This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with SOCKS Authentification

I've a problem with the SOCKS proxy and authentification. I use local auth. and the proxy refuse my requests for any user. When I switch the auth off, all works fine. What's the problem?


This thread was automatically locked due to age.
Parents
  • please go into the command line and do a tail /var/log/daemon, then try to use it with authentication. Post the output here please  [;)]

  • I'm also having the same problem.


    Feb 15 13:20:05 nat sockd[582]: got accept(): XXX.177.2.XX.4618
    Feb 15 13:20:05 nat sockd[584]: pass(1): accept: XXX.177.2.XX.4618 -> XXX.177.2.XXX.1080
    Feb 15 13:20:05 nat sockd[584]: recv_methods(): sending authentication reply: VER: 5 METHOD: 2
    Feb 15 13:20:05 nat aua[245]: flushing cache
    Feb 15 13:20:05 nat sockd[585]: received request: VER: 5 CMD: 1 FLAG: 0 ATYP: 3 address: dallas.tx.us.undernet.org.6667
    Feb 15 13:20:05 nat sockd[585]: addressmatch(): gethostbyname(dallas.tx.us.undernet.org): Unknown host
    Feb 15 13:20:05 nat sockd[585]: addressmatch(): gethostbyname(dallas.tx.us.undernet.org): Unknown host
    Feb 15 13:20:05 nat sockd[585]: block(0): connect: username@XXX.177.2.XX.4618 -> dallas.tx.us.undernet.org.6667
    Feb 15 13:20:05 nat sockd[585]: send_response(): sending response: VER: 5 REP: 2 FLAG: 0 ATYP: 3 address: dallas.tx.us.undernet.org.6667
    Feb 15 13:20:05 nat sockd[584]: sending request to mother
    Feb 15 13:20:05 nat aua[20739]: U:username F:socks R[:$]K C:auth by aua.local


    the error on the client I get is Firewall: Connection rejected/failed
     

    ------------------
    -Bryan www.apachetoolbox.com 

    [This message has been edited by ApacheToolbox (edited 15 February 2001).]
  • apachetoolbox: the auth part works ok. (Feb 15 13:20:05 nat aua[20739]: U:username F:socks R[:$]K C:auth by aua.local).

    But the Astaro box is not able to resolve the name dallas.tx.us.undernet.org into an IP address. Check your DNS settings. Workaround would be to use an IP address instead of a name. In this case:

    tom@duncanthrax:~$ nslookup dallas.tx.us.undernet.org
    Server:  localhost
    Address:  127.0.0.1

    Non-authoritative answer:
    Name:    us.undernet.org
    Addresses:  207.173.16.33, 207.96.122.250, 205.252.46.98, 207.110.0.52
              205.188.149.20, 204.127.145.17, 216.24.134.10, 199.170.91.114
    Aliases:  dallas.tx.us.undernet.org
Reply
  • apachetoolbox: the auth part works ok. (Feb 15 13:20:05 nat aua[20739]: U:username F:socks R[:$]K C:auth by aua.local).

    But the Astaro box is not able to resolve the name dallas.tx.us.undernet.org into an IP address. Check your DNS settings. Workaround would be to use an IP address instead of a name. In this case:

    tom@duncanthrax:~$ nslookup dallas.tx.us.undernet.org
    Server:  localhost
    Address:  127.0.0.1

    Non-authoritative answer:
    Name:    us.undernet.org
    Addresses:  207.173.16.33, 207.96.122.250, 205.252.46.98, 207.110.0.52
              205.188.149.20, 204.127.145.17, 216.24.134.10, 199.170.91.114
    Aliases:  dallas.tx.us.undernet.org
Children
  • You'll also notice that many of the undernet servers doesn't like socks5 connections.
    ;-)
    Using a normal linux distro with socks5 you'll see many messages in /var/log regarding socks connections from ip.of.the.undernet.server - if the result is something else than "connection refused" the undernet will drop your connection.

    Dunno why they don't like socks anyway...



    ------------------
    Over and Out.
  • I got:

    Feb 19 15:40:34 asl sockd[9590]: got accept(): 192.168.201.1.49123
    Feb 19 15:40:34 asl sockd[9661]: pass(1): accept: 192.168.201.1.49123 -> 192.168.201.98.1080
    Feb 19 15:41:04 asl sockd[9661]: pass(1): accept abort: 192.168.201.1.49123 -> 192.168.201.98.1080: negotiation timed out
  • Another output (client centericq)
    prev. was from gnapster

    Feb 19 16:01:30 asl sockd[14435]: got accept(): 192.168.201.1.49191
    Feb 19 16:01:30 asl sockd[14500]: pass(1): accept: 192.168.201.1.49191 -> 192.168.201.98.1080
    Feb 19 16:01:30 asl sockd[14500]: recv_methods(): sending authentication reply: VER: 5 METHOD: 255
    Feb 19 16:01:30 asl sockd[14500]: pass(1): accept abort: 192.168.201.1.49191 -> 192.168.201.98.1080: socks protocol error
  • icebear:

    both connections are dropped before any authentication has taken place.

    it looks like both clients don't do SOCKS5 protocol negotiation correctly. Maybe they talk SOCKS4, because this may work when user auth is switched off.

    plz check the docs of both proggies if they support SOCKS5 correctly.
  • I'm having about the same problem, but with AIM.  After reading this, I went back and used an IP address insted of a hostname and BWAM it works.  In the /var/log/daemon I get the same GETHOSTBYNAME errors.

    This problem only seams to come up when I use Socks5 with auth on.  If I use plain Socks4 without authentication it works fine.
  • this is something I forgot to add to the docs  [;)]

    If you do NOT use user authentication then you should leave username and password fields in your client empty. Some clients have an additional checkbox for "send username and password", but most simply check if the username field is empty or not.

    In a nutshell:

    If you do not use user authentication, ASL's SOCKS will support SOCKSv4 as well.

    If you do user authentication on the ASL, then SOCKS5 clients MUST NOT send usernames and passwords.
  • k got it.

    I will see if I can reproduce that behaviour on one of our systems.
    Thanks to you for taking the time to pursue this  [;)]

    /tom
  • Maybe I should have been more clear....

    If I turn on the authentication in the firewall for SOCKS, then use Socks 5 on the client with the correct username and password, using a full domain name, it fails with the error above.

    If I turn on the authentication in the firewall, and use Socks5 with a IP and with the correct username and password it works fine.

    If I disable authentication in the firewall, and use Socks5 with a full domain name and with a blank username and password it fails.

    If I disable authentication in the firewall, and use Socks5 with an IP address and with a blank username and password it works fine.

    If I disable authentication in the firewall and use Socks4 with a full domain name and with no username and password it works fine.

    The IP used for testing is: 152.163.242.24
    The domain name used: login.oscar.aol.com

    Client App:  AIM

    It seams to be a problem with the Socks5 hostname lookup?

    I hope this is a little more understandable.
  • OK, I have looked into this. From the NEC SOCKS FAQ:



    What does that mean ?

    1. SOCKS4 client MUST resolve names themselves, thus the Astaro Box has no problems with them.

    2. SOCKS5 client applications CAN resolve hostnames themselves, but they have the option to pass the unresolved name on to the SOCKS5 server, and let him do the resolving. The Astaro Box will be able to resolve names if the DNS proxy is properly configured.

    Obviously, your AIM clients resolves names himself if you configure him without username and password authentication, or with the SOCKS4 protocol.   [;)]

    [This message has been edited by tom (edited 12 March 2001).]