tacobell03
Goto Top

Netzwerkprobleme nach Sophos XGS-Umstellung

Hallo zusammen,
wir haben seit geraumer Zeit ein Problem mit unserem Netzwerk. Und zwar haben wir vor ca. 6 Monaten unsere Sophos UTM gegen eine Sophos XGS ausgetauscht. Seit dieser Umstellung haben wir das Problem, dass die Anmeldung an die Domäne teilweise bis zu 5 Minuten dauert. Und nach der Anmeldung kann es sein, dass man nochmal bis zu 10 Minuten im Netzwerk nichts erreichen kann außer die Firewall. Wir sind mit unserem Ansprechpartner für die Firewall im Kontakt, aber vielleicht hat jemand von euch schon einmal ähnliche Erfahrungen gemacht und kann uns bei der Lösung des Problems helfen.

Ich weiß das jegliche Infos fehlen um das Problem zu lösen. Ging mir in erster Linie darum, ob jemand ähnliche Probleme hatte und evtl. seine Erfahrungen teilen könnte.

Aber falls jemand genauere Infos bzgl. Firewall o. Ä. haben möchte dann kann ich diese gerne teilen.

LG
tacobell03

Content-ID: 7249286436

Url: https://administrator.de/contentid/7249286436

Ausgedruckt am: 16.12.2024 um 08:12 Uhr

DerMaddin
DerMaddin 23.04.2024 um 09:00:19 Uhr
Goto Top
Moin,

mir ist nicht klar wie die XGS hier in der Anmeldekette integriert ist. Was für eine Rolle hat die XGS bei euch im Netzwerk? Default GW, Router, Firewall intern und extern, User-Authentifizierung...?
chiefteddy
chiefteddy 23.04.2024 um 09:16:57 Uhr
Goto Top
Hallo,
wie wäre es denn mal mit 'ner Zeichnungen der Netzwerkstruktur?

Normalerweise ist die XGS die Firewall/Internet-Router. Das LAN-interne Routing geht über einen L3-Core-Switch. Dann hat die XGS nichts mit dem Datenverkehr zw. Client und DC zu tun.

Jürgen
em-pie
em-pie 23.04.2024 um 09:25:41 Uhr
Goto Top
Moin,
dass die Anmeldung an die Domäne teilweise bis zu 5 Minuten dauert.
Wie ist die XGs angebunden, mit nur einer 1GB-NIC?

Ich habe nämlcih folgende These:
eurer Benutzerprofile sind immens gewachsen - nicht, was die Größe in MB/ GB angeht, aber was die Anzahl der /temporären) Dateien angeht.
Wenn ihr nun mit servergespeicherten Profilen arbeitet, werden die ganzen tausenden kleinen Files (1,5kByte) brav übers Netzwerk kopiert. Das dauert. Wenn die XGS nun obendrein schwach dimensioniert ist, frisst das auch noch einmal Kapazität. Das Problem wäre aber auch bei dem von @chiefteddy angesprochenen Aufbau vorhanden/ spürbar.

