Netzwerkprobleme nach Sophos XGS-Umstellung
Hallo zusammen,
wir haben seit geraumer Zeit ein Problem mit unserem Netzwerk. Und zwar haben wir vor ca. 6 Monaten unsere Sophos UTM gegen eine Sophos XGS ausgetauscht. Seit dieser Umstellung haben wir das Problem, dass die Anmeldung an die Domäne teilweise bis zu 5 Minuten dauert. Und nach der Anmeldung kann es sein, dass man nochmal bis zu 10 Minuten im Netzwerk nichts erreichen kann außer die Firewall. Wir sind mit unserem Ansprechpartner für die Firewall im Kontakt, aber vielleicht hat jemand von euch schon einmal ähnliche Erfahrungen gemacht und kann uns bei der Lösung des Problems helfen.
Ich weiß das jegliche Infos fehlen um das Problem zu lösen. Ging mir in erster Linie darum, ob jemand ähnliche Probleme hatte und evtl. seine Erfahrungen teilen könnte.
Aber falls jemand genauere Infos bzgl. Firewall o. Ä. haben möchte dann kann ich diese gerne teilen.
LG
tacobell03
wir haben seit geraumer Zeit ein Problem mit unserem Netzwerk. Und zwar haben wir vor ca. 6 Monaten unsere Sophos UTM gegen eine Sophos XGS ausgetauscht. Seit dieser Umstellung haben wir das Problem, dass die Anmeldung an die Domäne teilweise bis zu 5 Minuten dauert. Und nach der Anmeldung kann es sein, dass man nochmal bis zu 10 Minuten im Netzwerk nichts erreichen kann außer die Firewall. Wir sind mit unserem Ansprechpartner für die Firewall im Kontakt, aber vielleicht hat jemand von euch schon einmal ähnliche Erfahrungen gemacht und kann uns bei der Lösung des Problems helfen.
Ich weiß das jegliche Infos fehlen um das Problem zu lösen. Ging mir in erster Linie darum, ob jemand ähnliche Probleme hatte und evtl. seine Erfahrungen teilen könnte.
Aber falls jemand genauere Infos bzgl. Firewall o. Ä. haben möchte dann kann ich diese gerne teilen.
LG
tacobell03
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7249286436
Url: https://administrator.de/contentid/7249286436
Ausgedruckt am: 16.12.2024 um 08:12 Uhr
19 Kommentare
Neuester Kommentar
Moin,
Ich habe nämlcih folgende These:
eurer Benutzerprofile sind immens gewachsen - nicht, was die Größe in MB/ GB angeht, aber was die Anzahl der /temporären) Dateien angeht.
Wenn ihr nun mit servergespeicherten Profilen arbeitet, werden die ganzen tausenden kleinen Files (1,5kByte) brav übers Netzwerk kopiert. Das dauert. Wenn die XGS nun obendrein schwach dimensioniert ist, frisst das auch noch einmal Kapazität. Das Problem wäre aber auch bei dem von @chiefteddy angesprochenen Aufbau vorhanden/ spürbar.
@chiefteddy
dass die Anmeldung an die Domäne teilweise bis zu 5 Minuten dauert.
Wie ist die XGs angebunden, mit nur einer 1GB-NIC?Ich habe nämlcih folgende These:
eurer Benutzerprofile sind immens gewachsen - nicht, was die Größe in MB/ GB angeht, aber was die Anzahl der /temporären) Dateien angeht.
Wenn ihr nun mit servergespeicherten Profilen arbeitet, werden die ganzen tausenden kleinen Files (1,5kByte) brav übers Netzwerk kopiert. Das dauert. Wenn die XGS nun obendrein schwach dimensioniert ist, frisst das auch noch einmal Kapazität. Das Problem wäre aber auch bei dem von @chiefteddy angesprochenen Aufbau vorhanden/ spürbar.
@chiefteddy
Normalerweise ist die XGS die Firewall/Internet-Router. Das LAN-interne Routing geht über einen L3-Core-Switch.
damit wäre ich "vorsichtig". Wer die XGS und Sophos Endpoint-Protection nutzt, tut sich gut daran, das (interne) Routing ebenfalls über die XGS laufen zu lassen. durch das Heartbeat kann neben der Endpoint-Protection dann nämlich auch die XGS in den Traffic dahingehend eingreifen, dass der betroffene Client im Falle eines Befalls keine Kommunikation mehr außerhalb des VLANs/ des eigenen Gerätes zulässt....
@em-pie wir haben XGS und Endpoint-Protection aber Routing via L3-Core und das klappt wunderbar. Client-Isolation erfolgt durch den Enpoint-Agent, da ist der Default GW egal. Dies kann auch außerhalb des Firmennetzwerkes geschehen, da die Kommunikation via Sophos Central erfolgt.
@DerMaddin
setzt aber voraus, dass der Endpoint Agent intakt ist, oder?
Wenn der ein Problem hat oder die Schadsoftware es irgendwie geschafft hat, den zu deaktivieren, läuft der Traffic über den L3 weiter, richtig?
setzt aber voraus, dass der Endpoint Agent intakt ist, oder?
Wenn der ein Problem hat oder die Schadsoftware es irgendwie geschafft hat, den zu deaktivieren, läuft der Traffic über den L3 weiter, richtig?
@em-pie: vielleicht hilft dir der Support-Artikel bei deiner Frage: https://docs.sophos.com/nsg/sophos-firewall/19.5/Help/en-us/webhelp/onli ...
