Thread Info
  • State Verified Answer
  • +7 person also asked this people also asked this
  • Locked Locked
  • Replies 31 replies
  • Answers 1 answer
  • Subscribers 13 subscribers
  • Views 26366 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Seit Update auf 9.602-3 Probleme mit Webfilter (HTTPS)

Stefan D

Hallo Zusammen,

 

seit dem Update auf 9.602-3 haben wir bei ungefähr 20 Sophos Firewalls extreme Probleme mit dem Webfilter.

Leider sind die Probleme nicht überall gleich, zum Teil werden die Aufrufe aktiv geblockt (reason="range") oder die Clients bekommen im Browser ein ERR_CONNECTION_REFUSED und das Log bleibt leer.

Scheinbar ist das Problem nur bei HTTPs Webseiten, daher ist unser aktueller Workaround "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" aktivieren oder den Proxy ausschalten.

 

Habt Ihr ähnliche Probleme oder zufällig eine gute Idee?



This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to JoergRiether

    Hallo Jörg,

    habe hierzu 3 Fälle beim Sophos Support liegen, sind momentan an der Analyse der Dumps.

    Br McWolle

    Sophos Certified Engineer (SCE)
    Sophos Certified Architect (SCA)

  • 0 in reply to McWolle

    Ich habe den Fehler jetzt auch wieder. Zum Glück nur auf einem Testgerät. Was mir noch aufgefallen ist, dass das Firewalllog Einträge vorweist, wenn Webseiten fehlerhaft aufgerufen werden

    192.168.100.215 ist der Client. Warum wird 443 blockiert, wenn ich durch den Proxy gehe?? Vielleicht hilft das bei der Analyse des Problems.

  • 0 in reply to McWolle

    Scheinbar liegt unser auch gerade da.

    Bin mal gespannt, ob und was dabei rum kommt.

  • 0 in reply to ThorstenSult

    Hallo Thorsten,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    When you look at the corresponding lines in the full Firewall log, do you see fwrule="0"?  If so, then  try disabling 'Block invalid packets' in 'Protocol Handling' on the 'Advanced' tab in 'Network Protection >> Firewall'. Any luck with that?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hi, thanks for the suggestion. I had already tried that.

  • 0 in reply to ThorstenSult

    Gibt es hier inzwischen Neuigkeiten? Betrifft es ausschließlich https im transparent mode? Hat jemand einen Workaround entdeckt, welcher nicht bedeutet, sein gesamtes Sicherheitsmodell über Bord zu werfen?

  • 0 in reply to JoergRiether

    Soweit ich weiß, gibt es noch keinen Lösungsansatz. Das einzige, was Du machen kannst ist skip https im transparenten modus oder Du stellst auf Standard-Modus um. Im Std-Modus funktioniert das https-scanning.

  • 0 in reply to JoergRiether

    Von Sophos selbst gibt es aktuell nur eine Rückmeldung, dass das Thema noch in der Entwicklung sei. Ende dieser Woche soll es erst wieder eine Info geben, ob und wie eine Lösung dazu kommt.

    Als Workaround setzen wir inwzischen eine zusätzliche UTM auf Version 9.510 ein und haben hier den Standardproxy aktiviert. Die Clients erhalten den neuen Proxy per Gruppenrichtlinie. Bei uns war zusätzlich das Gedankenspiel eine Policy-Route anzulegen, sämtlichen HTTPS-Traffic auf die 2. UTM zu schicken. Dies würde aber bei uns einen hohen Aufwand an zusätzlichen Policy-Routes hinterherziehen, da sämtliche RED-Tunnel mit HTTP-Geräten hinten an, entsprechend manuell geroutet werden müssten.

  • 0 in reply to eMSchma

    Schade, dass der Fehler mit 9.603 nicht behoben wird... aber vielleicht kommt ja noch was...

  • +5 in reply to ThorstenSult

    Hallo zusammen,

     

    ich habe mittlerweile eine Antwort vom Sophos Support bekommen, und es liegt zumindest bei mir am SPX Port bzw. Einstellung. 

    lt. Sophos liegt es an einer Iptables Rule für diese SPX Port.

     

    Damit wurde das Problem bie mir gelöst.  

Unfiltered HTML