Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 4 replies
  • Subscribers 37 subscribers
  • Views 2758 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"Secure Connection Failures" nach Update 9.510 auf 9.602-3 an Clients hinter Transparentem Proxy

eMSchma

Hallo Community,

wir haben am Wochenende unsere SG550 im HA-Verbund geupdatet. Nun erhalten wir ständig Fehlermeldungen in den Webbrowsern, dass keine sichere Verbindung aufgebaut werden konnte.

Der einzige Workaround der funktioniert ist, wenn ich meinen Client unter MISC in die "Transparent Mode Skiplist" mit aufnehme. Aber dann brauche ich auch keinen Transparenten Proxy mehr.

Das Problem stellt sich ähnlich wie auch im in diesem Artikel dar: https://community.sophos.com/products/unified-threat-management/f/general-discussion/82867/secure-connection-failures-and-fragment-reassembly-failures#pi2353filter=all&pi2353scroll=false

Der Workaround im o.g. Artikel hilft mir jedoch auch nicht weiter. Zudem sieht meine default.conf etwas anders aus:

interface "[<INTERFACE>]" {
        timeout 20;
        retry 60;
        script "/usr/sbin/dhcp_updown.plx";
        request subnet-mask, broadcast-address, time-offset,
           routers, domain-name, domain-name-servers, host-name,
           domain-search, nis-domain, nis-servers,
           ntp-servers[<INTERFACE_MTU>];
        [<HOSTNAME>]
}

 

Mein Proxylog spuckt mir immer wieder diese Meldung aus:

2019:05:20-13:05:20 utm-2 httpproxy[19792]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.x.x.x" dstip="216.58.205.238" user="" group="" ad_domain="" statuscode="416" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xd070e700" url="redirector.gvt1.com/.../1127_all_sthset.crx3" referer="" error="" authtime="0" dnstime="0" aptptime="95" cattime="83" avscantime="0" fullreqtime="3087878" device="0" auth="0" ua="Microsoft BITS/7.5" exceptions="" category="178" reputation="trusted" categoryname="Internet Services" content-type="text/html" application="googplay" app-id="816" reason="range"

 

Ich verstehe nicht was reason="range" bedeutet.

Wir haben das Update via up2date durchgeführt. Erst von version 510 auf 600 mit neustart der beiden SGs und danach via up2date schrittweise erst auf 601 und dann 602 geupdated. Hat hier jeman änliche Erfahrungen?

Ein Supportticket bei Sophos haben wir bereits eingereicht.

 



This thread was automatically locked due to age.
Parents Reply
  • 0 in reply to DKKDG

    Hi,

    ja das hilft mir zumindest das Problem mit den "Fehlern" Range, allerdings bleibt bei mir immer noch das Problem, dass die Websites nicht korrekt geöffnet und oder geladen werden. Per Wireshark habe ich inzwischen fesgestellt, dass ich beim öffnen der Websites einen Haufen an TCP-Retransmissions habe, was darauf hindeutet, dass die TCP-Verbindung anscheinend nicht korrekt hergestellt werden kann. Die Datenpakete sind hierbei auch ungewönlich klein bei ca. 528 Bits. Rufe ich die Website heise.de über einen anderen Internetanschluss auf, dann habe ich normale Datenpakete welche bei über 1000 liegen. Es scheint so, als wenn der Proxy die Datenpakete abschneidet.

Children
Unfiltered HTML