@chiefteddy
Normalerweise ist die XGS die Firewall/Internet-Router. Das LAN-interne Routing geht über einen L3-Core-Switch.
damit wäre ich "vorsichtig". Wer die XGS und Sophos Endpoint-Protection nutzt, tut sich gut daran, das (interne) Routing ebenfalls über die XGS laufen zu lassen. durch das Heartbeat kann neben der Endpoint-Protection dann nämlich auch die XGS in den Traffic dahingehend eingreifen, dass der betroffene Client im Falle eines Befalls keine Kommunikation mehr außerhalb des VLANs/ des eigenen Gerätes zulässt....
DerMaddin
DerMaddin 23.04.2024 um 09:35:38 Uhr
Goto Top
@em-pie wir haben XGS und Endpoint-Protection aber Routing via L3-Core und das klappt wunderbar. Client-Isolation erfolgt durch den Enpoint-Agent, da ist der Default GW egal. Dies kann auch außerhalb des Firmennetzwerkes geschehen, da die Kommunikation via Sophos Central erfolgt.
ukulele-7
ukulele-7 23.04.2024 um 09:44:06 Uhr
Goto Top
Wir haben noch eine SG, uns steht also der XGS Gang auch noch bevor, irgendwann. Wir haben auch Router-on-a-Stick, insofern interessiert mich schon die Ursache. Welche Modelle kommen denn zum Einsatz, alt und neu?
em-pie
em-pie 23.04.2024 um 09:54:11 Uhr
Goto Top
@DerMaddin
setzt aber voraus, dass der Endpoint Agent intakt ist, oder?
Wenn der ein Problem hat oder die Schadsoftware es irgendwie geschafft hat, den zu deaktivieren, läuft der Traffic über den L3 weiter, richtig?
DerMaddin
DerMaddin 23.04.2024 um 10:16:41 Uhr
Goto Top
@em-pie: vielleicht hilft dir der Support-Artikel bei deiner Frage: https://docs.sophos.com/nsg/sophos-firewall/19.5/Help/en-us/webhelp/onli ...
tacobell03
tacobell03 23.04.2024 aktualisiert um 11:08:29 Uhr
Goto Top
@chiefteddy
Wir haben keinen L3-Core Switch. Auch der interne Datenverkehr geht über die XGS.
DerMaddin
DerMaddin 23.04.2024 um 11:14:25 Uhr
Goto Top
@tacobell03 wenn eure XGS eher ein Desktop-Modell ist, dann solltet ihr das vielleicht ändern, damit der Flaschenhals nicht die Firewall ist. Wenn es keinen zwingenden Grund gibt, z.B. VLAN-Zugriff via FW-Regeln, dann macht ein L3-Routing-Switch mit 10Gb oder mehr deutlich mehr Sinn. Vor allem wenn das interne Netzwerk viele Server und Clients beherbergt, die viele Daten beinhalten und Traffic erzeugen.
tacobell03
tacobell03 23.04.2024 um 11:18:53 Uhr
Goto Top
@DerMaddin
Wir haben eine XGS3100 im Einsatz, über die auch VLAN-Zugriff via FW-Regeln geregelt werden.
DerMaddin
DerMaddin 23.04.2024 um 11:26:54 Uhr
Goto Top
Na dann hoffentlich auch mit 2x im LACP SFP+ 10G angebunden? Auf die anderen Fragen darfst du auch gern eingehen, ist die Firewall etwa auch gleichzeitig DNS und DHCP? Wie erfolgt die Authentifizierung?
tacobell03
tacobell03 23.04.2024 um 11:57:01 Uhr
Goto Top
@DerMaddin
Die Firewall macht DHCP. DNS übernimmt der DC. Die Firewall ist mit 1GBit angeschlossen.
DerMaddin
DerMaddin 23.04.2024 um 12:47:51 Uhr
Goto Top
DHCP ist kein Drama aber ich würde das trotzdem auf einen Server/VM verlagern. 1Gb ist für beide internes/externes Routing schon sehr eng bemessen. Für zwei Handvoll Clients und paar Server reicht das wohl aus aber mehr würde ich nicht machen.
MysticFoxDE
MysticFoxDE 23.04.2024 um 13:08:45 Uhr
Goto Top
Moin @tacobell03,

wir haben seit geraumer Zeit ein Problem mit unserem Netzwerk. Und zwar haben wir vor ca. 6 Monaten unsere Sophos UTM gegen eine Sophos XGS ausgetauscht. Seit dieser Umstellung haben wir das Problem, dass die Anmeldung an die Domäne teilweise bis zu 5 Minuten dauert.

ich fürchte, euer bisheriger Dienstleister hat lediglich versucht die UTM Konfiguration 1:1 auf die XGS zu übertragen und das ist in den meisten Fällen, alles andere als eine gute Idee.

