Snapchat - Host Not Found

Am puzzled but this Sophos UTM error.  Was hoping someone might be able to assist.

I can access Snapchat from my iPhone via LTE cellular without issue.  However I'm unable to access from my iPhone via wi-fi when attempting to connect from behind my Sophos UTM with HTTPS Decrypt & Scan enabled.

Even when I create a web filtering exception for Snapchat, I still receiving this error repeatedly.  Seems to be trying to access a www.feelinsonice.com URL that it cannot resolve?  It keeps returning a BLOCK and "Host Not Found":

2015:07:05-21:44:27 oscar httpproxy[15843]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.0.43" dstip="" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2623" request="0xdef78000" url="www.feelinsonice.com/" referer="" error="Host not found" authtime="0" dnstime="226" cattime="0" avscantime="0" fullreqtime="231808" device="0" auth="0" ua="" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size,patience"

2015:07:05-21:44:27 oscar httpproxy[15843]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.0.43" dstip="74.6.34.30" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="186" request="0xdeeb3800" url="data.flurry.com/" referer="" error="" authtime="0" dnstime="34189" cattime="0" avscantime="0" fullreqtime="138177" device="0" auth="0" ua="" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size,patience"

2015:07:05-21:44:27 oscar httpproxy[15843]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.0.43" dstip="74.125.30.141" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3849" request="0xe0086800" url="sc-analytics.appspot.com/" referer="" error="" authtime="0" dnstime="334" cattime="0" avscantime="0" fullreqtime="139336" device="0" auth="0" ua="" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size,patience"

2015:07:05-21:44:30 oscar httpproxy[15843]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.0.43" dstip="17.167.194.205" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4981" request="0xbf95000" url="gsp10-ssl.apple.com/" referer="" error="" authtime="0" dnstime="115864" cattime="0" avscantime="0" fullreqtime="363084" device="0" auth="0" ua="" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,fileextension"
  • www.feelinsonice.com is a non-existant resource as far as DNS is concerned.  No A record for it.

    What's missing in your log snippets are any request to snapchat.com.
  • I am able to go access www.snapchat.com without issue.  If I uninstall the app, then reinstall it, it launches fines, prompts me to login and then closes immediately.  Only if I change HTTPS Scanning in Sophos UTM to URL Filtering only does this problem go away.
  • Have a guest WiFi situation with a client of mine that I can't seem to find an answer to.

    When customers on the guest WiFi try to use SnapChat they can see images and can get text but cannot send.  The category is not blocked and this is what appears in the log at the attempts.


    2015:07:06-09:12:52 remote httpproxy[23068]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="172.16.25.50" dstip="" user="" ad_domain="" statuscode="502" cached="0" profile="REF_HttProContaInterNetwo (Company Guest)" filteraction="REF_HttCffAllprGuestFilte (Guest Filter)" size="0" request="0xe0214800" url="www.feelinsonice.com/" referer="" error="Host not found" authtime="0" dnstime="224" cattime="204" avscantime="0" fullreqtime="2823161" device="0" auth="0" ua="" exceptions="" category="106" reputation="neutral" categoryname="Chat"


    This https://www.feelinsonice.com/ does not resolve to anything, but if I turn off the Web Filtering on the GWIFI it works just fine.  Any clues on how to defeat this DNS issue?  I have tried adding the domain to the skip list with no success.
  • What Scott's saying is that everything looks normal in what you've presented, so there's no way to figure out what might be causing the problem.  Clearly, it's something other than the feelinsonice issue.

    Cheers - Bob
  • In reply to javier@jphs.net:

    tried adding the domain to the skip list with no success

    The skiplists require IPs, not domain names.  I wonder what would happen if you created a Host definition for 'www.feelinsonice.com', assigned an IP and added that to  the skiplist?  Let us know your results if you experiment with that with valid and invalid IPs.


    Cheers
  • Two threads started within less than an hour, two different users, same issue.  Threads merged.
  • Thanks for merging.  Yes, this is the exact same issue I am seeing.  There's no reference to a snapchat.com.  Although I can access www.snapchat.com without issue with HTTPS filtering on or off.

    Will be curious what outcome is of Javier's test.  this didn't work for me but possible I did that incorrectly.
  • No guarentees here, but I'll try to borrow an Evil Apple Empire device to try to replicate the issue and see what's going on.  Maybe Bob can get to it sooner as he drinks the Koolaid and owns one.  ;P
  • No such issue here with an iPhone 5 on 8.3.

    Cheers - Bob
  • I will be onsite later today and give it a whirl
  • OK, please let us know.
  • In reply to Scott_Klassen:

    Ok, adding this to the skip list seems to be working for now!
  • In reply to javier@jphs.net:

    False alarm.  Seems like I was able to send a few messages then nada.  The errors appeared in the log the same except "Host not responding" with either a real IP or dummy.

    Also tried creating an exception rule as shown in the attachment.  Seemed to work for a bit then nothing again.  Placing the phone as a host in the skip list works perfectly.
  • Two things.  A quick google shows that feelinsonice is some weird snapchat thing, there are multiple domains/hosts.

    That being said, I suspect that your host not found is not the issue.  Please post more full logs.
  • In reply to Michael Dunn:

    I'm struggling with the same issue here. My users can switch to using their cell phone data instead of wifi (behind UTM9) and SnapChat works fine. If they use wifi behind the UTM9, it tries to reach this non-resolving FQDN of  www.feelinsonice.com and UTM9 blocks it with the "host not found" message.

    I really have no idea what is going on here. Subscribing to thread in hopes that someone figures it out. :-)

    - Scott