beidermachtvongreyscull
Goto Top

Sophos XGS2100 braucht ca. alle 7 Tage einen Neustart

Moin Kollegen,

eine Sophos XGS2100 auf aktuellem Firmware- und Patternstand verursacht ein Problem, dass sich nicht über ihr Protokoll nachvollziehen lässt.

Sie blockiert hin und wieder die regelmäßige Anmeldung des SIP-Trunks des Telekommunikationsservers.
Nur ein Firewallneustart löst das Problem.

IDS/IPS ist schon ausgeschaltet und der Server darf per Rule zum SIP-Partner alles nutzen (Protokolle/Ports), was erforderlich ist, aber eben nur zu diesem Server.

Dennoch kommt es nach längerer Laufzeit der Firewall vor, dass es nicht mehr funktioniert.

Sobald ich die Firewall neu starte, funktioniert es wieder fehlerfrei und anstandslos.

Kennt jemand das Phänomen?
Bei der SG habe ich dieses Verhalten nämlich nicht.

Ich habe auch schon geschaut, aber keine Möglichkeit gefunden, die Firewall über Nacht mittels Cronjob neustarten zu können. Auch für diese Lösung wäre ich offen.

Viele Grüße und schönen Tag Euch!
bdmvg

Content-ID: 5890986921

Url: https://administrator.de/contentid/5890986921

Printed on: December 12, 2024 at 16:12 o'clock

NordicMike
NordicMike Feb 07, 2023 at 08:14:49 (UTC)
Goto Top
Was sagen denn die Logs dazu. Der Vorteil bei Sophos ist, dass man in den Logs jedes Ereignis findet, was das Problem auslöst.
Looser27
Looser27 Feb 07, 2023 updated at 08:16:04 (UTC)
Goto Top
Moin,

der Server darf per Rule zum SIP-Partner alles nutzen (Protokolle/Ports), was erforderlich ist,

Warum? Außer SIP und RTP braucht man normalerweise nichts zur Kommunikation mit dem Provider.

aber eben nur zu diesem Server.

Arbeitet der "Server" evtl. mit SRV-Records und Du hast nur eine statische IP freigegeben?

Gruß

Looser

Nachtrag: Gibt es evtl. einen dokumentierten Bug in der Software?
beidermachtvongreyscull
beidermachtvongreyscull Feb 07, 2023 at 11:17:34 (UTC)
Goto Top
Zitat von @NordicMike:

Was sagen denn die Logs dazu. Der Vorteil bei Sophos ist, dass man in den Logs jedes Ereignis findet, was das Problem auslöst.

Ich habe in den Logs nichts finden können, was eine Erklärung dafür liefert, zumal es nach einem Neustart ja anstandslos erstmal wieder läuft, bis "die Firewall es sich anders überlegt".

Wenn das Ereignis nochmal auftritt, schau ich aber wieder nach.
beidermachtvongreyscull
beidermachtvongreyscull Feb 07, 2023 at 11:22:12 (UTC)
Goto Top
Zitat von @Looser27:
Moin,
Moin,
Zitat von @Looser27:
der Server darf per Rule zum SIP-Partner alles nutzen (Protokolle/Ports), was erforderlich ist,
Warum? Außer SIP und RTP braucht man normalerweise nichts zur Kommunikation mit dem Provider.
Stimmt. Ich hatte die Rule nur nicht eingeschränkt. Muss ich noch machen.
Zitat von @Looser27:
aber eben nur zu diesem Server.
Arbeitet der "Server" evtl. mit SRV-Records und Du hast nur eine statische IP freigegeben?
Nein. Der SIP-Trunk ist von MK-Netzdienste, nicht von der Telekom. face-big-smile
Unser TK-Server hat eine statische IP und ist damit freigegeben. Der SIP-Endpunkt bei MK ist mit DNS-Name freigegeben. Ob das daran hängen kann?
Zitat von @Looser27:
Gruß
Looser
Gruß zurück
bdmvg
Zitat von @Looser27:
Nachtrag: Gibt es evtl. einen dokumentierten Bug in der Software?
Im TK-Server setzen wir Netphone (basiert auf Swyx) ein. Ich weiß, es ist nicht pralle, aber irgendwie mag ich die Software recht gerne mittlerweile. Bin wohl dran gewöhnt.
Was die Firewall angeht, so ist mir in der Online-Doku nichts aufgefallen. Die XGS ist nicht so meins. Ich bin noch immer in die SG verliebt.
NordicMike
NordicMike Feb 07, 2023 at 11:36:55 (UTC)
Goto Top
Ich habe in den Logs nichts finden können, was eine Erklärung dafür liefert, zumal es nach einem Neustart ja anstandslos erstmal wieder läuft, bis "die Firewall es sich anders überlegt".

Hast du die Logs dafür auch überhaupt aktiviert?

Du lässt ja in der Firewall das SIP Protokoll durch. Bei dieser Firewall Regel kannst du das Loggin einzeln einschalten und live zusehen.
Looser27
Looser27 Feb 07, 2023 at 11:59:05 (UTC)
Goto Top
Der SIP-Endpunkt bei MK ist mit DNS-Name freigegeben.

Wenn Du ne feste IP hast, anstelle DNS-Name würde ich das zumindest testen.

Hast Du evtl. einen SIP-Helper auf der Firewall aktiv?
Delta9
Delta9 Feb 07, 2023 at 14:26:20 (UTC)
Goto Top
Standartmäßig ist auf der XG(S) ein SIP-Helper aktiv.
Bei unserer SIP Trunk pure mussten wird den SIP Helper auf der Sophos deaktivieren, ansonnsten hatten wir nämlich dieselben Probleme wie ihr.
MysticFoxDE
MysticFoxDE Feb 10, 2023 at 08:52:52 (UTC)
Goto Top
Moin bdmvg,

meinst du sowas hier ...
xgs-bug

Gruss Alex