motte990
Goto Top

Sporadische Timeouts im HTTP-S

Guten Morgen,

aktuell sitze ich an einem Problem in der Firma das wir Sporadisch bzw. im schnitt alle 30-45 min Connection Timeouts beim normalen Surfen über egal welchen Browser bekommen. Das auch nicht User oder Client Spezifisch sondern in der Gesamten Firma.

Bsp. man ruft eine Seite im netz auf Surft normal und nach einer Zeit Peng Browser Leiert und Leiert dann Connection Timeout. Nach ca. 2-3 Minuten geht es weiter als wäre nix gewesen.

Aufbau im Groben:

2x Internet Gateway an der Sophos XGS 3100 -> CoreSwitch -> 2x 48 Port Switch für die Clients.

IP Vergabe +DNS:

Clients bekommen ihre IP vom DHCP des Windows Server 2019 Core DC. IP z.b. 10.0.4.120 255.255.254.0 GW 10.0.5.253 (Sophos) DNS DC01 (10.0.5.1) DC02 (10.0.5.2).

DC01+02 Haben eine Weiterleitung an die Sophos 10.0.5.253 und die Wiederum die DNS Server von Quad9 ( 9.9.9.9 +149 .112.112.112).

In der Sophos läuft ein Webfilter sowie ein Anwendungsfilter. Sowie auch der WebProxy.

Per GPO verteilen wir an jeden Client den Proxy also die IP der Sophos (10.0.5.253 :3128 ).

Das fühlt sich an wie ein Flaschenhals alles versucht Durchzukommen aber die Straße ist zu klein das alles gleich durch kann. So als würde das Internet ein kurze Denkpause brauchen. Oder man zieht das Kabel als gleichen Effet

Was haben wir gemacht?

- Bei beiden Providern nachgefragt Leitungen sind Sauber
- Alle Switche Durchgestartet
- DC01+02 Durchgestartet
- ESXi Hosts Durchgestartet
- Sophos HA Cluster Durchgestartet
- DNS Auflösung intern sowie nach extern klappt
- Dauer Ping mit WinMTR und Pingplotter ( das hat nur die FW 5-10% PL angezeigt)
- WAN Gateways einzeln getestet

Alles ohne Erkenntnis.

Habt ihr eine Idee nach was wir noch schauen können und vllt den Fehler noch weiter eingrenzen können?

Über PRTG sieht man jede 45-60 min ein kurzen Schluckauf vom DNS Dienst des DC01 aber zu dem Zeitpunkt läuft das Surfen.
screenshot 2024-03-15 105008

Was mir einfällt wir haben im Januar / Februar das Sophos Update Version 20 gemacht könnte es damit zusammen hängen?

LG Nico

Content-Key: 11687266950

Url: https://administrator.de/contentid/11687266950

Printed on: May 21, 2024 at 21:05 o'clock

Member: tech-flare
tech-flare Mar 15, 2024 at 10:17:24 (UTC)
Goto Top
Hallo,

Wie sieht denn der Traffic auf dem WAN Interface zur gleichen Zeit aus?

Wurde schon der Proxy zum test mal abgeschalten?
Member: tagol01
tagol01 Mar 15, 2024 at 10:39:55 (UTC)
Goto Top
Zitat von @Motte990:
Was haben wir gemacht?
- Alle Switche Durchgestartet
- DC01+02 Durchgestartet
- ESXi Hosts Durchgestartet
- Sophos HA Cluster Durchgestartet

Hallo

sorry für den Sarkasmus, das hört sich nach Windows Administrator an. Neustart hilft face-smile

Was mir einfällt wir haben im Januar / Februar das Sophos Update Version 20 gemacht könnte es damit zusammen hängen?

Was sagen die Logs von Sophos? Bzw. die Auslasstung?
Wird SSL-Inspection verwendet?
Member: Motte990
Motte990 Mar 15, 2024 at 10:49:41 (UTC)
Goto Top
Also das Internet Ansich ist komplett da sonst würden ja die VPN Tunnel wegbrechen das läuft problemlos weiter.

