Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 13 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 34820 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

random web sites not loading (UTM home)

pendiang
Hi all,

I'm using the Sophos UTM in home edition mode on dedicated hardware (2GB RAM, Core2Duo CPU, 120GB SSD, APC UPS). It has been running fantastic for years, but in the last few weeks we've begun having trouble browsing the web. Random sites simply won't load, giving a "timed out" error most often. Repeatable sites experiencing this issue include:

* www.usbank.com
* www.wellsfargo.com
* avatars and images while using the Twitter mobile app (images load if I use cellular, get the grey boxes if I go through the wifi protected by UTM)

Occasionally, the Wells Fargo page will partially load (see attachment). I suspect it might be the content that is available via HTTP rather than HTTPS, but not sure. 

I have tried multiple browsers, multiple machines and multiple platforms behind the UTM, all with the same effects. The list of sites appears to be growing; at first only US Bank was unreachable, but I could still get to Wells Fargo fine. Then a week later all the sudden I couldn't reach Wells Fargo either. I have tried disabling the following, all to no effect:

* IPS
* Web Filtering
* Application Control
* IPv6 tunnel broker

The requests to the broken web site addresses do show up in the firewall logs as allowed. I cannot seem to locate the target IPs in any other logs. (Side note: this is why it is so frustrating for me to not have a unified log search in the UTM.) I suspect there is something else that is trying to inspect HTTPS or inspect certificates that is malfunctioning or interfering. 

Other history, not sure whether related: Around the time I started noticing the issue, I also renumbered an IPv6 subnet internally. I tried assigning the old subnet to a different internal interface (vlan) but ended up adding the old gateway address as an Additional Address of the interface where it came from in the first place. (I didn't notice the IPv6 renumbering functionality provided by the UTM at the time.) But I'm quite certain I have flushed caches and am getting new IPv6 addresses from the proper DHCP6 pool.

I'm out of ideas on where to look next. I searched the boards but couldn't find anything recent that was close. Has anyone else seen this issue and resolved it? Does anyone else have any ideas on how to go about troubleshooting this further? 

I am a technical user with a solid networking foundation, but not so proficient in Linux. I would love to understand what the root cause is here.


This thread was automatically locked due to age.
Parents
  • 0
    @William: I added the Google DNS back in last night, and checked out my OpenDNS settings. No changes; issue is still occurring consistently.

    @BAlfson: Thank you for the link! I have it bookmarked now. [:)]  Firewall log shows a bunch of DNS requests and allowed packets on my web filtering rule. The only dropped traffic was specific to a particular mobile device trying to check in with its manufacturer (unrelated to this issue). The IPS log has only one entry in today's log. Upon closer inspection that's regarding an HTTP request to an IP address owned by F-Secure. It could be one of several F-Secure apps we run. Other than that, the IPS log is blank. The Application Control log is also blank, as I had forgotten to turn it back on since the last time I troubleshot this issue.

    @Amodin: I guess it's certainly worth a try to use the ISP-provided DNS, at least for troubleshooting since OpenDNS + Google DNS is still acting up. Interestingly enough, now Wells Fargo's page loads once more, but US Bank continues to experience the issue. And still no Twitter avatars or images except what's been previously cached. This is very strange.


    EDIT:  While I was getting some online banking done, all the sudden Wells Fargo's site started experiencing the issue again. So it appears to be some sort of transient condition, possibly not having anything at all to do with my firewall. I sure would like to rule it out though.
Reply
  • 0
    @William: I added the Google DNS back in last night, and checked out my OpenDNS settings. No changes; issue is still occurring consistently.

    @BAlfson: Thank you for the link! I have it bookmarked now. [:)]  Firewall log shows a bunch of DNS requests and allowed packets on my web filtering rule. The only dropped traffic was specific to a particular mobile device trying to check in with its manufacturer (unrelated to this issue). The IPS log has only one entry in today's log. Upon closer inspection that's regarding an HTTP request to an IP address owned by F-Secure. It could be one of several F-Secure apps we run. Other than that, the IPS log is blank. The Application Control log is also blank, as I had forgotten to turn it back on since the last time I troubleshot this issue.

    @Amodin: I guess it's certainly worth a try to use the ISP-provided DNS, at least for troubleshooting since OpenDNS + Google DNS is still acting up. Interestingly enough, now Wells Fargo's page loads once more, but US Bank continues to experience the issue. And still no Twitter avatars or images except what's been previously cached. This is very strange.


    EDIT:  While I was getting some online banking done, all the sudden Wells Fargo's site started experiencing the issue again. So it appears to be some sort of transient condition, possibly not having anything at all to do with my firewall. I sure would like to rule it out though.
Children
No Data
Unfiltered HTML