Thread Info
  • State Suggested Answer
  • +3 person also asked this people also asked this
  • Locked Locked
  • Replies 47 replies
  • Answers 4 answers
  • Subscribers 49 subscribers
  • Views 245413 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Proxy funktioniert seit 9.500-9 nicht mehr bei https Traffic

ITSupport19

Hallo zusamment,

 

seit über 2 Wochen haben wir nun unsere Web Protection abgeschaltet und warten auf den Sophos Support. Wir sind nun an einem Punkt an dem wir nicht mehr warten können, daher erhoffe ich mir Hilfe von den Profis ;-).

 

Seit dem wir auf 9.500-009 aktualisiert haben, reagiert der Web Proxy bei https Traffic nicht mehr. Http Websites funktionieren einwandfrei.

Wir setzen den Web Proxy mittels Standard Mode und AD SSO ein. Wir nutzen ein einfaches Webzugriffs Prinzip - Keine Authentifizierung über die definierte AD Gruppe - Kein Internetzugriff.

Im Web Proxy Log findet sich leider auch nichts hilfreiches da die Zugriffe als allowed geloggt werden.

 

Laut Sophos Support ist das Problem als Bug in 9.5 bekannt und wird unter Bug ID NUTM-7960  geführt. Kann mir jemand verraten wie ich zu diesem Bug Artikel komme?

Hier mein aktueller nicht zufriedenstellender Status seitens Support:

Als aktuellen Workaround kann ich Ihnen nur anbieten AD SSO temporär aus zu schalten oder falls bei Ihnen nur vereinzelt Webseiten Probleme haben eine Exception zu erstellen die die Authentifizierung überspringt.
Hierzu gibt es bereits eine Bug ID NUTM-7960 die auf critical eingestuft ist. Wir warten auf die Entwicklung bezüglich eines temporären Workarounds und einen Fix.

Wenn es doch Kerberos ist, dann muss man doch etwas seitens AD unternehmen können oder?

 

VG

Philipp



This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Uwe Ziegler

    Hallo

    Sophos Support hat den RPM Fix auf unserer Anlage gemacht und diese RPM installiert, damit ist seit Samstag die Authentifizierung am AD wieder ok. Hatte aber fast 2 Wochen gedauert, bis dass man hier aktiv wurde (seit der Ankündigung dass man einen Fix per RPM einspielt)

    ep-httpproxy-9.50-396.g0618cbe.rb3

  • 0 in reply to Peter Speck

    Hallo zusammen,

    @ Phillip:
    Ich hab das gleiche Problem..! Auch bei mir werden https Seiten geblockt seit Update auf 9.500.

    Da hiervon sicher auch noch andere betroffen sind, hier mein aktueller Stand:

    Heute morgen hatte ich eine Remot-Sitzung mit dem Sophos Support weil es dafür angeblich ein Patch gibt.
    Es wurde das ep-mdw-9.50-865.g3beb74b.i686.rpm eingespielt.

    Leider hat es das Problem auch nicht gelöst.
    Mir wurde aber gesagt das in den kommenden Tagen das Update 9.502 zur Verfügung gestellt wird.
    Ich soll dieses einspielen und dann noch einmal die Authentifizierung testen.
    Bis dahin besteht nur die Möglichkeit auf den Transparenzmodus auszuweichen oder in den Filteroptionen der Web Protection, eine Ausnahme für alle https Webseiten anzulegen.
    Diese Ausnahme sollte dann auf die Authentifizierung verzichten.

    Viele Grüße
    Bruno

  • 0 in reply to Bruno Schley

    FYI

     

    community.sophos.com/.../utm-9-502-soft-release

    __________________________________________________________________________________________________________________

  • 0 in reply to Bruno Schley

    Leider hat der Patch auf 9.502-4 bei uns nicht geholfen. Wir sind mit dem Support immernoch dran.

     

    Rejoin Domain wurde gemacht und Test Client wurde neu gestartet. HTTPS bleibt unerreichbar.

    Die Ausnahme finde ich nicht akzeptabel, da der meiste Traffic bereits auf https läuft und somit Anwender die garnicht ins Internet dürfen ins Internet können.

    Transparenzmodus habe ich noch nicht probiert da ich mit vielen Problemen bei Standverbindung im Serverbereich rechne.

  • 0 in reply to ITSupport19

    Hallo,

    auch bei uns gibt es Probleme seit dem Update auf 9.502-4. Single Sign-On funktioniert im Internet Explorer nicht mehr. Zudem ist das Aufrufen von Webseiten extrem langsam. Wir nutzten außerdem intern den Teamviewer, der deit dem Sophos Update ca. 10-15 Minuten zum Verbinden benötigt.

    Die UTM haben wir bereits neu in die Domäne aufgenommen und den Webfilter deaktviert, jedoch keine Besserung.

    Hat irgendjemand Lösungsansätze von Sophos erhalten? Wir warten noch auf Antwort...

  • 0 in reply to beckerantriebe

    Hallo beckerantriebe,

     

    ich habe bei mehreren Kunden auf die 9.502-4 upgedated. Die bekannten Probleme scheinen bei allen gefixt zu sein. Wenn der Webfillter deaktiviert ist läuft der Traffic über die Firewall. Kann also nichts damit zu tun haben.

    Ich habe aber bei einem Kunden das AD SSO Problem auch bei 9.502 festgestellt. Nach intensiver Fehlersuche hat sich herausgestellt das der auf den Clients lokal installierte Kaspersky Scanner die Probleme verursacht hat. Probiere bitte mal den lokalen Virenscanner zu deaktivieren.

    vg

    mod

  • 0 in reply to mod2402

    Hallo Mod,

    vielen Dank für die Anwort. Wir haben bereits auf 9.502-4 geupdated. Den Virenschutz habe ich mal deaktiviert (Sophos Endpoint Protection), jedoch tritt des dass SSO Problem weiterhin auf. Hast du noch eine Idee?

    VG Julia

  • 0 in reply to beckerantriebe

    Hallo Julia,

    das müsste man mal genauer analysieren. Was sagt der Authentifizierungslog wenn du die AD Gruppenmitgliedschaften manuell syncronisierst?

    Hier kann auch ein inkonsitentes AD oder auch eine Zeitdifferenz eine Rolle spielen. Hast du mal überprüft ob die Zeit bei allen Komponenten (DC, Client, UTM) syncron ist?

    vg

    mod

  • 0 in reply to mod2402

    Also ich habs eben auch mal getestet.

    Es geht jetzt wieder bei uns, mal schauen wie lange. Letztes mal hat es ziemlich genau 24 Stunden funktioniert!
    Ich habe die UTM neu in die Domäne genommen und ich habe auch meine AD Gruppen in die UTM neu hinzugefügt!

     

    Im Fallback log stand:

    [daemon:err] winbindd[25588]: cm_prepare_connection: mutex grab failed for server.domain <--diesen Server gibt es, er ist auch ein DC aber nicht in der UTM eingetragen.

    Nachdem ich die Gruppen neu hinzugefügt hatte und den Webfilter wieder aktiviert habe stand im Log:

    [daemon:err] winbindd[26586]: [2017/07/25 10:25:54.608544, 0] ../source3/winbindd/winbindd_cache.c:3171(initialize_winbindd_cache)
    [daemon:err] winbindd[26586]: initialize_winbindd_cache: clearing cache and re-creating with version number 2
    [daemon:err] winbindd[26586]: [2017/07/25 10:25:54.612439, 0] ../lib/util/become_daemon.c:124(daemon_ready)
    [daemon:err] winbindd[26586]: STATUS=daemon 'winbindd' finished starting up and ready to serve connections
     
    Also, läuft gerade alles...
     
    Model SG230
    Firmware: 9.502-4
     
    Grüße
     
     
     
  • 0 in reply to MarcMM

    Als hätte ich es mir nicht schon gedacht, nach ca. 5 Stunden läuft es nicht mehr!

    Log ist voll mit Status 407 und -_>

    id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="plain_write_vector" file="epoll.c" line="1091" message="Write error on the epoll handler 264 (Connection refused)"
    httpproxy[23155]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8fffe00" function="send_winbindd_request" file="auth_adir.c" line="269" message="write: Connection refused"
Unfiltered HTML