Da wir den Proxy per GPO verteilen ist es ja dann auch kein Transparenter Proxy sondern ein Direkter. Wie müsste ich es in der Sophos umbauen das aller Traffic über den WebProxy läuft also ohne Eintragung im Client?
Member: Motte990
Motte990 Mar 15, 2024 at 10:56:01 (UTC)
Goto Top
Zitat von @tagol01:

Zitat von @Motte990:
Was haben wir gemacht?
- Alle Switche Durchgestartet
- DC01+02 Durchgestartet
- ESXi Hosts Durchgestartet
- Sophos HA Cluster Durchgestartet

Hallo

sorry für den Sarkasmus, das hört sich nach Windows Administrator an. Neustart hilft face-smile

Was mir einfällt wir haben im Januar / Februar das Sophos Update Version 20 gemacht könnte es damit zusammen hängen?

Was sagen die Logs von Sophos? Bzw. die Auslasstung?
Wird SSL-Inspection verwendet?

Ich bin der Netzwerker und auch noch frisch. Cheffe macht Windows Server kram ^^

Auslastung CPU 6-8% RAM 53%

Nutzen kein SSL-Inspection
Member: tech-flare
tech-flare Mar 15, 2024 updated at 13:17:20 (UTC)
Goto Top
Zitat von @Motte990:

Also das Internet Ansich ist komplett da sonst würden ja die VPN Tunnel wegbrechen das läuft problemlos weiter.
Ich hab aber nicht gefragt, ob Internet da ist, sondern wie die Auslastung gegenüber der vorhanden Kapazität auf dem WAN Interface ist


Da wir den Proxy per GPO verteilen ist es ja dann auch kein Transparenter Proxy sondern ein Direkter. Wie müsste ich es in der Sophos umbauen das aller Traffic über den WebProxy läuft also ohne Eintragung im Client?

Du schreibst doch unten, dass du der Netzwerker bist, also solltest du die Sophos entsprechend anpassen können.
Kurz:

- Sophos in den transparent Proxy Modus bringen
- Regeln entsprechend anpassen
- Proxy aus der GPO rausnehmen.

Wie sieht denn die gpo derzeit aus? Ggf wird die ja aller 45-60 min aktualisiert?

Unabhängig davon, werdet ihr ja eine Client haben, wo ihr das zum Test deaktivieren könnt ohne die GPO.

Ps.: warum startet ihr zum Test den esxi neu, wenn die Sophos ein Stück Hardware ist?

Gruß
Member: MysticFoxDE
MysticFoxDE Mar 15, 2024 at 14:12:29 (UTC)
Goto Top
Moin Nico,

Bsp. man ruft eine Seite im netz auf Surft normal und nach einer Zeit Peng Browser Leiert und Leiert dann Connection Timeout. Nach ca. 2-3 Minuten geht es weiter als wäre nix gewesen.

🤔 ... das hört sich schon recht komisch an.

Geht ihr über einen PPPoE Anschluss ins Internet?

Wenn ja, dann führe mal auf einem der Clients den folgenden Befehl aus ...

ping 1.1.1.1 -f -l 1464 -t

wenn nein, also wenn kein PPPoE Anschluss, dann den folgenden Befehl.

ping 1.1.1.1 -f -l 1472 -t

Der Ping müsste eigentlich sauber durchgehen, ist das bei dir so?
Dafür muss du natürlich auch ICMP von dem entsprechenden internen Netz ins WAN per FW-Regel auch erlauben.

Was mir einfällt wir haben im Januar / Februar das Sophos Update Version 20 gemacht könnte es damit zusammen hängen?

