gwaihir
Goto Top

Sophos SG 125 nicht mehr erreichbar

Hallo zusammen,

ausgerechnet über die Feiertage stimmt etwas mit meiner Firmen-Firewall nicht. Es ist eine Sophos SG 125 und ist seit gestern Abend plötzlich nicht mehr erreichbar. Ich kann sie aus dem Netzwerk heraus nicht mehr anpingen. Alle VPN-Verbindungen zu den Zweigwerken sind ebenfalls zusammengebrochen. Es hat sich während der Zeit nichts am System geändert, es passierte einfach so. Ich habe die Firewall bereits dreimal neu gestartet, aber sie antwortet weiterhin nicht. Die LEDs sehen alle in Ordnung aus und blinken wie immer. Ich habe auch mal meinen Laptop direkt an den eth0 gesteckt und dem Laptop eine statische IP aus dem Netz von eth0 gegeben, aber auch hier bekomme ich keinen Ping.

Hat jemand so ein Verhalten schon erlebt? Was kann ich nun tun? Kann ich über den COM Anschluss irgendwas machen? Oder bleiben mir nur die Werkseinstellungen?

Ich danke Euch schonmal für hilfreiche Tipps!

Content-Key: 374488

Url: https://administrator.de/contentid/374488

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.05.2018 aktualisiert um 14:35:22 Uhr
Goto Top
Hallo Gwaihir,

was für Einstellungen wurden denn vorgenommen? War SSH o.ä aktiv? Benutzt ihr sichere Kennworte und wie sind die Zugriffe?

Gerne kannst du dich auch direkt an uns (PN/Email) wenden.

Viele Grüße,

Christian
Mitglied: fluluk
fluluk 19.05.2018 um 17:50:40 Uhr
Goto Top
Hallo Gwaihir,

Du kannst die IP von eth0 doch auch direkt am Display der SG125 einstellen oder irre ich mich da?

gruß fluluk
Mitglied: Gwaihir
Gwaihir 19.05.2018 um 18:04:01 Uhr
Goto Top
Hallo,

ein Display gibt es leider nicht. Die Einstellungen kenne ich nur grob, da der Dienstleister die Firewall vor meiner Zeit bereits eingerichtet hat. Kenne das Gerät auch erst ein halbes Jahr. SSH sollte aber aktiv sein... ich werde morgen früh nochmal hinfahren und SSH testen. Da verbinde ich den COM Anschluss einfach mit dem Netzwerkinterface des Laptops? Gibt's dann eine Default-Adresse?

Die Kennwörter sind sicher, drei externe Dienstleister haben sonst noch Zugriff. Seltsam, dass alle LEDs leuchten, als wenn alles ok sei. Mir kommt es vor, als wenn das Gerät auf Werkseinstellungen gesetzt wurde oder alle eth´s auf DHCP stehen. Diese Idee kam mir gerade erst auf dem Nachhauseweg, ich teste das morgen früh mal und scanne das Netzwerk vom DHCP-Server aus.
Mitglied: fluluk
fluluk 19.05.2018 aktualisiert um 18:54:42 Uhr
Goto Top
Da verbinde ich den COM Anschluss einfach mit dem Netzwerkinterface des Laptops?

nein, das funktioniert so nicht, du brauchst ein RJ45-DB9 Adapter, den Du dann an deinem COM-Anschluss anschließt und gehst dann mit Putty oder so über COM da drauf.
Bits per second: 38400
Data Bits: 8
Parity: None
Stop bits: 1
Flow Control: None

soweit ich weiß solltest Du dann ein Menü erhalten wenn Du daruf bist.
kannst Dich ja mal durch"klicken" und schauen ob irgendwas an den IP-Adressen nicht stimmt.

gruß
fluluk
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.05.2018 aktualisiert um 19:10:13 Uhr
Goto Top
Zitat von @Gwaihir:

Hallo,

ein Display gibt es leider nicht. Die Einstellungen kenne ich nur grob, da der Dienstleister die Firewall vor meiner Zeit bereits eingerichtet hat. Kenne das Gerät auch erst ein halbes Jahr. SSH sollte aber aktiv sein... ich werde morgen früh nochmal hinfahren und SSH testen. Da verbinde ich den COM Anschluss einfach mit dem Netzwerkinterface des Laptops? Gibt's dann eine Default-Adresse?