Und ohne dein Regelwerk genauer zu kennen und auch die Konfiguration der Authentifizierung und auch diverse Logs einzusehen, wird dir hier fürchte ich eher nur ein Zufall helfen.

By the Way, sag mir bitte nicht, dass ihr bei euch für die Authentifizierung noch STAS benutzt.
Wenn ja ... 😬 ... 😭

Gruss Alex
DerMaddin
DerMaddin 23.04.2024 um 13:18:02 Uhr
Goto Top
Das was @MysticFoxDE schreibt, ist korrekt. Wir hatten Januar 2022 von einer SG115 auf eine XGS116 gewechselt. Beide sind vom OS und der Bedienung her komplett unterschiedlich. Wir mussten die Regeln einzeln nachbauen, testen, verändern, testen und irgendwann den Live-Cut durchgeführt.

Dabei war das Log der XGS sowie die Advanced Shell, insbesondere tcpdump, eine große Hilfe.
tacobell03
tacobell03 23.04.2024 um 13:30:54 Uhr
Goto Top
@DerMaddin
Wir haben ca. 200 Workstations, 3 ESXi's mit 7VM's pro Server und ca. 50 managebare HP Switches. Die großen 24- und 48-Port Switches sind fast alle über LWL miteinander verbunden. Nur die kleinen 8-Port Switche in den Büros nicht. Die ESXi's sind teilweise auch mit 10GBit verbunden.

Wir haben einige VLAN's, aber das große Netzwerk, in dem die Server, Workstations und Drucker sind, ist kein VLAN. Meine Überlegung war, da es sehr viel Aufwand wäre die Server, Drucker etc. alle manuell in VLAN's zu bringen und diese zu administrieren, die VLAN's dynamisch über z.B. PaketFence zu verteilen. Was ist deine Meinung dazu?
DerMaddin
DerMaddin 23.04.2024 um 13:50:27 Uhr
Goto Top
Wird bei euch jeder Zugriff auf jedes VLAN durch die Firewall geregelt oder nur für bestimmte Subnetze? Ist es nur für einige wenige, dann kann man das entweder über die FW laufen lassen, wenn der Traffic nicht zu hoch ist oder über ACLs auf den Switchen.

Bei der Anzahl der 24/48er Switche, die vermutlich als Distribution Switch dienen und die 8er als Access Switch (alle Endgeräte an den 8er?), wie habt ihr eure ESX Hosts angebunden? Sind diese an einen der HP Switche dran via SFP+ und von da aus an die anderen?

Ich würde hier einen L3-Core empfehlen, damit da nicht noch im Kern noch ein Flaschenhals entsteht. Im Idealfall gleich zwei Core-Switche als Stack zur Sicherheit und dann die HP-Switche via LWL an jeden Core-Switch mit LACP dran.

Die Firewall dann auch via LACP, wenn benötigt mit 10Gb/s, an den Core-Stack. So ähnlich habe ich unsere Netzwerklandschaft aufgebaut, wobei wir vier Core-Switche im Stack haben.
sk
sk 23.04.2024 um 18:36:36 Uhr
Goto Top
Zitat von @tacobell03:

@DerMaddin
Die Firewall macht DHCP. DNS übernimmt der DC. Die Firewall ist mit 1GBit angeschlossen.

kontrolliere mal, ob wirklich der DC als DNS-Server via DHCP übergeben wird

Gruß sk
beck2oldschool
beck2oldschool 26.04.2024 um 09:29:12 Uhr
Goto Top
@MysticFoxDE

By the Way, sag mir bitte nicht, dass ihr bei euch für die Authentifizierung noch STAS benutzt.
Wenn ja ... 😬 ... 😭

Was ist denn mit diesem STAS? Warum sollte man das nicht nutzen? Und wofür das denn gedacht?