Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 7965 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help, all websites are marked as uncategorized

nehemiag
Hello,

Right now all websites are marked as 'Uncategorized' for url category and 'Unverified' for url reputation (I do this testing by using Policy Helpdesk).

I don't know since when it happened, I just notice when almost everyone in the office were browsing facebook and youtube (we block all these sites and only allow users to access during 'happy hour').

I don't know why all websites are marked as uncategorized since we didn't do any changes. But if I override the website category from Filtering Options->Websites then the site is block again.

Please help because this is very strange, is it possible that the categorization database is broken? If yes, then how do I fix it?


thank you


This thread was automatically locked due to age.
  • 0
    Hello,
    we did already try to discuss this problem with "premium" support, since this NEVER happened before the transition to the new "SXL" lookup system (which has some other logical flaws in our opinion).

    This regularly breaks our saferty measures completely, but the only advice we where given was to block everything "uncategorized" and whitelist all sites we need for work.
    Completely ridiculous - but we're used to get such answers since one year or so...

    Just wait for approx. half an hour and it will work again. If it lasts longer, than something is really broken. 

    Best regards,
    SA
  • 0
    Hi,

    yes, we also got that issue. We told Sophos in various countries about this issue, because this is something fundamental, which also a small 100$-SonicWall can do.

    But everywhere we called, we were told that it's not possible, because Sophos stated "The SXL-Servers are normally always reachable". But as we here have a really limited internet connection and as their servers don't really work all the time how they state, it happens from time to time.

    Kind regards

    Ivan Sieder
  • 0 in reply to SmallAdmin
    It's been about 2 days but could be longer because I only notice it 2 days ago. So could something actually be broken? 
    Do you think I should reset everyting and restore it using our last backup configuration?

    Right now what I do is overriding websites like facebook - twitter - instagram categorized it as social network, youtube as video streaming, etc ... (thsese are sites that most users access during office hour) but then everything else like ****, illegal software-torrent still accessable.

    This is really frustrating because when I override those websites then they are blocked so the rules actually works but all website are categorized as 'uncategorized'




    Hello,
    we did already try to discuss this problem with "premium" support, since this NEVER happened before the transition to the new "SXL" lookup system (which has some other logical flaws in our opinion).

    This regularly breaks our saferty measures completely, but the only advice we where given was to block everything "uncategorized" and whitelist all sites we need for work.
    Completely ridiculous - but we're used to get such answers since one year or so...

    Just wait for approx. half an hour and it will work again. If it lasts longer, than something is really broken. 

    Best regards,
    SA
  • 0
    Have you tried to restart the UTM. Normally, at a restart it trys to re-connect to the sxl-servers or trying to choose another one. Normally, at least the support told us this, the UTM should look for new SXL-Servers every *** hours.

    Kind regards
    Ivan
  • 0 in reply to ivansieder
    I haven't try restarting it normally, but I ran an update and it restarted the machine when it finish updating. And it didn't solve the problem.

    I'll try rebooting the machine later tonight and I'll update if it solve the problem or not.
  • 0 in reply to nehemiag
    hello,

    just want to update, I wasn't able to do a restart this past few days, hopefully I'll be able to restart it tonight.

    But I did some googling and I stumble to this page https://www.sophos.com/en-us/support/knowledgebase/117936.aspx 
    I tried to ping to some of the hostname and it reply from 127.0.0.1 (localhost). I even try to ping it from sophos tools...

    But if I ping from online ping site (ping.eu/ping) -  I tried pinging http.00.t.sophosxl.net and it return this:

    ======
    --- PING sxl31m-lbr.sxl31m.sophosxl.net (54.195.59.182) 56(84) bytes of data. ---
    64 bytes from 54.195.59.182: icmp_seq=1 ttl=42 time=31.2 ms
    64 bytes from 54.195.59.182: icmp_seq=2 ttl=42 time=31.2 ms
    64 bytes from 54.195.59.182: icmp_seq=3 ttl=42 time=30.9 ms
    64 bytes from 54.195.59.182: icmp_seq=4 ttl=42 time=31.0 ms


    --- sxl31m-lbr.sxl31m.sophosxl.net ping statistics ---


    packets transmitted  4
    received  4
    packet loss  0 %
    time  3002 ms



    --- Round Trip Time (rtt) ---


    min  30.974 ms
    avg  31.118 ms
    max  31.235 ms
    mdev  0.245 ms

    ======


    so could it be the problem from my ISP or DNS? But the strange thing is that why when I try to ping the domain it's pinging localhost (127.0.0.1)

    any ideas?
  • 0
    I'm interested in these problems - although I cannot officially investigate unless it comes through Support and escalated to Dev.

    SXL is a system used by much more than the UTM and for a long time.  That doesn't mean the backend servers cannot be the problem, but it is less likely.  More likely it is your configuration or something between you and the SXL servers (eg ISP).

    Try this on the UTM:
    dig +short http.00.t.sophosxl.net
    dig +short http.00.t.sophosxl.net @8.8.8.8

    If you don't get a normal internet IP on the first dig, then the root problem is a DNS one.  If you have an internal DNS server try your dig @ there.  Then try your ISP's or whatever you have the UTM configured to use.

    Note: Restart should not affect SXL.
  • 0 in reply to Michael Dunn
    hi everybody,

    sorry it's been awhile since I gave any update.

    Anyway, the problem has been fixed. So the problem is with my ISP, they blocked sophosxl.net because of heavy query and they became suspicious so they block it.

    This is what I tried to do to fix the problem:

    1. First I tried to restart the machine but it didn't do anything

    2. After browsing around asking here in the forum I found out about SXL and when I tried to ping http.00.t.sophosxl.net it reply with 127.0.0.1 (localhost)

    3. I figured that the problem was with my DNS server, so I tried to change the configuration but it didn't fixed the problem.

    4. I tried to ping http.00.t.sophosxl.net from several different ISP (my home, my friend's office, also the online ping service- ping.eu/ping) just to make sure that http.00.t.sophosxl.net is actually up and running. The result is that all those ISP can ping http.00.t.sophosxl.net with reply.

    5. I was sure that the problem was with my DNS server so I came back and try to tweak it but came up empty with no result.

    6. Then I thought that the problem could be from my ISP DNS server (I use their DNS IPs as forwarder in my DNS server). 
    I emailed them and they said that they couldn't ping the address as well, so I knew that the problem is from my ISP because they also couldn't ping the address.
    I emailed them screenshot from ping.eu/ping that showed that there's a reply from http.00.t.sophosxl.net so they did some more checking and they emailed me back saying that the address (sophosxl.net) was recently blocked because of suspicious heavy traffic and they unblocked it.


    Well, I guess I should've realized sooner that the problem was with my ISP [:)]


    anyway, I hope that this thread also help other people with the same problem .... Check with your ISP first ^_^


    ohya is sophosxl.net that only address that sophos UTM used or there are other addresses? So I can tell my ISP to make it in the whitelist?


    and thanks for everybody who reply to this thread and helping me out ... thanks alot
Unfiltered HTML