsse über die XG direkt nur seit dem Firmware Update auf die v.18 ist unser Komplettes Regelwerk im Eimer ...

Willkommen im Club, das ist bei einem automatischen Upgrade von V17 auf V18 fast normal.

Also Sohpos Support hinzuigezogen mit dem Ergebnis: Sophos meinte Komplette Konfig resetten und alles neu einrichten. Gesagt getan...sobald wir die zweite Leitung aktiv schalten haben wir massiv Probleme mit dem Routing...wir haben Dienste die müssen zwingend mit einer gewissen IP aus unserem /27 Netz rausfunken...funktioniert dann aber auf einmal nicht mehr.

Das hört sich 1A danach an als ob du entweder das SD-WAN-Richtlinienrouting gar nicht, oder falsch eingerichtet hast. 😉

Ebenfalls haben wir bei aktivtivierter weiter Leitung Paketloss in unserem Management VLAN, welches die XG Firewall routet...

Das verstehe ich jetzt noch nicht, lässt sich aber bestimmt auch beheben. 🙃

Um das ganze etwas zu entzerren schwebt mir vor, einen / zwei Mikrotik Router vor die Firewall zu hängen.

Nein bitte nicht, du musst einfach das "SD-WAN-Richtlinienrouting" sauber konfigurieren.

Kommt hier eventuell jemand aus der Region Hannover und ist Sophos Partner mit entsprechenden KnowHow?

Ja, aber ich sitze bei Stuttgart und nicht in Hannover, dank TeamViewer, Teams & Co spielt die Entfernung aber meistens keine Rolle mehr. 😉

Unsere derzeitigen Dienstleister kennen sich mit Sophos nicht aus und wollen ne Palo Alto verkaufen....die Lizenz der Sophos läuft aber noch mind. bis 10/2022.

Ich kenne beide Systeme und würde bei dem was ich bisher schon über deine Umgebung gelesen habe, dir niemals eine PaloAlto empfehlen. Diese ist in vielen Bereichen noch komplexer zu beherrschen als eine Sophos.

Folgendes soll erreicht werden:
Wir haben derzeit folgende WAN Anbindungen:
- Glasfaser Direkt Verbindung mit Nokia Übergabepunkt vom Anbieter und /27 IPv4 Subnetz 500/500 MBIt/s
- Glasfaser FLEX mit FritzBox 7590 und Glasfaser Modem vom Anbieter 250/250 Mbit/s 1x static IPv4
Neu hinzukommen, soll noch eine weitere Glasfaser Verbindung mit 1000 / 1000 MBIt/s, diese soll primär genutzt werden, um Backsups nach außen zu schieben.
Die WAN Leitungen sollen gelaodbalanced werden und im Falle des Ausfalls einer Leitung soll die zweite aktiv / dritte aktiv werden.

Grundsätzlich:
Leitung 1= /27 Subnetz mit sämtlichen Public Share für Exchange, SMTP, Citrix, Web Portale, Standortvernetzung
Leitung 2= 1x IPv4 static für Internetzugriff aller Clients auch Gäste Netz
Leitung 3 = Glasfaser von Vodafone für Upload von Backups (ca. 20TB initial und täglich ~2,5 TB Differenz

Wie schon gesagt, alles mit der SophosXG und ohne Zwischenmurks oder PaloAlto machbar. 😉

Beste Grüsse aus BaWü

Alex
MysticFoxDE
MysticFoxDE 21.10.2021 um 20:21:10 Uhr
Goto Top
Zitat von @ITAllrounder:


Edit:
wenn ihr, @to mit der v18 unglücklich seid, warum nehmt ihr nicht wieder die v17?
die zweite Kiste liegt bei euch ja brach, bespielt die mit der v17, konfiguriert alles und steckt "hinterher" nur um.

Das war auch schon mein Vorschlag...
Kam aber nirgends gut an. Weder intern (Sicherheitsbedanken, weil man ggf. keine Updates erhält), Dienstleister das v17 EOL ist und Sophos ist überzeugt davon dass die v18 rund läuft und wir mit der v17 keinen Hersteller Support bekommen.

😨😱, bitte ja nicht, das SF-OS 17 wird aller Voraussicht nach nicht mehr sehr lange supportet.
Ich schätze bis höchstens Mitte nächsten Jahres.
MysticFoxDE
MysticFoxDE 21.10.2021 aktualisiert um 20:30:12 Uhr
Goto Top
Dazu kommen derzeit ca. 42 Regeln und "NAT Rules"

nur 42 Regeln, putzig, ich hätte aus dem Bauch heraus mindestens eine null dahinter mehr erwartet.
aqui
aqui 17.11.2021 um 10:33:56 Uhr
Goto Top
Wenn's das denn nun war bitte den Thread hier dann auch als erledigt schliessen !!
Wie kann ich einen Beitrag als gelöst markieren?