This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

utm 9.3 causing website login invalid response error

After upgrading to 9.3 and 9.3.01 I have found a courrier website that sophos busts the login for

eTrac

doesn't matter if you type the username and password correct or not, either way it gives an error of 'invalid response'

so far creating a web proxy exception has had no effect on this.

14:11:19-09:45:05 fw httpproxy[6075]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="192.168.69.135" dstip="204.193.149.161" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2629" request="0xe3b53000" url="apps.etrac.net/.../33.0" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"


This thread was automatically locked due to age.
  • Same here - u2d-ipsbundle-9-177
  • Please show the relevant lines from the Web Filtering log for a single block.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi,

    Encountered the same problem when browsing LinkedIn. See log below.

    2015:01:22-21:10:06 shakeys-fw httpproxy[6060]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="119.95.46.233" dstip="199.101.163.129" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2494" request="0xe0456800" url="www.linkedin.com/.../35.0" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"
    2015:01:22-21:10:14 shakeys-fw httpproxy[6060]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="119.95.46.233" dstip="199.101.163.129" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2490" request="0xdf254800" url="linkedin.com/.../35.0" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"
    2015:01:22-21:10:15 shakeys-fw httpproxy[6060]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="119.95.46.233" dstip="199.101.163.129" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2501" request="0xdc6d6800" url="linkedin.com/.../35.0" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"
    2015:01:22-21:10:16 shakeys-fw httpproxy[6060]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="119.95.46.233" dstip="199.101.163.129" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2501" request="0xdf2ff800" url="linkedin.com/.../35.0" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"

    Tried to disable IPS but still same issue encountered.

    Also, I'm running 9.306-6 firmware.
  • After upgrading to 9.3 and 9.3.01 I have found a courrier website that sophos busts the login for

    eTrac

    doesn't matter if you type the username and password correct or not, either way it gives an error of 'invalid response'

    so far creating a web proxy exception has had no effect on this.

    14:11:19-09:45:05 fw httpproxy[6075]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="192.168.69.135" dstip="204.193.149.161" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2629" request="0xe3b53000" url="http://apps.etrac.net/retailoe/LoginX.asp" referer="http://apps.etrac.net/retailoe/Login.asp" error="Invalid response" authtime="0" dnstime="188" cattime="0" avscantime="0" fullreqtime="504099" device="0" auth="0" ua="Mozilla/5.0 (X11; Linux x86_64; rv:33.0) Gecko/20100101 Firefox/33.0" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"


    works fine..gives me a proper invalid login prompt.  Try updating to 9.306.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • Please show the relevant lines from the Web Filtering log for a single block.

    Cheers - Bob


    Sorry - was pretty busy yesterday and missed this post.  here is a log snippet:

    2015:01:16-08:49:37 oasgs httpproxy[5674]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.21.251.159" dstip="54.160.105.183" user="" ad_domain="" statuscode="502" cached="0" profile="REF_HttProOfaVlan2Trans (OFA (VLAN21) Transparent Proxy Profile)" filteraction="REF_HttCffOfaTranspa (OFA Transparent)" size="2701" request="0xdb3a8000" url="http://meeting05.prezi.com/crossdomain.xml" referer="" error="Invalid response" authtime="0" dnstime="24672" cattime="0" avscantime="0" fullreqtime="59215" device="0" auth="0" ua="Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" exceptions="av,content,url,ssl,cache" 

    2015:01:16-08:47:25 oasgs httpproxy[5674]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.21.252.211" dstip="23.20.41.188" user="" ad_domain="" statuscode="502" cached="0" profile="REF_HttProOfaVlan2Trans (OFA (VLAN21) Transparent Proxy Profile)" filteraction="REF_HttCffOfaTranspa (OFA Transparent)" size="2701" request="0xd4deb800" url="http://meeting07.prezi.com/crossdomain.xml" referer="" error="Invalid response" authtime="0" dnstime="11700" cattime="0" avscantime="0" fullreqtime="51675" device="0" auth="0" ua="Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" exceptions="av,content,url,ssl,cache" 

