Ho una rete che è connessa per dei servizi "Cloud" e una disconnessione su dieci la IPSec si blocca, non negozia la fase 2 e va riavviata lato Sophos.
Il router in azienda è un Mikrotik 4011 connesso a diverse IPSec.. tutte delle roccie, tranne quella verso un firewall Sophos (virtualizzato, ma non credo che cambi)
Questa IPSec, una volta su dieci, quando c'è una disconnessione non si riconnette e non negozia più la fase 2.
L'azienda esterna da la colpa (ovviamente) al router perchè "le loro IPSec non hanno mai problemi".
Le altre IPSec che terminano (secondo quanto riferito dai fornitori) su Cisco (sia fisico che virtualizzato), Juniper (fisico) non hanno problemi. Dopo una disconnessione si riconnettono subito. L'IPSec con Sophos invece rimane una roulette ogni volta.

Io Sophos non lo conosco.. ci ho messo le mani solo qualche volta.
Qualcuno ha già avuto questi problemi ?
Magari ha sperimentato qualche set di impostazioni che danno più stabilità..

Nei log ogni volta che la connessione si blocca appare
XXX.XXX.XXX.XXX(ip del firewall sophos) notify: NO-PROPOSAL-CHOSEN

“No proposal chosen” indica che dall’altro lato la VPN non è proprio configurata. Io a suo tempo ebbi parecchi problemi con Cyberaom (che ora si chiama Sophos). Verifica bene da entrambi i lati che tutte le informazioni su Fase1/2 siano uguali come:

  • encryption ed hashing
  • timer di rinegoziazione
  • DPD, se attivo deve avere le stesse info da entrambi i lati
  • verifica importante è anche l’encryption domain in uso

    stich86
    In realtà è configurata ma non risponde. Quando la riavviano torna a funzionare.

    Purtroppo abbiamo verificato più volte e tutti i parametri coincidono.. ma rimane sempre una roulette.
    Io il lato sophos non lo posso toccare è di una azienda esterna.
    Ho anche provato manualmente a provocare una decina di disconnessioni.. e ogni tanto non si riconnette.

    • stich86 ha risposto a questo messaggio

        Technetium Capisco

        Di che tipo è la VPN? IKEv1 od IKEv2?
        Lato Sophos la VPN è configurata in Init or Responder?

            stich86
            IKEv1
            Sophos Responder / Mikrotik Initiator

            • stich86 ha risposto a questo messaggio

                Technetium fai provare a mettere in init anche il Sophos, così nel caso vada giù la fase 1/2 lato suo riprova comunque a negoziare

                    stich86
                    Non lo fanno purtroppo. Al massimo cambierebbero i parametri. Anche perchè il loro server è in datacenter, il mikrotik invece è su una connessione consumer.
                    Figurati che si fanno pagare ogni ticket per riavviarla con la scusa che è l'apparato cliente a non funzionare correttamente.. ma io sospetto che sia sophos che sia scarso nel gestirle. Tutte le altre IPSec, anche con parametri uguali, vanno perfettamente.

                    • stich86 ha risposto a questo messaggio

                        Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                        P.I. IT16712091004 - info@fibraclick.it

                        ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile