Thread Info
  • State Suggested Answer
  • +3 person also asked this people also asked this
  • Locked Locked
  • Replies 47 replies
  • Answers 4 answers
  • Subscribers 49 subscribers
  • Views 245392 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Proxy funktioniert seit 9.500-9 nicht mehr bei https Traffic

ITSupport19

Hallo zusamment,

 

seit über 2 Wochen haben wir nun unsere Web Protection abgeschaltet und warten auf den Sophos Support. Wir sind nun an einem Punkt an dem wir nicht mehr warten können, daher erhoffe ich mir Hilfe von den Profis ;-).

 

Seit dem wir auf 9.500-009 aktualisiert haben, reagiert der Web Proxy bei https Traffic nicht mehr. Http Websites funktionieren einwandfrei.

Wir setzen den Web Proxy mittels Standard Mode und AD SSO ein. Wir nutzen ein einfaches Webzugriffs Prinzip - Keine Authentifizierung über die definierte AD Gruppe - Kein Internetzugriff.

Im Web Proxy Log findet sich leider auch nichts hilfreiches da die Zugriffe als allowed geloggt werden.

 

Laut Sophos Support ist das Problem als Bug in 9.5 bekannt und wird unter Bug ID NUTM-7960  geführt. Kann mir jemand verraten wie ich zu diesem Bug Artikel komme?

Hier mein aktueller nicht zufriedenstellender Status seitens Support:

Als aktuellen Workaround kann ich Ihnen nur anbieten AD SSO temporär aus zu schalten oder falls bei Ihnen nur vereinzelt Webseiten Probleme haben eine Exception zu erstellen die die Authentifizierung überspringt.
Hierzu gibt es bereits eine Bug ID NUTM-7960 die auf critical eingestuft ist. Wir warten auf die Entwicklung bezüglich eines temporären Workarounds und einen Fix.

Wenn es doch Kerberos ist, dann muss man doch etwas seitens AD unternehmen können oder?

 

VG

Philipp



This thread was automatically locked due to age.
  • 0

    Hallo Philipp,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    9.501 was just released.  Hopefully, it will fix your problem.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

     

    ich habe gerade die Version 9.501 installiert. Leider besteht das Problem mit den https Seiten nach wie vor. Aber nur bei einem Modell.

    Ich habe 3 verschiedene Modelle im Einsatz.

    Beim Modell ASG 120 funktioniert alles -- Firmwareversion 9.501-5

    Beim Model SG 135 funktioniert es nicht! -- Firmwareversion 9.501-5

    Beim Model SG 230 funktioniert alles -- Firmwareversion 9.501-5

    MFG Marc

     

    Hey Bob,

    i just installed Version 9.501 on diffent Models. The error still exists but only in the Model SG135. The other devices are working fine!

     

    Cheers Marc

  • 0 in reply to MarcMM

    I'm seeing other places where the Up2Date of 9.413 to 9.414/9.500/9.501 caused problems with SSO.

    In my case, the Fallback log indicated failed to run samba command on our AD server.  The fix was to unjoin/rejoin on the 'Single Sign-On' tab.  Break the join by using incorrect credentials and then use valid credentials to rejoin.  Did that resolve your issue?

    EDIT 2017-06-15: A recent post reported success by simply rejoining with valid credentials - neither deleting the Account in AD nor un-joining in the UTM was needed.  Also, note the command line trick.

    Cheers - Bob

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hi Bob,

     

    ich habe die Appliance aus der Domäne genommen und wieder frisch hinzugefügt.

    Leider können immer noch manche User keine https Seiten öffnen. Aber, das Problem hat bei mir nicht jeder Benutzer, nur manche!