Die Kennwörter sind sicher, drei externe Dienstleister haben sonst noch Zugriff. Seltsam, dass alle LEDs leuchten, als wenn alles ok sei. Mir kommt es vor, als wenn das Gerät auf Werkseinstellungen gesetzt wurde oder alle eth´s auf DHCP stehen. Diese Idee kam mir gerade erst auf dem Nachhauseweg, ich teste das morgen früh mal und scanne das Netzwerk vom DHCP-Server aus.

Richtig, Displays gibt es de facto kaum noch, hatte innerhalb der letzten zwei Jahre allerdings auch nur zwei Fälle, in denen sich Kunden ausgesperrt haben.

Der/die Dienstleister ist nicht zu erreichen - Immerhin könnte das die Firma beeinträchtigen?

Bist du auch Dienstleister oder interner Admin?

Aus der Erfahrung machen die SG/UTM allerdings nicht einfach so mal dicht, irgendwas muss also de facto passiert sein.

Viele Grüße,

Christian
Mitglied: Gwaihir
Gwaihir 19.05.2018 um 22:48:18 Uhr
Goto Top
Bin interner Admin. Beim Dienstleister geht nur die Mailbox dran, dass sie erst ab Montag (in diesem Fall Dienstag) erreichbar sind. Einen von denen habe ich ne WhatsApp hinterlassen und versucht anzurufen, der scheint aber unterwegs und nicht erreichbar zu sein...

Das einzige, was am Freitag Nachmittag passiert ist, ist dass ich einen kleinen USB-Device-Server ins Netzwerk des Zweigwerks gehängt habe. Der Ausfall hat aber erst 2 Stunden später stattgefunden haben. Aber wie gesagt, das sind zwei verschiedene Werke, die nur per VPN miteinander verbunden sind. Da müsste es ja schon mit dem Teufel zugehen und mindestens genauso unwahrscheinlich wie dass die SG plötzlich dicht macht...

Ich fahre morgen früh nochmal zur Firma und durchsuche das Netzwerk nach der Sophos... vielleicht hat das Interface ne falsche IP Adresse... aber dann müsste es alle anderen Interfaces auch betreffen, denn die bekam ich auch nicht angepingt, wenn ich da mit Laptop und entsprechender statischer IP dran bin...
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.05.2018 um 23:38:52 Uhr
Goto Top
Wundert mich, für solche Krisenfälle sollte der Dienstleister eigentlich greifbar sein.

Grundsätzlich, trenne mal alles von der Sophos und Boote Sie dann neu durch (ohne internet, ohne Intranet) häng dich dann ran. Sonst gibst einfach mal Bescheid.

Trotzdem angenehmen Sonntag dann.

VG
Mitglied: em-pie
em-pie 20.05.2018 aktualisiert um 10:38:46 Uhr
Goto Top
Moin,

Hatte mal mit der ASG220 ein ähnliches Problem:
User baute einen SSL-Tunnel zu uns auf, Zack, stand die ganze Kiste. Selbst ein Reboot half nicht und hat auch die HA-Kiste „mitgenommen“

Was geholfen hat:
Die jüngste, gesicherte Config auf einen USB-Stick kopieren, den Stick in die UTM gesteckt und dann neugestartet. Beim Booten sucht die nach einer Config auf dem Stick und lädt die.

Teste mal, ob das auch für deine 125er geht. Bei der 230er geht es, kann man dank des VGA-Anschlusses aber auch gut mitverfolgen. Die 125er kenne ich - zugegebener Maßen - aber auch nicht.

Gruß
em-pie
Mitglied: falscher-sperrstatus
falscher-sperrstatus 20.05.2018 um 10:45:43 Uhr
Goto Top
Moin @em-pie,

zur zeitlichen Einordnung: Wann war das? Hatte so ein Verhalten noch nie.

