IPSec Probleme seit Umstellung auf Sophos XGS
Hallo zusammen,
uns plagen etwaige Probleme seit wir von unserer guten alten Sophos ASG auf Sophos XGS umgeschwenkt sind.
wir haben IP-Sec VPN Tunnel kreuz und quer durch ganz Deutschland, IKEv2, Verbindung ist da und es läuft Datentraffic darüber.
Probleme und Kopfzerbrechen bereitet mir nun meine Citrix Farm, die unter bestimmten Konstellationen einfach nicht laufen will. gewisse Igel ThinClients und meine Citrix Workspace App aus der Niederlassung können meine Citrix Farm in Hauptniederlassung nicht erreichen. Ich habe nun die halbe Welt in Bewegung gebracht, Sophos direkt, meine ISP Provider, meinen Sophos Partner. Irgendwie kommen wir nicht weiter.
Was mir aufgefallen ist: Sobald in der Niederlassung eine AVM Fritzbox steht habe ich die Probleme bzw. sobald ich eine PPPoE Einwahl mit einem MTU von 1492 habe.
bei einer Niederlassung mit einer "richtige" Glasleitung ohne Fritzbox und einem MTU von 1500 scheinen die Probleme nicht zu bestehen.
mit Sophos habe ich nun dutzende tcpdumps erstellt, die Rede ist von falschen MSS Werten, daraufhin haben wir in der Shell direkt angefangen diese händisch anzupassen mit Hilfe des "iptables" Befehls, hat auch keine Besserung gebracht.
Hat irgendwer hier vielleicht die gleiche Konstellation oder ähnliche Erfahrungen gemacht? mit der alten Sophos ASG hatte ich über 10 Jahre nie ein Problem. an den Providern hat sich nichts geändert, nur die Firewall in der Hauptniederlassung wurde auf XGS migriert. Seitdem spielen wir am IPSec-Accelerator, MTU Werten, MSS Werte usw usw usw... Bisher ohne Erfolg...
Ich suche hier nach neuem Imput, da mir langsam echt die Ideen ausgehen.
Vielen Dank an alle...
uns plagen etwaige Probleme seit wir von unserer guten alten Sophos ASG auf Sophos XGS umgeschwenkt sind.
wir haben IP-Sec VPN Tunnel kreuz und quer durch ganz Deutschland, IKEv2, Verbindung ist da und es läuft Datentraffic darüber.
Probleme und Kopfzerbrechen bereitet mir nun meine Citrix Farm, die unter bestimmten Konstellationen einfach nicht laufen will. gewisse Igel ThinClients und meine Citrix Workspace App aus der Niederlassung können meine Citrix Farm in Hauptniederlassung nicht erreichen. Ich habe nun die halbe Welt in Bewegung gebracht, Sophos direkt, meine ISP Provider, meinen Sophos Partner. Irgendwie kommen wir nicht weiter.
Was mir aufgefallen ist: Sobald in der Niederlassung eine AVM Fritzbox steht habe ich die Probleme bzw. sobald ich eine PPPoE Einwahl mit einem MTU von 1492 habe.
bei einer Niederlassung mit einer "richtige" Glasleitung ohne Fritzbox und einem MTU von 1500 scheinen die Probleme nicht zu bestehen.
mit Sophos habe ich nun dutzende tcpdumps erstellt, die Rede ist von falschen MSS Werten, daraufhin haben wir in der Shell direkt angefangen diese händisch anzupassen mit Hilfe des "iptables" Befehls, hat auch keine Besserung gebracht.
Hat irgendwer hier vielleicht die gleiche Konstellation oder ähnliche Erfahrungen gemacht? mit der alten Sophos ASG hatte ich über 10 Jahre nie ein Problem. an den Providern hat sich nichts geändert, nur die Firewall in der Hauptniederlassung wurde auf XGS migriert. Seitdem spielen wir am IPSec-Accelerator, MTU Werten, MSS Werte usw usw usw... Bisher ohne Erfolg...
Ich suche hier nach neuem Imput, da mir langsam echt die Ideen ausgehen.
Vielen Dank an alle...
Please also mark the comments that contributed to the solution of the article
Content-ID: 669090
Url: https://administrator.de/contentid/669090
Printed on: November 13, 2024 at 11:11 o'clock
7 Comments
Latest comment
Moin.
PMTU beachtet? Also ICMP Firewall technisch vollständig vom Client zu den Servern durchgängig freigeschaltet?
Die Infos mit harten Fakten zur Konfiguration der XGS und den IPSec Settings sind leider etwas dürftig ausgefallen um eine konkrete Aussage zu tätigen 🤔.
Btw. Fritzbox und IKEv2? Das kannste eh vergessen.
Gruß catrell
PMTU beachtet? Also ICMP Firewall technisch vollständig vom Client zu den Servern durchgängig freigeschaltet?
Die Infos mit harten Fakten zur Konfiguration der XGS und den IPSec Settings sind leider etwas dürftig ausgefallen um eine konkrete Aussage zu tätigen 🤔.
die Rede ist von falschen MSS Werten
Wer redet davon? Am Trace sieht man doch Schwarz auf Weiß was Sache ist, entweder ist da Fragmentierung oder nicht.Btw. Fritzbox und IKEv2? Das kannste eh vergessen.