Ja, das kann damit schon zusammenhängen, den die V20.0.0 hat noch diverse Kinderkrankheiten. 😔😭

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Mar 15, 2024 at 14:14:44 (UTC)
Goto Top
Moin Nico,

Wie müsste ich es in der Sophos umbauen das aller Traffic über den WebProxy läuft also ohne Eintragung im Client?

poste mal die Einstellungen der Regel die du jetzt für den Proxy gemacht hast, dann kann ich dir auch gerne verraten was du dafür umbauen musst. 😉

Gruss Alex
Member: Motte990
Motte990 Mar 15, 2024 at 15:34:22 (UTC)
Goto Top
So will ich mal auf alles Antworten:

GPO kommt alle 60 min aktuell mit der Sophos ip und Port 3128

Telekom ist über PPPoE, Netkom nicht da ist ein Modem Davor .

Pings:
ping

Einstellungen und Regel für den Proxy

proxy1
proxy2
proxy3
proxy4


Hab mal mein Laptop direkt an die Sophos geklemmt ohne Webfilter aber mit eingetragenem Proxy da hab ich keine Probleme.

Nächster Schritt ist eine VM Anlegen ohne Domäne und ohne Proxy
Member: MysticFoxDE
MysticFoxDE Mar 15, 2024 at 16:21:14 (UTC)
Goto Top
Moin Nico,

Telekom ist über PPPoE, Netkom nicht da ist ein Modem Davor .

das ist interessant, vor allem mit dieser Info ...
Pings:
ping

... denn über einen PPPoE Anschluss, bekommt man unter normalen Umständen keinen unfragmentierten Ping > 1464Bytes durch. 😬

Das bedeutet, dass entweder die XGS und oder das DSL-Modem, ordentlich Mist bauen. 😔

Kannst du mal bitte den Ping mal folgend ausführen ...

ping golem.de -f -l 1500 -t

kommt dabei dann auch noch eine Antwort zurück?

Gruss Alex
Member: Motte990
Motte990 Mar 15, 2024 at 16:44:33 (UTC)
Goto Top
Also die Beiden WAN Anschlüsse sind wie folgt Eingerichtet.

WAN1 Netcom per DHCP an das davorliegende Modem das auch unser Hauptanschluss Gewichtung 70. MTU 1500 laut Interface
WAN2 Telekom per PPPoE an das Modem Gewichtung 30. MTU 1492 laut Interface

Aber löst das mein Problem?

Vor dem Update hat das ja auch alles so geklappt ( Eingerichtet von einem SystemHaus vor meiner Zeit)
unbenannt
Member: MysticFoxDE
MysticFoxDE Mar 15, 2024 at 18:42:25 (UTC)
Goto Top
Moin @Motte990:

Also die Beiden WAN Anschlüsse sind wie folgt Eingerichtet.

WAN1 Netcom per DHCP an das davorliegende Modem das auch unser Hauptanschluss Gewichtung 70. MTU 1500 laut Interface
WAN2 Telekom per PPPoE an das Modem Gewichtung 30. MTU 1492 laut Interface


du hast also zwei WAN Anschlüsse mit unterschiedlichen MTU's, das ist eine sehr spannende/wichtige Info!

Aber löst das mein Problem?

Indem ich durch deine Info, eventuell ein Problem der XGS besser verstehe und dadurch dafür hoffentlich schneller einen Workaround finde. 😉

Vor dem Update hat das ja auch alles so geklappt ( Eingerichtet von einem SystemHaus vor meiner Zeit)

Den Spruch habe ich in letzter Zeit irgendwie häufiger gehört. 😔

unbenannt

Das mit dem Ping ist OK, der ist vorher über den Netcom Anschluss raus gegangen und da dieser kein PPPoE Anschluss ist, ist das mit den -l 1472 auch vollkommen richtig.

Gruss Alex
Member: Motte990
Motte990 Mar 15, 2024 at 21:05:05 (UTC)
Goto Top
Ok na dann warte ich mal ab ob du da was findest . wir wissen uns mittlerweile echt nicht mehr zu helfen . Aber gut das der ping in dem falle ok ist face-smile

Gruß Nico