Sophos UTM: Update 9.408 macht Probleme

Nur eine kleine Warnung vor dem Sophos UTM Update 9.408. Dieses Update verursacht gleich mehrere Probleme. Wer die UTM als virtuelle Maschine auf VMware ESXi betreibt sollte das Update lieber nicht einspielen und abwarten.

image

Das Update 9.408 würfelt die Zuordnung der virtuellen Netzwerkkarten durcheinander, dies war auch schon ein Problem, wenn in vorherigen Versionen nachträglich neue Netzwerkkarten zur VM hinzugefügt wurden. Jetzt kommt es allerdings vor, dass nicht mehr alle Netzwerkkarten von der UTM erkannt werden. Die Zuordnung der Netzwerke kann zwar ESXi-seitig schnell korrigiert werden, allerdings werden zumindest in meiner Umgebung keine weiteren Netzwerkkarten mehr erkannt. In meinem Fall werden nur noch 4 virtuelle Netzwerkkarten erkannt. Ich nehme an, dass dieser Fix die Probleme verursacht:

  • NUTM-488 [Virtualization] Fix unstable NIC ordering on VMWare

Des weiteren scheint es Probleme mit dem Abfragen des Active Directory zu geben. Der Verbindungstest ist noch erfolgreich, wird die Konfiguration allerdings abgespeichert, scheint das Passwort nicht korrekt übernommen zu werden. In Folge schlagen alle Abfragen gegen das Active Directory fehl. Gerade die Empfängerverifizierung der Mail Protection könnte so im schlimmsten Fall alle Mails ablehnen.

Manche Benutzer berichten ebenfalls von Problemen mit dem SSL-VPN.

Scheinbar haben sich in diesem Update gleiche mehrere grobe Fehler eingeschlichen. Die Probleme konnte ich (bis auf das SSL-VPN) soweit nachvollziehen, Eigentlich wollte ich das Update nur wegen diesem Fix hier installieren:

  • NUTM-5599 [Email] Mails with the same recipient set twice lead to corrupt mail queue

Ich warte mal noch etwas ab…

18 Gedanken zu „Sophos UTM: Update 9.408 macht Probleme“

  1. Meine UTM läuft auf nem ESXi 6.0 und mit dem Update der UTM auf 9.408-4 habe ich keine Pobleme. Kann also das Problem „Das Update 9.408 würfelt die Zuordnung der virtuellen Netzwerkkarten durcheinander“ nicht bestätigen.

    Antworten
  2. Hallo, bei meinem System (nicht VM) ist bis auf die Abfrage ans AD alles ok. Musste das Passwort neu eintragen – dannach wieder alles in Ordnung.

    Antworten
  3. Wir hatten das gleiche Problem nachdem das genannte Update auf der UTM installiert wurde.
    Schnittstellen wurden durcheinandergewürfelt, eine Schnittstelle wurde nicht mehr angezeigt.
    Mit Putty über SSH und dem Befehl „ifconfig“ die Schnittstellen der UTM prüfen.
    Wenn die Schnittstellen der UTM mit Mac Adressen und schnittstellen der VM nicht übereinstimmen wie folgt vorgehen:

    Ich war bereits mit dem Sophos Support in Kontakt, welche mir folgenden Lösungsweg genannt haben.

    Zitat aus Email:“
    folgende Rückmeldung habe ich soeben vom Sophos Supporter erhalten:
    ——
    hier ist in ein Feld des Objekts von eth4 ein Falscher Wert geraten. Die Log Dateien gehen leider nur 10 Tage zurück, daher kann ich nicht nachvollziehen wann und wie das passiert ist. Beim Update ist das dann aber aufgefallen und das Objekt konnte nicht zugeordnet werden.

    Update failed: DATATYPE_OBJECT_ATTRIBUTE

    Da die UTM aber die Hardware selber mit den korrekten MAC Adressen kennt, lässt sich das Problem sehr wahrscheinlich mit einem erneuten setitfhw.plx wieder korrekt zuordnen.

