Seit Update auf 9.602-3 Probleme mit Webfilter (HTTPS)

Hallo Zusammen,

 

seit dem Update auf 9.602-3 haben wir bei ungefähr 20 Sophos Firewalls extreme Probleme mit dem Webfilter.

Leider sind die Probleme nicht überall gleich, zum Teil werden die Aufrufe aktiv geblockt (reason="range") oder die Clients bekommen im Browser ein ERR_CONNECTION_REFUSED und das Log bleibt leer.

Scheinbar ist das Problem nur bei HTTPs Webseiten, daher ist unser aktueller Workaround "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" aktivieren oder den Proxy ausschalten.

 

Habt Ihr ähnliche Probleme oder zufällig eine gute Idee?

  • Hi,

     

    ich hatte das Problem heute morgen bei einem Kunde. Dort habe ich die UTM einmal neu gestartet. Danach funktionierte es wieder.

  • In reply to ThorstenSult:

    Danke für deine Hilfe,

    leider bringt der neustart aber nichts, das Problem bleibt bei allen Systemen wie vorher.

  • Jooooo, jetzt habe ich den Fehler auch bei einem Kunden. Gleiche Konstellation. Beim Start des Webfilters folgendes im Log:

     
    Teilweise folgende Einträge im Log:
     
    function="http_parser_context_execute" file="http_parser_context.c" line="97" message="Unable to parse a http message of 282 bytes (HPE_INVALID_METHOD: invalid HTTP method)"
     
     
    und...
     
     
    function="dns_expire" file="dns.c" line="197" message="dns query 42ae (www.google.de) timed out, retransmitting (retry 1)"
     
     
  • Hallo zusammen,

    einfach mal hier reinlesen.
    https://community.sophos.com/products/unified-threat-management/f/web-protection-web-filtering-application-visibility-control/109090/partial-content-range-rejected-by-proxy-after-upgrading-to-9-6#pi2353=1

    Da wird auch über den Range error gesprochen und von einem Sophos Mitarbeiter beantwortet.

    Vielleicht trifft dies bei euch auch zu.

    Gruß
    DKKDG

  • In reply to DKKDG:

    Leider nichts zu machen....

    Scheinbar ist die WAF aber auch noch betroffen, hier stürzt der AV ab und die Connection wird gedroppt.

    2019:05:09-15:05:10 utm01 httpd[31881]: [avscan:error] [pid 31881:tid 3902708592] [client 80.xxxxxx:51774] [31881] sending trickle failed: 103
    2019:05:09-15:05:10 utm01 httpd[31881]: [avscan:warn] [pid 31881:tid 3902708592] [client 80.xxxxx:51774] [31881] client requesting /mapi/emsmdb/ has disconnected
    2019:05:09-15:05:10 utm01 httpd[31881]: [avscan:error] [pid 31881:tid 3902708592] [client 80.xxxxxx:51774] [31881] mod_avscan_check_file_single_part() called with parameter filename=NULL
    2019:05:09-15:05:10 utm01 httpd[31881]: [log_config:warn] [pid 31881:tid 3902708592] (32)Broken pipe: [client 80.xxxxx:51774] AH00646: Error writing to |/bin/logger -p local1.info -t httpd

     

    Kann alles ein komischer Zufall sein, ist aber faktisch alles erst nach dem Update....

  • In reply to ThorstenSult:

    Ich hab mal weiter rumexperimentiert. Das scheint zu klappen:

     

    Offenbar hatte der Cache ne Macke!

  • Frage an den OP: Hilft die zuletzt gepostete Lösung (Proxy Cache löschen) bei den von Dir erwähnten 20 UTMs?

  • In reply to JoergRiether:

    Leider nicht :(

    Haben aktuell auch ein Ticket bei ALSO (unser Sophos Distributor) geöffnet, evtl. bringt das noch was.

    @ThorstenSult  Trozdem schonmal vielen Dank für deinen Einsatz!

  • In reply to Stefan D:

    Grüß Herrn S. oder L. schön und halt uns auf dem Laufenden...

  • In reply to ThorstenSult:

    Hallo in die Runde, gibt es Neuigkeiten? Viele Grüße, Jörg

  • In reply to JoergRiether:

    Hallo Jörg,

    habe hierzu 3 Fälle beim Sophos Support liegen, sind momentan an der Analyse der Dumps.

  • In reply to McWolle:

    Ich habe den Fehler jetzt auch wieder. Zum Glück nur auf einem Testgerät. Was mir noch aufgefallen ist, dass das Firewalllog Einträge vorweist, wenn Webseiten fehlerhaft aufgerufen werden

    192.168.100.215 ist der Client. Warum wird 443 blockiert, wenn ich durch den Proxy gehe?? Vielleicht hilft das bei der Analyse des Problems.

  • In reply to McWolle:

    Scheinbar liegt unser auch gerade da.

    Bin mal gespannt, ob und was dabei rum kommt.

  • Hallo Stefan,

     

    wir haben ein ganz ähnliches Problem, bei uns jedoch kommt die Meldung in den Browsern, dass keine sichere Verbindung aufgebaut werden kann.

     

    Beim Packetsniffing am Client sehe ich bei mir, dass ständig TCP retransmissions durchgeführt werden und die Paketgrößen ungewöhnlich klein sind. Stellt sich das bei  dir ähnlich dar?

     

    EDIT: Zudem habe ich den Verdacht dass es bei uns zusätzlich mit der Auslastung zu tun hat. Heute früh vor dem großen Ansturm funktionierte das Websurfen auf https-Seiten, im laufe der späteren Stunden kam es wieder zum entsprechenden Ausfall, ich habe meine Problematik hier auch nochmals beschrieben: community.sophos.com/.../secure-connection-failures-nach-update-9-510-auf-9-602-3-an-clients-hinter-transparentem-proxy

  • In reply to ThorstenSult:

    Hallo Thorsten,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    When you look at the corresponding lines in the full Firewall log, do you see fwrule="0"?  If so, then  try disabling 'Block invalid packets' in 'Protocol Handling' on the 'Advanced' tab in 'Network Protection >> Firewall'. Any luck with that?

    MfG - Bob (Bitte auf Deutsch weiterhin.)