This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Seit Update auf 9.602-3 Probleme mit Webfilter (HTTPS)

Hallo Zusammen,

 

seit dem Update auf 9.602-3 haben wir bei ungefähr 20 Sophos Firewalls extreme Probleme mit dem Webfilter.

Leider sind die Probleme nicht überall gleich, zum Teil werden die Aufrufe aktiv geblockt (reason="range") oder die Clients bekommen im Browser ein ERR_CONNECTION_REFUSED und das Log bleibt leer.

Scheinbar ist das Problem nur bei HTTPs Webseiten, daher ist unser aktueller Workaround "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" aktivieren oder den Proxy ausschalten.

 

Habt Ihr ähnliche Probleme oder zufällig eine gute Idee?



This thread was automatically locked due to age.
Parents Reply Children
  • Hallo zusammen,

     

    ich habe mittlerweile eine Antwort vom Sophos Support bekommen, und es liegt zumindest bei mir am SPX Port bzw. Einstellung. 

    lt. Sophos liegt es an einer Iptables Rule für diese SPX Port.

     

    Damit wurde das Problem bie mir gelöst.  

  • Ich hab von 443 auf 10444 umgestellt und der Webfilter funktioniert. Danke!

  • Super schön zu hören, ist nur etwas doof da ältere SPX Mails / Links dann nicht funktionieren und dieser HighPort bei den meisten Kunden mit Firewall nciht erreichbar ist.

    Sophos arbeitet aber an einer Lösung....nur das so etwas passiert ist schon ziemlich merkwürdig.

    Das ist ein Fehler der Priorisierung....

     

    Gruß

    Stefan

  • Ja, da muss man erstmal drauf kommen. Das erklärt auch, warum das Phanomen nur vereinzelnt auftritt. Danke nochmal!

  • you made my day[Y]

     

    Trinkst Du lieber Bier oder Wein?

     

    Seit Tagen suche ich verzweifelt nach dem Fehler, verd*![li]

     

    - Sophos UTM virtual (HyperV)

    - Version 9.603-1

    - Webfilter im transparenten Modus

    - HTTPS URL Scanning bricht nach kurzer Zeit ab, Seiten können nicht geladen werden

    - HTTP Webfilter funktioniert tadellos

    - Portping auf 443 externe Seiten zeigt auch sofort Abbruch (vorher 1ms, da die UTM die Anfragen ja abfängt), der transparente Proxy antwortet also einfach nicht mehr

    - hatte alles mögliche getestet, IPS aus, TCP/UDP flooding aus etc., es half nichts

    - Check andere Installation: HTTPS URL Filtering läuft eigentlich OK

    - Check SPX-Portal: teilweise bei anderen noch nicht aktiviert, oder andere Ports, bei mir auf 443 (!)

    - Port geändert -> es funktioniert[B]

    - Check abhörender Adapter: ist nur auf eine bestimmte externe IP gebunden, dennoch Fehler

     

    Also was bleibt? Viel Zeitaufwand, ein wirklich blöder Fehler und die Erkenntnis, dass transparente Webfilterung parallel mit dem SPX-Portal ein Ausschlusskriterium ist.

     

    SPX Portal auf nicht-Standardports macht für mich keinen Sinn, das gibt auf Dauer nur Ärger und nervige Rückfragen (geht mal, geht mal nicht, je nachdem, wer da von extern wie drauf will).

     

    Wird das Sophos jemals fixen???

     

    Dennoch erst mal ein großes Dankeschön für die Info hier[^]

  • Dr No said:

     ...

    Wird das Sophos jemals fixen???

    ...

    Ja - Zumindest ist mein Ticket beim Sophossupport noch offen mit der Rückmeldung, dass das Problem in der Entwicklung ist und dort weiter bearbeitet wird.

  • Habe  heute eine Antwort erhalten.

     

    Your issue with the above reference number has been assigned to a release. 

    Current plans are to include this fix as part of UTM 9.6 MR4. At this time we do not currently have a confirmed release date, however once we have more details on when this release will be made available we will relay this information to you
     
     
     
     
  • Hallo Stefan,

    ich kann mir nicht erklären warum Sophos hier nicht darauf hinweist dass das eigentlichen Problem die Bindung an alle Schnittstellen / IPs ist. In dem Screenshot oben kann man erkennen das bei Listen Address "any" eingetragen ist. Das ist meiner Meinung nach ein Design Fehler. Wenn du hier eine dedizierte Schnittstelle / IP einträgst auf der, der Port 443 noch nicht verwendet wird, sollte das auch ohne alternativen Port funktionieren. Typischerweise eine IP die auf auf dem WAN Interface liegt.

    vg

    mod

     

  • Hallo,

     

    bei uns steht bei Listen Address nur eine IP-Adresse (die der WAN-Schnittstelle). Dennoch haben wir das gleiche Problem.

    Hat schon jemand 9.604-2 gestestet? Ist das Problem noch vorhanden?
    Edit: Habe soeben 9.604-2 installiert. Das Problemist unverädert, obwohl nach vorheriger Zusage seitens des Supports mit dieser Version das Problem behoben sein soll.

    Habe dann noch mal den Vorschlag von mod2402 aufgegriffen:
    Listen Adress auf die WAN-Schnittstelle eingestellt + Allowed Network auf Internet eigestellt --> Problem unverändert.

    Gruß

    Micha