    [ 3.785176] e1000 0000:02:01.0 eth0: (PCI:66MHz:32-bit) 00:0c:29:4a:04:29
    [ 3.785184] e1000 0000:02:01.0 eth0: Intel(R) PRO/1000 Network Connection
    [ 4.140633] e1000 0000:02:02.0 eth1: (PCI:66MHz:32-bit) 00:0c:29:4a:04:33
    [ 4.140640] e1000 0000:02:02.0 eth1: Intel(R) PRO/1000 Network Connection
    [ 4.498571] e1000 0000:02:03.0 eth2: (PCI:66MHz:32-bit) 00:0c:29:4a:04:3d
    [ 4.498577] e1000 0000:02:03.0 eth2: Intel(R) PRO/1000 Network Connection
    [ 4.855986] e1000 0000:02:04.0 eth3: (PCI:66MHz:32-bit) 00:0c:29:4a:04:47
    [ 4.855992] e1000 0000:02:04.0 eth3: Intel(R) PRO/1000 Network Connection
    [ 5.211045] e1000 0000:02:05.0 eth4: (PCI:66MHz:32-bit) 00:0c:29:4a:04:51
    [ 5.211051] e1000 0000:02:05.0 eth4: Intel(R) PRO/1000 Network Connection
    [ 5.567126] e1000 0000:02:06.0 eth5: (PCI:66MHz:32-bit) 00:50:56:99:01:35
    [ 5.567131] e1000 0000:02:06.0 eth5: Intel(R) PRO/1000 Network Connection
    [ 5.922764] e1000 0000:02:07.0 eth6: (PCI:66MHz:32-bit) 00:0c:29:4a:04:65
    [ 5.922770] e1000 0000:02:07.0 eth6: Intel(R) PRO/1000 Network Connection
    [ 6.278635] e1000 0000:02:08.0 eth7: (PCI:66MHz:32-bit) 00:0c:29:4a:04:6f
    [ 6.278640] e1000 0000:02:08.0 eth7: Intel(R) PRO/1000 Network Connection
    [ 6.634340] e1000 0000:02:09.0 eth8: (PCI:66MHz:32-bit) 00:0c:29:4a:04:79
    [ 6.634346] e1000 0000:02:09.0 eth8: Intel(R) PRO/1000 Network Connection“

    weiter geht es so:“ Hallo Herr *****, wie führe ich dieses setitfhw.plx aus und mit welchen Einschränkungen habe ich danach zu rechnen. Bzw. gibt es eine Downtime?

    Anwort vom Support:“Guten Tag Herr *******,

    das einzige was sein kann, dass die Schnittstelle nicht mehr richtig der „Hardware“-Schnittstellen zugewiesen sind….“

    Leider konnte ich das bisher noch nicht testen, habe ich mir aber für heute vorgenommen.
    Man muss laut Support über die Shell(Putty auf UTM) den Befehl „setitfhw.plx“ eingeben.

    Antworten
    • Hi,
      ich hab es gerade einmal getestet:
      -Snapshot der VM erstellt
      -Update durchgeführt
      -Reboot
      -Zuordnung NICs falsch und 1 NIC wird nicht erkannt
      -ifconfig zeigt die NIC mit der Mac Endung 9D nicht an
      -setitfhw.plx
      -ifconfig zeigt die NIC mit der Mac Endung 9D nicht an
      -Reboot
      -Problem besteht weiterhin unverändert
      -Snapshot wiederhergestellt
      Zumindest bei mir hat es nicht geholfen. Kann es jemand bestätigen?
      Gruß, Frank

      Antworten
  4. Hi! Ich habe das gleiche Problem auf zwei ESXi 6. Bei der einen Umgebung wurde nach dem Sophos-UTM-Update auf 9.408 eine NIC nicht mehr erkannt und beim anderen werden zwar alle NIC erkannt, aber ich bekomme nur noch teilweise eine Internetverbindung!
    Das Problem kann ich jederzeit nachstellen. Mit 9.407 ist noch alles ok und sobald ich auf 9.408 update, gibt es nur noch Probleme! Es lebe der Snapshot!
    Gruß, Chris

    Antworten
  5. Ich habe gestern Abend Zeit gefunden um das ganze nach Anleitung vom Sophos Support durchzuspielen. Leider ohne Erfolg. Die Info habe ich weiter gegeben und warte auf Rückmeldung.