    Im log steht folgendes wenn ich versuche google zu öffnen:

     

    2017:06:16-12:08:55 httpproxy[13986]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.127.108" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="85222" request="0xdb997e00" url="http://www.google.de/" referer="" error="" authtime="7" dnstime="0" cattime="0" avscantime="0" fullreqtime="2072" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions=""
    2017:06:16-12:08:55 httpproxy[13986]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.127.108" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="85222" request="0xdb997e00" url="http://www.google.de/" referer="" error="" authtime="16" dnstime="0" cattime="0" avscantime="0" fullreqtime="999" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions=""
    2017:06:16-12:08:55 httpproxy[13986]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.127.108" dstip="172.217.23.163" user="XXX" group="" ad_domain="Domain" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="230" request="0xdb997e00" url="http://www.google.de/" referer="" error="" authtime="97" dnstime="127" cattime="176" avscantime="4089" fullreqtime="73857" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions="" category="145" reputation="neutral" categoryname="Search Engines" sandbox="-" content-type="text/html"
    2017:06:16-12:08:55 httpproxy[13986]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.127.108" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="85222" request="0xc5aa000" url="https://www.google.de/" referer="" error="" authtime="3" dnstime="0" cattime="0" avscantime="0" fullreqtime="1961" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions=""
    2017:06:16-12:08:55 httpproxy[13986]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.127.108" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="85222" request="0xc5aa000" url="https://www.google.de/" referer="" error="" authtime="17" dnstime="0" cattime="0" avscantime="0" fullreqtime="1132" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions=""
    2017:06:16-12:09:05 httpproxy[13986]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.127.108" dstip="172.217.23.163" user="XXX" group="" ad_domain="Domain" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xc5aa000" url="https://www.google.de/" referer="" error="" authtime="99" dnstime="6" cattime="194" avscantime="0" fullreqtime="10031273" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions="" category="145" reputation="neutral" categoryname="Search Engines"
    2017:06:16-12:09:05 httpproxy[13986]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.127.108" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="85222" request="0xa16ea00" url="https://www.google.de/" referer="" error="" authtime="3" dnstime="0" cattime="0" avscantime="0" fullreqtime="2148" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions=""
    2017:06:16-12:09:05 httpproxy[13986]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.127.108" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="85222" request="0xa16ea00" url="https://www.google.de/" referer="" error="" authtime="24" dnstime="0" cattime="0" avscantime="0" fullreqtime="1627" device="0" auth="2" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" exceptions=""

     

    Grüße Marc

  • 0 in reply to MarcMM

    statuscode="407" means you're not allowed to make the access.  Two possible solutions.  If the Default Profile is configured in Standard mode, be sure that the clients' browsers are configured with the FQDN of the UTM, not its numeric IP - that causes the UTM to query AD using Kerberos instead of NTLM.  For things to work reliably, enable SMBv1 on your server - if you've applied the patches and updates from Microsoft, there's really no danger.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

     

    ich habe es gerade versucht beim Client den FQDN als Proxy einzutragen. Wenn ich das tue kommt sofort "Diese Seite ist zur Zeit nicht erreichbar"

    Ich werde heute nach Feierabend die UTM mal erneut in die Domäne joinen und testen ob es danach funktioniert!

     

    Grüße Marc

  • 0 in reply to MarcMM

    So, hab alles Versucht. Leider keinen erfolg. Ich habe die UTM neu in die Domäne genommen. Ich habe den FQDN als Proxynamen angegeben und ich habe smbv1 auf dem DC aktiviert.

    Leider bekomme ich im Firewall Log bei jeder Seite (egal ob http oder https) einen Status 407. 

    Hat jemand noch eine Idee?

     

    Grüße Marc

  • 0 in reply to MarcMM

    Hallo,

     

    klingt nun suspekt: funktioniert denn alles und nur die 407 Meldungen kommen? 

     

    Diese Frage entspringt folgender Tatsache: HTTP Status Code 407 ist im Proxy Log eine normale Meldung. Diese erscheint seit 9.3X in jedem HTTP Log. (Überprüf bitte einmal die anderen Appliances, dort müsstest du auch HTTP 407 finden). 

    In deinem Log existieren nämlich auch User und HTTP 200 Codes. 

     

    Ich würde hier auf anderen Wege erneut schauen. Wenn das nur manche User betrifft und nur manchmal. 

    Load Balancing? Wie zeigt sich der Fehler genau? 

     

    Gruß

     

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hi Marc,

    407 bedeutet Proxy Authentication Required. Das kommt häufig wenn AD SSO konfiguriert ist und irgendwelche Apps nicht mit Authentifizierung klar kommen. Im Idealfall sollte kein 407 auftreten.

    https://httpstatuses.com/407

    vg

    mod

Unfiltered HTML