Gruß catrell
Moin,
Kannst du das nochmal checken?
Ansonsten bitte etwas mehr zum Aufbau berichten:
Hängt vor der XGS ein VDSL-Modem oder ein (vollwertiger) Router alá Fritzbox/ Lancom/ ...
Kommt DoppelNAT zum Tragen?
Bei VPN würde ich die MTU immer mit als erstes prüfen. und 1492 ist da auch nicht selten zu hoch.
OT:
Warum setzt ihr eigentlich keine REDs ein?
Sophos ASG hatte ich über 10 Jahre nie ein Problem
Vermutlich hat man dort die MTU-Werte korrekt eingestellt?Kannst du das nochmal checken?
Ansonsten bitte etwas mehr zum Aufbau berichten:
Hängt vor der XGS ein VDSL-Modem oder ein (vollwertiger) Router alá Fritzbox/ Lancom/ ...
Kommt DoppelNAT zum Tragen?
Bei VPN würde ich die MTU immer mit als erstes prüfen. und 1492 ist da auch nicht selten zu hoch.
OT:
Warum setzt ihr eigentlich keine REDs ein?
Moin @a.esposito,
ich tippe, wie auch @em-pie darauf, dass deine MTU Konfiguration nicht ganz korrekt ist.
Kann es zudem sein, dass bei den WAN IP's, gegen die die IP-SEC Tunnel laufen, ICPM deaktiviert ist?
Wenn ja, dann aktivieren mal bitte ICMP auf diesen IP's und auch bitte ICMP durch den Tunnel in beide Richtungen auch zulassen.
Gruss Alex
ich tippe, wie auch @em-pie darauf, dass deine MTU Konfiguration nicht ganz korrekt ist.
Kann es zudem sein, dass bei den WAN IP's, gegen die die IP-SEC Tunnel laufen, ICPM deaktiviert ist?
Wenn ja, dann aktivieren mal bitte ICMP auf diesen IP's und auch bitte ICMP durch den Tunnel in beide Richtungen auch zulassen.
Gruss Alex
Wie hier angesprochen: https://community.sophos.com/sophos-xg-firewall/f/german-forum/147863/ip ...
Am besten direkt eine Migration zu IPsec Route Based VPN und weg von Policy Based VPN.
Wenn die Gegenstelle noch eine UTM ist, kann man auch übergangsweise einen RED Site to Site Tunnel nutzen (mit RED Interface).
Am besten direkt eine Migration zu IPsec Route Based VPN und weg von Policy Based VPN.
Wenn die Gegenstelle noch eine UTM ist, kann man auch übergangsweise einen RED Site to Site Tunnel nutzen (mit RED Interface).
Zitat von @LucarToni:
Am besten direkt eine Migration zu IPsec Route Based VPN und weg von Policy Based VPN.
Na dann viel Spaß bei einer Fritzbox als Initiator .Am besten direkt eine Migration zu IPsec Route Based VPN und weg von Policy Based VPN.
Hallo,
der erste Schritt ist die Entscheidung, ob PMTU-Discovery oder MSS-Clamping genutzt werden soll.
Für PMTUD muss ICMP (dauerhaft) freigeschaltet sein, wie schon geschrieben, für MSS-Clamping aber nicht.
Für MSS-Clamping muss natürlich die physische MTU des VPN-Links ermittelt werden, um dann diesen Wert und die MSS zu konfigurieren. So weit wart ihr wahrscheinlich schon. Jedenfalls muss die MSS im Paketmitschnitt verifiziert werden, an der Einstellung drehen reicht nicht.
Wenn die konfigurierte MSS sich nicht im Paketmitschnitt findet, sondern z.B. bei 1460 "festhängt", kann das an einer unpassenden Offloading-Konfiguration (GRO/GSO/TSO) auf dem Interface liegen, auf dem die MSS erwartet wird. Ich weiß nicht, was Sophos da für Optionen bietet. Das aktive Offloading muss über den Kernel diagnostiziert werden, da in der Konfiguration gesetzte Werte nicht anwendbar sein können.
Grüße
Richard
der erste Schritt ist die Entscheidung, ob PMTU-Discovery oder MSS-Clamping genutzt werden soll.
Für PMTUD muss ICMP (dauerhaft) freigeschaltet sein, wie schon geschrieben, für MSS-Clamping aber nicht.
Für MSS-Clamping muss natürlich die physische MTU des VPN-Links ermittelt werden, um dann diesen Wert und die MSS zu konfigurieren. So weit wart ihr wahrscheinlich schon. Jedenfalls muss die MSS im Paketmitschnitt verifiziert werden, an der Einstellung drehen reicht nicht.
Wenn die konfigurierte MSS sich nicht im Paketmitschnitt findet, sondern z.B. bei 1460 "festhängt", kann das an einer unpassenden Offloading-Konfiguration (GRO/GSO/TSO) auf dem Interface liegen, auf dem die MSS erwartet wird. Ich weiß nicht, was Sophos da für Optionen bietet. Das aktive Offloading muss über den Kernel diagnostiziert werden, da in der Konfiguration gesetzte Werte nicht anwendbar sein können.
Grüße
Richard
By the way: In der Community wurde auf Route Based umgestellt, und es scheint besser zu sein: https://community.sophos.com/sophos-xg-firewall/f/german-forum/147863/ip ...