    2015:01:16-08:46:45 oasgs httpproxy[5674]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.21.92.44" dstip="54.198.160.5" user="" ad_domain="" statuscode="502" cached="0" profile="REF_HttProOfaVlan2Trans (OFA (VLAN21) Transparent Proxy Profile)" filteraction="REF_HttCffOfaTranspa (OFA Transparent)" size="2701" request="0xda78d800" url="http://meeting06.prezi.com/crossdomain.xml" referer="" error="Invalid response" authtime="0" dnstime="55" cattime="0" avscantime="0" fullreqtime="36543" device="0" auth="0" ua="Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36" exceptions="av,content,url,ssl,cache"
  • Franklin, I can't reproduce your problem - LinkedIn works perfectly from two different sites.  Scoob, I can't reach meeting06.prezi.com/crossdomain.xml through the proxy in Win8-IE11, nor can I reach it over LTE with my iPhone.  When I go around the UTM altogether, in Win8-IE11, I get


    -







    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob.

    I never looked at how Prezi routed before (it just worked until my upgrade to 9.304).  After the upgrade my users were complaining that they could not log in. I looked in the logs and saw the entries I posted above.  By making proxy exceptions for hostnames - meeting[02-12].prezi.com, they all were able to log in.  Now if I remove the exceptions, they cannot... put them back in, they can.  The users go to Prezi - Presentation Software, of course.  I just found those "meeting" servers by looking in the UTM logs for failures.
  • Hi Scoobmaster

    Just out of interest can you let me know what you put in to your exceptions for Prezi. I am having exactly the same issues here and can see the meeting04.prezi.com being blocked in the monitor. I added one of the URLs in to an exception which is being blocked when I test it but its still being blocked. We can log in to Prezi it's just when it comes to editing a prezi it says "we've lost connection to prezi".

    Apologies for the simple questions but I didn't set up our UTM and the person who did has left and I'm trying to pick it up as I go along. Did you just add the URLS in plain text in to an exception as some of our other exceptions the URLs are in the following format "^https?://([A-Za-z0-9.-]*\.)?adobe\.com/"

    Many thanks
  • If required this is what is appearing in the logs

    2015:01:28-08:56:59 fw httpproxy[7261]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="172.16.0.109" dstip="54.242.189.178" user="" ad_domain="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffItTeam (IT Team & Service Accounts)" size="2548" request="0xe2a01800" url="meeting04.prezi.com/.../537.36" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"

    I have fully updated the firmware to the latest available but it has not made any difference. It used to work fine  so I'm guessing an update at some point in the past has caused this to start happening.

    Thanks
  • Hi Scoobmaster

    Just out of interest can you let me know what you put in to your exceptions for Prezi. I am having exactly the same issues here and can see the meeting04.prezi.com being blocked in the monitor. I added one of the URLs in to an exception which is being blocked when I test it but its still being blocked. We can log in to Prezi it's just when it comes to editing a prezi it says "we've lost connection to prezi".

    Apologies for the simple questions but I didn't set up our UTM and the person who did has left and I'm trying to pick it up as I go along. Did you just add the URLS in plain text in to an exception as some of our other exceptions the URLs are in the following format "^https?://([A-Za-z0-9.-]*\.)?adobe\.com/"

    Many thanks


    By simply using ping to seek them out,  I got responses on servers named meeting02.prezi.com through meeting12.prezi.com.  I made Host definitions for all 11 of them in the UTM, then put all those servers in a group. I then added the group to the "skip transparent mode destination hosts" list in web filtering.  That worked and stopped the "lost connection to prezi" errors.  

    If I remove the group from the skip list, my users immediately start getting the errors again.  Prior to my update to 9304-9, this was not a problem.