Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 8 subscribers
  • Views 5360 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Proxy Probleme

Sebastian Bäder

Hallo zusammen,

wir besitzen eine SG650 welche im Aktiv - Aktiv Modus läuft. Wir merken seit einiger Zeit das das Web Proxy Modul uns Probleme macht. Sporadisch, nicht nur zu Stoßzeiten, kann über den Webproxy keine Verbindung zu Webseiten hergestellt werden. Es sieht dann so aus das der Browser veruscht die Webseite via Proxy zu erreichen (Chrome meldet "Warte auf Proxy Tunnel").. dies kann dann entweder solange dauern das der Browser in Timeout meldet oder auf einen schlag, alle Tabs die man offen hat dann erreicht werden udn das Problem weg ist.

Mit PRTG Monitoren wir den Zugang zu den Webseiten. Einmal über den Standard Paketfilter (443 Freischaltung) und einmal über den Proxy. Nur über den Proxy kommt es zu diesen Abbrüchen. Wir hatten die Probleme Ende letzten Jahres bereits schonmal. Der Sophos Support hat uns damals "0" helfen können. Von ein auf den anderen Monat gingen dann die Verbindungen wieder und der Proxy hatte keine Probleme mehr. 

Jetzt beginnt der Spaß von vorne. Die Aussetzer gibt es sogar Nachts. Was mich vermuten lässt das es keine Performance Probleme sind.

Mit der Hoffnung das jemand von euch auch schonmal ähnliche Probleme hatte. Natürlich haben wir parall auch wieder ein Ticket bei Sophos eröffnet. Aber der SUpport lässt in den letzten Jahren echt zu wünschen übrig.

Viele Grüße



This thread was automatically locked due to age.
  • 0

    Hallo,

     

    könnt Ihr DNS-Probleme ausschließen? Ggf. mal einen anderen DNS-Forwarder auf der Sophos nutzen?

    Ihr nutzt kein IPv6?

     

    Gruß Steve

  • 0

    Hi,

     

    wir haben genau die gleichen Probleme wie du Sie beschreibst seit ca. 2 Wochen auch. Wir betreiben 2 SG550 im active-passive Modus.

    Ich habe aktuell aus Verzweiflung die MTU von 1500 auf 1320 der internen und externen NIC eingestellt und zusätzlich noch das Pattern Download von 30min auf 12Stunden erhöht. Das hat bei uns zu einer leichten Verbesserung geführt. DNS Forwarder habe ich auch um weitere ergänzt.

    Ich hoffe das Sophos das sehr bald in den Griff bekommt!

     

    Support-Ticket wurde auch schon vor über einer Woche erstellt, aber bisher ohne Erfolg:-(

    LG

    Thomas

  • 0 in reply to Steve Weißflog

    Hallo,

     

    nein DNS kann ich aktuell noch nicht ausschließen. Wir haben mehrere Sophos im Einsatz. Als DNS Forwarder haben wir unsere eigenen DNS Server eingetragen. GGf. könnte ich da nochmal einen anderen testen.

     

    Eine andere Sophos, in dem Fall SG550, hat auch das Problem, aber wesentlich seltener.

     

     

     

  • 0 in reply to Sebastian Bäder

    Der Webfilter/Proxy der Sophos nutzt den/die in der UTM eingetragenen Forwarder. Ggf. dort mal testweise direkt nur einen externen DNS-Server eintragen (Google 8.8.8.8 o.ä.)  und nochmal testen ob es das Surfen per Proxy beschleunigt...

     

    Es hat sich eigentlich als best-practice gezeigt, auf der Sophos UTM die externen DNS-Server als Verfügbarkeitsgruppe im Bereich DNS-Forwarder einzutragen und auf der UTM bei Anfragerouten dann die Verweise auf die internen Domänen bzw. internen DNS-Server zu hinterlegen.

    Auf den internen DNS-Servern dann nur die Sophos UTM als Weiterleitungsadresse rein und nicht die externen DNS-Server.

     

    Gruß Steve

     

  • 0 in reply to Steve Weißflog

    Hi,

    ja genau so haben wir es auch umgesetzt.

     

    Wir betreiben 2 eigene exteren DNS Server auf die wir per AV Gruppe Forwarden.

    Für unsere Internen Netze betreiben wir seperate DNS Server für lokale Domain etc. Diese DNS Server Forwarden nur an die Sophos wenn sie etwas nicht kennen.

    Um unsere exteren DNS Server als Fehlerquelle auszuschließen, werden wir jetzt 8.8.8.8 als DNS Forwarder eintragen.

     

    Was wir uns aber nicht erklären können ist, dass bei einer direkten Freischaltung per HTTP/S ins Internet keine Ausfälle statt finden.

    Hier müssen ja auch DNS abfragen statt finden.

    *EDIT*

    Haben gerade festgestellt, dass auch Verbindungen in unsere DMZ über den HTTP-Proxy (hier laufen die DNS anfragen intern ab) sporadisch nicht zu stande kommen.

    Dann kann man wahrscheinlich den exteren DNS ausschließen.

     

    Gruß und vielen Dank für die Antworten bisher :)

  • 0 in reply to Sebastian Bäder

    Es gibt ja diverse Logs, die man zu den fraglichen Zeitpunkten mal auswerten könnte (Webfilter, System, Fallback, DNS-Proxy, ...). Ist das schon geschehen?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking

    We are also having this problem on the U.S.

    Stable configuration, firmware 9.506-2

    Sounds like a problem with the  category and reputation lookup cloud services

  • 0 in reply to scorpionking

    Ja klar, leider nichts auffälliges...

  • 0 in reply to DouglasFoster

    is there any confirmation by sophos ?

  • 0 in reply to Sebastian Bäder

    Hatte heute bei einem Kunden ein ähnliches Problem:

     

    Proxy läuft dort im Transparent Modus mit AD-Auth (UTM 9.703-3)

    Surfen auf http-Seiten schlägt fehl, https-Seiten gehen aber wie gewohnt

     

    Im Webfilter-Log wird kein AD-Beunzter angezeigt (sowohl bei http als auch https-Anfragen!)

    SSO AD-rejoin hat nicht geholfen

     

    Umstellen auf Standardmodus und Proxy im Browser eingetragen -> geht alles wie gewünscht und im Log steht auch der AD-User normal drin.

     

    Supportfall läuft...

Unfiltered HTML