Viele Grüße,

Christian
Mitglied: Gwaihir
Gwaihir 20.05.2018 um 10:55:03 Uhr
Goto Top
Habe gerade nochmal das Netz nach der Sophos gescannt, ohne Erfolg. Habe sogar ein COM-Kabel gefunden und es mit Putty über Serial versucht, ohne Erfolg. Dann fiel mir beim Neustart der Firewall auf, dass die HDD LED überhaupt gar nichts macht. Kurz nach dem Einschalten gehen alle LEDs der Switching-Funktionalitäten an, und bleiben an, aber die HDD LED leuchtet nicht. Ich habe hier eher den Verdacht, dass am Freitagnachmittag die Festplatte abgeraucht ist und die Firewall jetzt nicht mehr bootet. Das würde alles logisch erklären...
Mitglied: aqui
aqui 20.05.2018 um 11:43:00 Uhr
Goto Top
Vielleicht mal aufschrauben und die Steckverbindungen checken an der Platte. Oftmals hilft das.
Auf alle Fälle gegen eine SSD tauschen und dann die Sicherung zurückspielen.
Mitglied: Deepsys
Deepsys 20.05.2018 aktualisiert um 12:11:40 Uhr
Goto Top
Zitat von @aqui:

Vielleicht mal aufschrauben und die Steckverbindungen checken an der Platte. Oftmals hilft das.
Auf alle Fälle gegen eine SSD tauschen und dann die Sicherung zurückspielen.

Meinst du da ist ne Platte drin?
Ich vermute eher Flash aufgelötet, aber einen Versuch ist es wert.
Ansonsten, hoffe ich du hast Support bei Sophos. Dann dich dort melden und versuchen schnell eine neue zu bekommen.
Solltest du ein HA angedacht haben, ist jetzt ein guter Zeitpunkt die Genehmigung zu bekommen face-smile

Und ja, Hardware geht auch mal kaputt face-wink
Mitglied: falscher-sperrstatus
falscher-sperrstatus 20.05.2018 um 12:17:05 Uhr
Goto Top
Hallo Deepsys,

ist tatsächlich ne Platte drin, hab die Sophos SG/UTMs allerdings schon in den unmöglichsten Umgebungen gesehen, HW ist im Grunde sehr stabil, wenn man natürlich daneben regelmäßig den Boden einebnet ;)

VG

PS: Richtig, hilft im Erschütterungsfall allerdings auch wenig - für den Fall, dass das der Fall sein sollte.
Mitglied: em-pie
em-pie 20.05.2018 um 13:24:37 Uhr
Goto Top
Moin Christian,

Das war 2014 oder 2016.
Sophos hatte sich nie geäußert/ mangelndes Interesse an der Lösubgsfindung gezeigt. War aber auch noch der Umbruch Astaro-> Sophos...
Eine Ursache habe ich nie ausfindig machen können.

Mit meiner obigen Aussage wollte ich eigentlich auch nur den Hinweis auf die Config beim Starten geben...
Mitglied: ukulele-7
ukulele-7 21.05.2018 um 09:24:38 Uhr
Goto Top
Also ich hatte mal eine defekte HDD in unserer Sophos UTM 120. Ich bin mir nicht sicher ob das Fehlerbild das selbe war, könnte aber sein. Ich hatte einen Monitor an die Sophos gehängt und bekam beim botten eine entsprechende Meldung, das solltest du auch mal versuchen. Allerdings hat die SG 125, je nach Revision, unterschiedliche Ports. Die Rev 3 hat wohl mini HDMI oder so, kein VGA mehr.

Die Default IP ist 192.168.0.1. Wenn du vor Ort bist kannst du die mal pingen.
Mitglied: Gwaihir
Gwaihir 28.05.2018 um 10:56:45 Uhr
Goto Top
Achja, um diesen Thread zum Abschluss zu bringen... inzwischen wurde die Sophos durch meinen Dienstleister getauscht. Eine konkrete Fehlerursache habe ich noch nicht bekommen. Ist zum Glück noch Garantie drauf gewesen, so dass das Leihgerät irgendwann nochmal getauscht werden wird.
Mitglied: aqui
aqui 28.05.2018 um 13:00:56 Uhr
Goto Top
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !