This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Proxy Probleme

Hallo zusammen,

wir besitzen eine SG650 welche im Aktiv - Aktiv Modus läuft. Wir merken seit einiger Zeit das das Web Proxy Modul uns Probleme macht. Sporadisch, nicht nur zu Stoßzeiten, kann über den Webproxy keine Verbindung zu Webseiten hergestellt werden. Es sieht dann so aus das der Browser veruscht die Webseite via Proxy zu erreichen (Chrome meldet "Warte auf Proxy Tunnel").. dies kann dann entweder solange dauern das der Browser in Timeout meldet oder auf einen schlag, alle Tabs die man offen hat dann erreicht werden udn das Problem weg ist.

Mit PRTG Monitoren wir den Zugang zu den Webseiten. Einmal über den Standard Paketfilter (443 Freischaltung) und einmal über den Proxy. Nur über den Proxy kommt es zu diesen Abbrüchen. Wir hatten die Probleme Ende letzten Jahres bereits schonmal. Der Sophos Support hat uns damals "0" helfen können. Von ein auf den anderen Monat gingen dann die Verbindungen wieder und der Proxy hatte keine Probleme mehr.

Jetzt beginnt der Spaß von vorne. Die Aussetzer gibt es sogar Nachts. Was mich vermuten lässt das es keine Performance Probleme sind.

Mit der Hoffnung das jemand von euch auch schonmal ähnliche Probleme hatte. Natürlich haben wir parall auch wieder ein Ticket bei Sophos eröffnet. Aber der SUpport lässt in den letzten Jahren echt zu wünschen übrig.

Viele Grüße

This thread was automatically locked due to age.

Parents

0 Steve Weißflog over 3 years ago

Hallo,

könnt Ihr DNS-Probleme ausschließen? Ggf. mal einen anderen DNS-Forwarder auf der Sophos nutzen?

Ihr nutzt kein IPv6?

Gruß Steve
Cancel
Vote Up 0 Vote Down

Cancel
0 Sebastian Bäder over 3 years ago in reply to Steve Weißflog

Hallo,

nein DNS kann ich aktuell noch nicht ausschließen. Wir haben mehrere Sophos im Einsatz. Als DNS Forwarder haben wir unsere eigenen DNS Server eingetragen. GGf. könnte ich da nochmal einen anderen testen.

Eine andere Sophos, in dem Fall SG550, hat auch das Problem, aber wesentlich seltener.
Cancel
Vote Up 0 Vote Down

Cancel
0 Steve Weißflog over 3 years ago in reply to Sebastian Bäder

Der Webfilter/Proxy der Sophos nutzt den/die in der UTM eingetragenen Forwarder. Ggf. dort mal testweise direkt nur einen externen DNS-Server eintragen (Google 8.8.8.8 o.ä.) und nochmal testen ob es das Surfen per Proxy beschleunigt...

Es hat sich eigentlich als best-practice gezeigt, auf der Sophos UTM die externen DNS-Server als Verfügbarkeitsgruppe im Bereich DNS-Forwarder einzutragen und auf der UTM bei Anfragerouten dann die Verweise auf die internen Domänen bzw. internen DNS-Server zu hinterlegen.

Auf den internen DNS-Servern dann nur die Sophos UTM als Weiterleitungsadresse rein und nicht die externen DNS-Server.

Gruß Steve
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 Steve Weißflog over 3 years ago in reply to Sebastian Bäder

Der Webfilter/Proxy der Sophos nutzt den/die in der UTM eingetragenen Forwarder. Ggf. dort mal testweise direkt nur einen externen DNS-Server eintragen (Google 8.8.8.8 o.ä.) und nochmal testen ob es das Surfen per Proxy beschleunigt...

Es hat sich eigentlich als best-practice gezeigt, auf der Sophos UTM die externen DNS-Server als Verfügbarkeitsgruppe im Bereich DNS-Forwarder einzutragen und auf der UTM bei Anfragerouten dann die Verweise auf die internen Domänen bzw. internen DNS-Server zu hinterlegen.

Auf den internen DNS-Servern dann nur die Sophos UTM als Weiterleitungsadresse rein und nicht die externen DNS-Server.

Gruß Steve
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 Sebastian Bäder over 3 years ago in reply to Steve Weißflog

Hi,

ja genau so haben wir es auch umgesetzt.

Wir betreiben 2 eigene exteren DNS Server auf die wir per AV Gruppe Forwarden.

