Thread Info
  • State Not Answered
  • Replies 12 replies
  • Subscribers 0 subscribers
  • Views 4595 views
  • Users 0 members are here
Options
Suggested

[9.000][ANSWERED] Client no connection to server wehen updating

Albeck
Hi,

I just upgraded an ASG to Version 9 and now wanted to test the Endpoint protection.

I enabled it, downloaded the Installer (full) but during the install at the time "registring server" (or something) it does nothing, waits the 5 minits countdown and then continues.


After the installation, the endpoint client doen't show up at the utm and when trying to manually update then the error "no connection to servers" shows up.

In the UTM Webfiltering there is under exceptions the Sophos LiveConnect is enabled. Besides I'm using proxy profiles but most of them use the default webfilter profile.

I have upgraded form 8.305. These are the loglines in the UTM Endpoint:

2012:06:29-10:40:29 ALBECK-UTM-SRV epsecd[4720]: I Epsec::Utils::Logging::_log:59() => id="4202" severity="info" sys="System" sub="epsecd" name="Run initialization database"
2012:06:29-10:40:32 ALBECK-UTM-SRV epsecd[4720]: I Epsec::Utils::Logging::_log:59() => id="4247" severity="info" sys="System" sub="epsecd" name="Sending data to Sophos LiveConnect to sync UTM with the Broker"
2012:06:29-11:05:08 ALBECK-UTM-SRV epsecd[4781]: I Epsec::Utils::Logging::_log:59() => id="4201" severity="info" sys="System" sub="epsecd" name="Epsecd starting"
2012:06:29-11:05:09 ALBECK-UTM-SRV epsecd[4781]: D Epsec::Utils::Logging::_log:59() => id="4210" severity="debug" sys="System" sub="epsecd" name="Sleeping for 23 seconds"
2012:06:29-11:05:32 ALBECK-UTM-SRV epsecd[4781]: I Epsec::Utils::Logging::_log:59() => id="4202" severity="info" sys="System" sub="epsecd" name="Run initialization database"
2012:06:29-11:05:32 ALBECK-UTM-SRV epsecd[4781]: I Epsec::Utils::Logging::_log:59() => id="4247" severity="info" sys="System" sub="epsecd" name="Sending data to Sophos LiveConnect to sync UTM with the Broker"
2012:06:29-11:44:59 ALBECK-UTM-SRV epsecd[10133]: I Epsec::Utils::Logging::_log:59() => id="4201" severity="info" sys="System" sub="epsecd" name="Epsecd starting"
2012:06:29-11:44:59 ALBECK-UTM-SRV epsecd[10133]: D Epsec::Utils::Logging::_log:59() => id="4210" severity="debug" sys="System" sub="epsecd" name="Sleeping for 13 seconds"
2012:06:29-11:45:12 ALBECK-UTM-SRV epsecd[10133]: I Epsec::Utils::Logging::_log:59() => id="4202" severity="info" sys="System" sub="epsecd" name="Run initialization database"
2012:06:29-11:45:12 ALBECK-UTM-SRV epsecd[10133]: I Epsec::Utils::Logging::_log:59() => id="4247" severity="info" sys="System" sub="epsecd" name="Sending data to Sophos LiveConnect to sync UTM with the Broker" 


Hope you can help me, want to get this rolled out. If you need more information let me know.

Edit: also after importing the old V8 home licence, Endponit Protection doesn't show up in the Dashboard unter the Information, but I'm still able to enable it.

Thanks, Albeck
  • 0
    Well, I now managed, that the Endpoint shows up in the UTM and has some Settings shown up in the Update configuration, but the update itself still fails and the UTM shows the device as "out of date".

    Proxy is in standard mode without authentification and exception for the sophos live update in the Wefiltering settings is still active.

    Any hint?
    Thanks, Albeck.
  • 0 in reply to Albeck
    Well, I now managed, that the Endpoint shows up in the UTM and has some Settings shown up in the Update configuration, but the update itself still fails and the UTM shows the device as "out of date".

    Proxy is in standard mode without authentification and exception for the sophos live update in the Wefiltering settings is still active.

    Any hint?
    Thanks, Albeck.


    What shows your http log?

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
  • 0 in reply to Albeck
    The Web Filtering Log shos this a few times when i search for broker.sophos.com in the logs:

    2012:06:29-11:16:39 ALBECK-UTM-SRV httpproxy[6766]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.144.100" dstip="176.34.185.65" user="" statuscode="200" cached="0" profile="REF_HttProInternal (Internal)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="107837504" request="0xf5e13d40" url="http://mcs1-6a18.broker.sophos.com/agent/?id=e8c2ea94-6a18-36d0-a892-718964f0e4ea-0J06768PA22VX&edx=full" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension" error=""


    However there is "action: pass", it does not work..