    Antworten
  6. bei einer Installation die wir betreuen, hat PPTP/VPN nicht mehr funktioniert. Auch neu Anlegen der accounts hat nicht funktioniert. Bisher keine Lösung daher Snapshot der VM wiederhergestellt…

    Antworten
  7. Hallo, gibt es dazu Neuigkeiten? Ich dachte wir wären vom Problem verschont, aber als ich unsere geplante HA im Labor testen wollte und einen Reboot durchgeführt habe, ist mir aufgefallen, dass ich jetzt genau die hier beschriebenen Probleme habe. Auch die vorgeschlagenen Lösungen bringen bei mir leider nichts.

    Antworten
    • Das Problem ist auch mit 9.409 geblieben bei mir. Da ich nicht länger warten wollte habe ich meine beiden Sophos UTM neu installiert – aber sobald ich meine alte Config eingespielt habe, war das Problem wieder da.
      Eine finale Lösung brachte mir nur das einloggen über die Shell und dann alle (eth0, eth1, eth2, …) Netzwerkkarten manuell wieder einrichten/konfigurieren mit folgenden Befehlen:
      ifconfig eth1 IP netmask NETMASK-IP broadcast BROADCAST-IP
      route add GATEWAY-IP eth1
      route add default gw GATEWAY-IP

      Danach waren alle Netzwerkkarten wieder vorhanden und korrekt konfiguriert.
      Grüße, Chris

      Antworten
    • Hi Andy,

      wie auch schon Chris geschrieben hat, bleibt das Problem auch in der Version 9.409 bestehen. Ich habe ebenfalls neu installiert. Die von Chris beschriebenen Befehle habe ich nicht ausprobiert.

      Gruß, Frank

      Antworten
  8. Hi zusammen,

    ich habe mal eine neue UTM VM mit dem aktuellem Update aufgesetzt. Auch hier werden die Adapter durcheinander geworfen. Auch ohne ein Backup einzuspielen. Direkt in der Installationsroutine sehe ich, dass die erste NIC nicht eht0 ist, sonder eth2. Die VM hatte NICs vom Typ VMXNET 3.

    Ich habe jetzt nochmal eine neue mit E1000 Adaptern aufgesetzt. Hier ist erstmal alles in Ordnung.

    Hat einer von Euch zufällig auch die Probleme bei den VMXNET3 Adaptern oder auch bei den E1000?

    Gruß
    Andy

    Antworten
    • Moin! Ich hatte das Problem sowohl bei 2 Sophos mit VMXNET3 Adapter und dann hat ich es noch mit einer Sophos mit E1000 Adapter versucht und auch dort hatte ich das Problem. Einmal ESXi 5.5 und 2x ESXi 6.0.
      Grüße, Chris

      Antworten
  9. Kurzes Update:
    Ich habe das Problem nur bei den VMXNET3 Adaptern. Mit E1000 ging alles reibungslos, auch Updates und Reboots wurden ohne Weiteres überstanden.

    Ich habe das ganze auch auf dem aktuellsten ESXi Release laufen.

    Danke für Eure Tipps und Vorschläge

    Antworten
  10. Ich habe das Problem aktuell unter dem neuesten ESXi 6.5 Release und dem letzten UTM Release 9.506. Auch der 9.4er würfelt alles durcheinander. In VMware Workstation bestand dies Problem nicht.

    Kann das jemand bestätigen?

    Antworten

Schreibe einen Kommentar