Für unsere Internen Netze betreiben wir seperate DNS Server für lokale Domain etc. Diese DNS Server Forwarden nur an die Sophos wenn sie etwas nicht kennen.

Um unsere exteren DNS Server als Fehlerquelle auszuschließen, werden wir jetzt 8.8.8.8 als DNS Forwarder eintragen.

Was wir uns aber nicht erklären können ist, dass bei einer direkten Freischaltung per HTTP/S ins Internet keine Ausfälle statt finden.

Hier müssen ja auch DNS abfragen statt finden.

*EDIT*

Haben gerade festgestellt, dass auch Verbindungen in unsere DMZ über den HTTP-Proxy (hier laufen die DNS anfragen intern ab) sporadisch nicht zu stande kommen.

Dann kann man wahrscheinlich den exteren DNS ausschließen.

Gruß und vielen Dank für die Antworten bisher :)
Cancel
Vote Up 0 Vote Down

Cancel
0 scorpionking over 3 years ago in reply to Sebastian Bäder
Es gibt ja diverse Logs, die man zu den fraglichen Zeitpunkten mal auswerten könnte (Webfilter, System, Fallback, DNS-Proxy, ...). Ist das schon geschehen?
----------
Sophos user, admin and reseller.
Private Setup:

XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)

UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cancel
Vote Up 0 Vote Down

Cancel
0 DouglasFoster over 3 years ago in reply to scorpionking

We are also having this problem on the U.S.

Stable configuration, firmware 9.506-2

Sounds like a problem with the category and reputation lookup cloud services
Cancel
Vote Up 0 Vote Down

Cancel
0 Sebastian Bäder over 3 years ago in reply to scorpionking

Ja klar, leider nichts auffälliges...
Cancel
Vote Up 0 Vote Down

Cancel
0 Sebastian Bäder over 3 years ago in reply to DouglasFoster

is there any confirmation by sophos ?
Cancel
Vote Up 0 Vote Down

Cancel
0 Steve Weißflog over 3 years ago in reply to Sebastian Bäder

Hatte heute bei einem Kunden ein ähnliches Problem:

Proxy läuft dort im Transparent Modus mit AD-Auth (UTM 9.703-3)

Surfen auf http-Seiten schlägt fehl, https-Seiten gehen aber wie gewohnt

Im Webfilter-Log wird kein AD-Beunzter angezeigt (sowohl bei http als auch https-Anfragen!)

SSO AD-rejoin hat nicht geholfen

Umstellen auf Standardmodus und Proxy im Browser eingetragen -> geht alles wie gewünscht und im Log steht auch der AD-User normal drin.

Supportfall läuft...
Cancel
Vote Up 0 Vote Down

Cancel
0 RemoHehlert over 3 years ago in reply to Steve Weißflog

Wie sieht denn die Konfiguration vom WebProxy aus, ggf. ein paar Sceenshots?

Ich habe bei uns auch Transp. und Standardauthentifizierung: Browser eingestellt aber bis dato keine Auffälligkeiten.

Von SSO sehe ich in diesem Beitrag nur 1x von daher sollte ggf. die Konfiguration vergelichen werden?soo
Cancel
Vote Up 0 Vote Down

Cancel
0 Sebastian Bäder over 3 years ago in reply to RemoHehlert
Hi,

unserer Konfiguration sieht wie folgt aus:

6 verschieden Web Filter Profile für unterschiedliche Netzbereiche ( 5 davon Standard 1 Profil Transparent)

Keine Authentifizierung am Proxy

Keine SSL Inspection

Die Profile werden hautpächlich genutzt um Kategorien zu filtern, AV Scan und Content Removal zu verwendet (nur für HTTP da kein SSL Inspection)

Seit Anfang der Woche sind die Aussetzer einfach wieder verschwunden. Wir haben an der Konfiguration seit dem nichts verändert, um die Fehlersuche nicht zu beeinträchtigen.

Genau das selbe hatten wir ja ende letzten Jahres auch.
Cancel
Vote Up 0 Vote Down

Cancel
0 MichaelbeiGDH over 3 years ago in reply to Sebastian Bäder

Hi,

ich hab das Gefühl, dieses Problem und die folgenden

https://community.sophos.com/products/unified-threat-management/f/german-forum/121923/utm-webfilter---credentials-abfrage

https://community.sophos.com/products/unified-threat-management/f/web-protection-web-filtering-application-visibility-control/122111/transparent-proxy-sso-issues

haben alle die gleiche Ursache....
Cancel
Vote Up 0 Vote Down

Cancel