    Firewall Log shows this strange thing:

    2012:06:29-17:48:58 ALBECK-UTM-SRV ulogd[4272]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth1" outitf="ppp0" srcmac="0:15:5d:90:a:10" dstmac="0:15:5d:90:a:14" srcip="192.168.144.206" dstip="80.239.221.41" proto="6" length="52" tos="0x00" prec="0x00" ttl="127" srcport="49263" dstport="80" tcpflags="SYN" 
    2012:06:29-17:49:20 ALBECK-UTM-SRV ulogd[4272]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth1" outitf="ppp0" srcmac="0:15:5d:90:a:10" dstmac="0:15:5d:90:a:14" srcip="192.168.144.206" dstip="80.239.221.32" proto="6" length="52" tos="0x00" prec="0x00" ttl="127" srcport="49264" dstport="80" tcpflags="SYN" 


    Don't konw if that is helpfull, but behind the IP 80.239.221.41 etc there is ******.costumer.teliacarrier.com. Maybe UTM uses this? Since I testes it a fresh installed vm only with internet explorere, i don't even know why this vm tries to connect to this ip, so I think it musst be something with the sophos client? And then I donÄt know why it don't uses the web proxy settings for port 80 destination?
  • 0 in reply to Albeck
    As my ASG's webproxy is highly modified, I'm not sure, which exceptions are per default set from the SophosUTM

    But using these two here should do the trick

    Sophos Update

    Skip Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal

    ^https?\://.*\.sophosupd\.com/update/
    ^https?\://.*\.sophos\.com/update/

    MCS Broker Service

    Skip Authentication / Caching / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / Certificate Trust Check / Certificate Date Check

    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}\.broker\.sophos\.com

    Please give feedback if it helped or not ;o))

    BTW: Are you using the HTTPS scanner ?
  • 0 in reply to Sascha Paris
    Well since the default exceptions are enabled: 
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}\.broker\.sophos\.com/
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}-d\.broker\.sophos\.com/
    Skipping:
    Authentication / Caching / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check

    I don't think it is realated to that. You would be kidding me, if everyone who wants to use Endpoint protections has to modify the default exception first...

    Second thing I tried is a Any-Any rule for the specified host in the firewall but this also doesn't help....

    I just don't know what is going on there...I'm nearly about to say that this is not my fault...

    Edit: HTTPS Scanner is disabled by the way.
  • 0 in reply to kbr
    I will try that, but first I wait till the 10 endpoint user licence is fixed.

    Second thing is, that I'm not really looking forward for that solution to work, because I already made an any - any -allow filterrule and this didn't help.

    So when the endpoint client does not use the proxy, i should get an connection.
    If it is using the proxy, it also should get a connection due to the exception by default.


    Well...my thoughts on that, but will try.
  • 0 in reply to Albeck
    ...
    Second thing is, that I'm not really looking forward for that solution to work, because I already made an any - any -allow filterrule and this didn't help.
    ...


    Hello Albeck

    While the update and broker servers are already excluded in the webproxy and should work perfectly well for the proxy in standard mode (if the EP client would use the proxy, which it'doesn't actually [[;)]] ). So you have to manually exclude them for a proxy in transparent mode (in the destination transparent skiplist) or without proxy by creating packetfilterrules from you internal networks containing sophos EP Clients to following DNS Groups ("DNS Groups", because the DNS names contains multiple IP adresses)

    Broker Service

    Allow http and https traffic to
    all.broker.sophos.com

    Update Servers
    Allow http and https traffic to
    dci.sophosupd.com
    d1.sophosupd.com
    d2.sophosupd.com
    d3.sophosupd.com
    dci.sophosupd.net
    d1.sophosupd.net
    d2.sophosupd.net
    d3.sophosupd.net

    Actually the .net and .com servers contains the same IP adresses. But I'd create rules for both anyway, as nobody can say, that this will never change in future [[;)]]

    From my testing so far this should be perfectly well for the new UTM9 EP to get up and running...
  • 0 in reply to Sascha Paris
    Hello Albeck

    While the update and broker servers are already excluded in the webproxy and should work perfectly well for the proxy in standard mode (if the EP client would use the proxy, which it'doesn't actually [[;)]] ). So you have to manually exclude them for a proxy in transparent mode (in the destination transparent skiplist) or without proxy by creating packetfilterrules from you internal networks containing sophos EP Clients to following DNS Groups ("DNS Groups", because the DNS names contains multiple IP adresses)

    Broker Service

    Allow http and https traffic to
    all.broker.sophos.com

    Update Servers
    Allow http and https traffic to
    dci.sophosupd.com
    d1.sophosupd.com
    d2.sophosupd.com
    d3.sophosupd.com
    dci.sophosupd.net
    d1.sophosupd.net
    d2.sophosupd.net
    d3.sophosupd.net

    Actually the .net and .com servers contains the same IP adresses. But I'd create rules for both anyway, as nobody can say, that this will never change in future [[;)]]

    From my testing so far this should be perfectly well for the new UTM9 EP to get up and running...


    I didn't get this..can anybody clear this up for me?

    Well, as I said, I am using the Proxy in standard mode, so why sould the clients not use this proxy? Or do you mean the endpoint cleint software? If you mean this, the I think this is a huge bug!

    Second, so I want to still use the proxy, does that mean I can only use the ransparent proxy when using endpoint too? Or why should I set some host in the skiplist for transparent mode?

    Last, well yeah, without proxy it is clear that i need paketfilters to allow http traffic 

    Hope somebody can clear me up, really confused right now....
  • 0
    Hello Albeck

    As the UTM Enpoint Client does not use / ignores a proxy setting, it will not use the proxy in standard mode. Therefor you'll have to create additional pcketfilterrules, that the client can access the internet to fetch updates or configs from update and broker servers...

    You don't have to switch your proxy from standard to transparent mode for that, the exceptions to access the servers are only handled differently in this two proxy scenarios.

    Hope this clarifies your question.

    /Sascha

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
Unfiltered HTML