@tacobell03 wenn eure XGS eher ein Desktop-Modell ist, dann solltet ihr das vielleicht ändern, damit der Flaschenhals nicht die Firewall ist. Wenn es keinen zwingenden Grund gibt, z.B. VLAN-Zugriff via FW-Regeln, dann macht ein L3-Routing-Switch mit 10Gb oder mehr deutlich mehr Sinn. Vor allem wenn das interne Netzwerk viele Server und Clients beherbergt, die viele Daten beinhalten und Traffic erzeugen.
Moin @tacobell03,
ich fürchte, euer bisheriger Dienstleister hat lediglich versucht die UTM Konfiguration 1:1 auf die XGS zu übertragen und das ist in den meisten Fällen, alles andere als eine gute Idee.
Und ohne dein Regelwerk genauer zu kennen und auch die Konfiguration der Authentifizierung und auch diverse Logs einzusehen, wird dir hier fürchte ich eher nur ein Zufall helfen.
By the Way, sag mir bitte nicht, dass ihr bei euch für die Authentifizierung noch STAS benutzt.
Wenn ja ... 😬 ... 😭
Gruss Alex
wir haben seit geraumer Zeit ein Problem mit unserem Netzwerk. Und zwar haben wir vor ca. 6 Monaten unsere Sophos UTM gegen eine Sophos XGS ausgetauscht. Seit dieser Umstellung haben wir das Problem, dass die Anmeldung an die Domäne teilweise bis zu 5 Minuten dauert.
ich fürchte, euer bisheriger Dienstleister hat lediglich versucht die UTM Konfiguration 1:1 auf die XGS zu übertragen und das ist in den meisten Fällen, alles andere als eine gute Idee.
Und ohne dein Regelwerk genauer zu kennen und auch die Konfiguration der Authentifizierung und auch diverse Logs einzusehen, wird dir hier fürchte ich eher nur ein Zufall helfen.
By the Way, sag mir bitte nicht, dass ihr bei euch für die Authentifizierung noch STAS benutzt.
Wenn ja ... 😬 ... 😭
Gruss Alex
Das was @MysticFoxDE schreibt, ist korrekt. Wir hatten Januar 2022 von einer SG115 auf eine XGS116 gewechselt. Beide sind vom OS und der Bedienung her komplett unterschiedlich. Wir mussten die Regeln einzeln nachbauen, testen, verändern, testen und irgendwann den Live-Cut durchgeführt.
Dabei war das Log der XGS sowie die Advanced Shell, insbesondere tcpdump, eine große Hilfe.
Dabei war das Log der XGS sowie die Advanced Shell, insbesondere tcpdump, eine große Hilfe.
Wird bei euch jeder Zugriff auf jedes VLAN durch die Firewall geregelt oder nur für bestimmte Subnetze? Ist es nur für einige wenige, dann kann man das entweder über die FW laufen lassen, wenn der Traffic nicht zu hoch ist oder über ACLs auf den Switchen.
Bei der Anzahl der 24/48er Switche, die vermutlich als Distribution Switch dienen und die 8er als Access Switch (alle Endgeräte an den 8er?), wie habt ihr eure ESX Hosts angebunden? Sind diese an einen der HP Switche dran via SFP+ und von da aus an die anderen?
Ich würde hier einen L3-Core empfehlen, damit da nicht noch im Kern noch ein Flaschenhals entsteht. Im Idealfall gleich zwei Core-Switche als Stack zur Sicherheit und dann die HP-Switche via LWL an jeden Core-Switch mit LACP dran.
Die Firewall dann auch via LACP, wenn benötigt mit 10Gb/s, an den Core-Stack. So ähnlich habe ich unsere Netzwerklandschaft aufgebaut, wobei wir vier Core-Switche im Stack haben.
Bei der Anzahl der 24/48er Switche, die vermutlich als Distribution Switch dienen und die 8er als Access Switch (alle Endgeräte an den 8er?), wie habt ihr eure ESX Hosts angebunden? Sind diese an einen der HP Switche dran via SFP+ und von da aus an die anderen?
Ich würde hier einen L3-Core empfehlen, damit da nicht noch im Kern noch ein Flaschenhals entsteht. Im Idealfall gleich zwei Core-Switche als Stack zur Sicherheit und dann die HP-Switche via LWL an jeden Core-Switch mit LACP dran.
Die Firewall dann auch via LACP, wenn benötigt mit 10Gb/s, an den Core-Stack. So ähnlich habe ich unsere Netzwerklandschaft aufgebaut, wobei wir vier Core-Switche im Stack haben.
Zitat von @tacobell03:
@DerMaddin
Die Firewall macht DHCP. DNS übernimmt der DC. Die Firewall ist mit 1GBit angeschlossen.
@DerMaddin
Die Firewall macht DHCP. DNS übernimmt der DC. Die Firewall ist mit 1GBit angeschlossen.
kontrolliere mal, ob wirklich der DC als DNS-Server via DHCP übergeben wird
Gruß sk
@MysticFoxDE
By the Way, sag mir bitte nicht, dass ihr bei euch für die Authentifizierung noch STAS benutzt.
Wenn ja ... 😬 ... 😭
Was ist denn mit diesem STAS? Warum sollte man das nicht nutzen? Und wofür das denn gedacht?
By the Way, sag mir bitte nicht, dass ihr bei euch für die Authentifizierung noch STAS benutzt.
Wenn ja ... 😬 ... 😭
Was ist denn mit diesem STAS? Warum sollte man das nicht nutzen? Und wofür das denn gedacht?