leo-le
Goto Top

S2S Tunnelproblem mit Sophos UTM 9.703

Hallo zusammen,

ich habe ein recht merkwürdiges Problem mit einem unserer Kunden VPNs.
Zum Vorgang:
Migration von ca. 20 S2S VPNs IPsec von CheckPoin auf die Sophos UTM. Die Migrations funktionierte Problemlos, das HA Cluster funktioniert.
Insgsamt funktionieren auch alle S2S Verbindungen, die Tunnel stehen und es gibt keinerlei Probleme, bis zum letzten eingerichteten Tunnel.

Letztendlich wird von uns auf SAP-Apllikation bei den Kunden zugegriffen und im SAP auf Kundenseite funktioniert ein Aufbau eines Formulares nicht.
Diese Formularsammlung gibt es auch bei allen anderen Kunden, wo problemlos darauf zugegriffen werden kann bei den restlichen 19 S2S Verbindungen.

Wir haben mit dem Kunden noch das Remotenetz unseres SSL VPNs testweise geschaltet und da funktioniert der Zugriff.
Auch funktioniert der Zugriff mit meinem Notebook, welches neben meinem Rechner am selben Tischswitch angeschlossen ist.

Das Firewalllog zeigt durchgängig beim Zugriff grün an, auch auf den SAP-Server kann zugegriffen werden. Aber leider nicht auf diese Formularanzeige in der SAP GUI.

Nach einem zurückschwenken der VPN-Verbindung zu CheckPoint funktionierte dieses Formular wieder.

Sehr sehr seltsames Problem, vielleicht ist dies eine Fehlfunktion der UTM?


Die Fehlermeldung im SAP, welche aus dem kundennetzwerk kommt lautet: EU_SCRP_WN32: connection to partner 192.168...:23324 broke

Starte ich auf diesen Rechner testweise meine VPN-Verbindung, so funktioniert der Zugriff. Alle anderen Transaktion und auch der Zugang zum System funktionieren.

Vielleicht hat jemand eine Idee, wie man an dieses Problem heran gehen kann.


Was ich bisher gemacht habe:

HA Node gewechsel
VPN-Verbindung erneut aufgebaut
FW Logging
Webfilter abgeschaltet
Kunden VPN-Gateway gewechselt


Eintrag habe ich auch auf der Sophos Community gepostet.

Content-Key: 595137

Url: https://administrator.de/contentid/595137

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 10.08.2020 um 13:37:28 Uhr
Goto Top
Hallo,

was sagt denn euer Sophos Partner zum Problem, wurde dieser bereits hinzugezogen?

Grüße
Mitglied: Leo-le
Leo-le 10.08.2020 um 13:41:06 Uhr
Goto Top
Zunächst erst einmal möchte ich herausfinden, ob dies überhaupt an der Sophos liegen kann. Wir haben leider keinen Supportvertrag bzw. nur den Standardsupportvertrag vobn Sophos. Ich glaube, da ist keinerlei Supportanspruch dabei.

Vielen Dank und Grüße
Mitglied: falscher-sperrstatus
falscher-sperrstatus 10.08.2020 um 14:11:41 Uhr
Goto Top
Grundsätzlich muss das nicht so sein, kann natürlich. Was sagt dann euer Netzdienstleister oder gibt es da auch keine Eskalationsstufe über dir?
Mitglied: michi1983
michi1983 10.08.2020 um 19:53:09 Uhr
Goto Top
Hallo,

EU_SCRP_WN32 ist der graphical screen painter von SAP. Diese Fehlermeldung deutet ziemlich sicher auf einen fehlenden Patch der SAP GUI hin.

Komisch nur, dass das mit dem VPN zusammenhängen soll...

Gruß
Mitglied: Leo-le
Leo-le 11.08.2020 um 09:49:54 Uhr
Goto Top
Hallo Michi, ja genau, darum geht es. Wenn es aber an einem Patch liegen würde, dann würde es nicht mit eingeschaltetem Clinet VPN funktionieren. Und vor dem S2S VPN Schwenk funktionierte es auch. Und die gesamten anderen screenpainter von den restlichen 19 S2S Kundenverbindungen funktionieren auch.

Das ist doch echt ein seltsames Problem. Kann das vielleicht an dem SAP -System beim Kunden liegen. Hier haben wir zumindest ein Ticket bei SAP aufgemacht.

Grüße
Mitglied: michi1983
michi1983 11.08.2020 um 15:49:48 Uhr
Goto Top
Hallo,

kommt bei dem Switch auf das neue VPN eine andere Firewall ins Spiel?
Hier könnte man ev. mal schauen ob einer der beiden Prozesse geblockt wird:
gwrd.exe oder gnetx.exe
Der eine ist für das Gateway Service zuständig und der andere ist der Screen Painter selbst.

Gruß