Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 18740 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

error="Connection to server timed out"

onats
hi everyone,

Just creating a new thread for "Connection to server timed out" error in webfiltering. We have an intensive browsing requirement in our team. And users noticed that Sophos was blocking many sites which are supposedly allowed. Further investigation, we concluded that these sites weren't responding from our request. Furthermore, we disabled the web filtering module in the Sophos - Astaro UTM9 220. We noticed that some site are in fact responding if the webfilter module was disable. sample websites are 

http://www.autonation.com

http://www.howbill.com


Need your help.

Best regards,

Onats.


This thread was automatically locked due to age.
  • 0
    Please post the lines from the web filtering log file when those websites were blocked.

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    2nd line refers to the blocked website "www.howbill.com". Actually, we noticed that we have several site with such incident. If we didn't pass thru the webfilter, we could access the site.

    2013:01:29-20:13:14 phFW01-1 httpproxy[14829]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.46" dstip="206.190.36.45" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="465201" request="0xbad81aa8" url="ph.yahoo.com/
    2013:01:29-20:13:20 phFW01-1 httpproxy[14829]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.1.46" dstip="98.118.152.99" user="" statuscode="504" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2536" request="0xb92a3598" url="www.howbill.com/" exceptions="application" error="Connection to server timed out" category="9998" reputation="neutral" categoryname="Uncategorized"
    2013:01:29-20:13:31 phFW01-1 httpproxy[14829]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.46" dstip="74.125.128.100" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1170" request="0xf5e137b0" url="clients2.google.com/.../crx
    2013:01:29-20:13:36 phFW01-1 httpproxy[14829]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.46" dstip="74.125.128.120" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1542" request="0xbb165e18" url="www.gstatic.com/.../html" application="google"
    2013:01:29-20:13:46 phFW01-1 httpproxy[14829]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.46" dstip="157.166.241.10" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="227078" request="0xf5ed66f0" url="www.cnn.com/.../html" application="cnn"
    2013:01:29-20:13:52 phFW01-1 httpproxy[14829]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.46" dstip="74.208.3.226" user="" statuscode="301" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="232" request="0xbacd54b0" url="email.1and1.com/.../html"
  • 0
    Hi Bob,

    I've also attached the notification from the users. It's the default notification by UTM9 box.
  • 0
    Statuscode="504"

    That means a gateway timeout so I guess the problem is the Web server doesn't like the antivirus delay.  The first thing to try is an exception for antivirus for that website. If that doesn't work then you'll want to skip that site. If you're using transparent mode that's done in the UTM if you're using a standard mode, that has to be done in the browsers. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    Can you elaborate "anti-virus delay"? Currently, we turned off the AV in web protection. Browsing was relatively slow when AV is enabled.

    Is there any other fix for this? We got a lot of URL with the same response.

    Regards,

    Onats
  • 0
    Unless your hardware is underpowered, running single-scan with Avira should only occasionally be noticible.  If you're using an online speed test, then those give bad results because they are single-threaded.

    In this case, since AV isn't causing the problem, you will need to skip the Proxy for these sites.

    I was able to access the howbill site from behind a V8.309 box from both a laptop using the Transparent Proxy and from a desktop using Standard/AD-SSO.  So, I wonder if this isn't an issue with V9 or a hardware problem.  Try posting the output of ifconfig eth1 from the command line (assuming that that's your External interface).

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Works fine from V9 box...

    Onats, check your Speed and Duplex settings for your interfaces on your UTM (make sure they match your switch / ISP equipment).  I have seen wierd timeouts before for certain websites when there was a speed or duplex mismatch on the NIC interfaces.  If you see a lot of CRCs or other drops, try statically setting speed and duplex on both ends of the connection.  Also make sure your MTU settings are valid (1500 is the default, may need to be different for DSL on the Internet connection side if that's what you use).

    Sounds crazy, but several times over the past years when the symptom was intermittent browsing to particular websites, we found in the end it was an error at Layer 2 [:)]

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Problem resolved. I think. hehe. Anyone could explain ECN? I thought it was a protection for network congestion.
  • FormerMember
    0 FormerMember
    I have the same report of problems from users on several government websites. (such as cms.gov and sam.gov). It's taking a long time (> 5minutes) to load, and once it does, navigation is fine. I considered DNS problems, but changing DNS doesn't seem to help. We already have autonegotiation on, so I considered the idea that the gov was maybe changing DNS or other parameters on their websites. One thing strange is that the log shows it as "uncategorized" while the McAfee filters list the same site as "Government". I have no resolution: autonegotiate is off, av scan is off, site is bypassing filtering. I am out of ideas!
  • 0 in reply to onats
    Problem resolved. I think. hehe. Anyone could explain ECN? I thought it was a protection for network congestion.


    Yes, it is supposed to help with congestion:
    Explicit Congestion Notification - Wikipedia, the free encyclopedia

    Barry
Unfiltered HTML