This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AH00898 Error reading from remote server returned by

Hello everyone,
I am having trouble with some HTTPS services deployed via WAF.

Previously those services were deployed using DNAT.

When accessing the URL I get and Proxy error

This is what the log shows:
2013:09:23-13:41:18  reverseproxy: [Mon Sep 23 13:41:18.313296 2013] [proxy_http:error] [pid 5211:tid 4010797936] (20014)Internal error: [client :58915] AH01102: error reading status line from remote server :443
2013:09:23-13:41:18  reverseproxy: srcip="" localip="" size="0" user="-" host="" method="GET" statuscode="200" reason="-" extra="-" time="14736" url="/mifs/c/apix/v1/client//appstore" server="" referer="-" cookie="JSESSIONID=" set-cookie="-"
2013:09:23-13:41:18  reverseproxy: [Mon Sep 23 13:41:18.363377 2013] [proxy_http:error] [pid 5211:tid 3985619824] (20014)Internal error: [client :58917] AH01102: error reading status line from remote server :443
2013:09:23-13:41:18  reverseproxy: [Mon Sep 23 13:41:18.363398 2013] [proxy:error] [pid 5211:tid 3985619824] [client :58917] AH00898: Error reading from remote server returned by /mifs/c/apix/v1/client//appstore
2013:09:23-13:41:18  reverseproxy: srcip="" localip="" size="461" user="-" host="" method="GET" statuscode="502" reason="-" extra="-" time="13823" url="/mifs/c/apix/v1/client//appstore" server="" referer="-" cookie="JSESSIONID=" set-cookie="-"
2013:09:23-13:41:18  reverseproxy: srcip="" localip="" size="39" user="-" host="" method="GET" statuscode="404" reason="-" extra="-" time="14408" url="/apple-touch-icon-152x152-precomposed.png" server="" referer="-" cookie="-" set-cookie="JSESSIONID=; Path=/mifs; Secure; HttpOnly, HASH_JSESSIONID=; Path=/mifs; Secure"
2013:09:23-13:41:18  reverseproxy: srcip="" localip="" size="39" user="-" host="" method="GET" statuscode="404" reason="-" extra="-" time="13898" url="/apple-touch-icon-152x152.png" server="" referer="-" cookie="-" set-cookie="JSESSIONID=; Path=/mifs; Secure; HttpOnly, HASH_JSESSIONID=; Path=/mifs; Secure"
2013:09:23-13:41:18  reverseproxy: srcip="" localip="" size="39" user="-" host="" method="GET" statuscode="404" reason="-" extra="-" time="14605" url="/apple-touch-icon-precomposed.png" server="" referer="-" cookie="-" set-cookie="JSESSIONID=; Path=/mifs; Secure; HttpOnly, HASH_JSESSIONID=; Path=/mifs; Secure"
2013:09:23-13:41:18  reverseproxy: srcip="" localip="" size="45" user="-" host="" method="GET" statuscode="404" reason="-" extra="-" time="14330" url="/apple-touch-icon.png" server="" referer="-" cookie="-" set-cookie="JSESSIONID=; Path=/mifs; Secure; HttpOnly, HASH_JSESSIONID=; Path=/mifs; Secure" 


I masked some information in 

This happens only with this subpath. There is another portal running on this webserver (same real and virtual server) and thats running smoothly

Any ideas?

WAF is kinda hart to debug since the logs give not much of a clue what is the issue [:(]

best regards
chaser


This thread was automatically locked due to age.
Parents
  • Hello
    yes I get the public (external) IP of the DNS-record. So no splitt-DNS.

    I understand your confusion.

    Nevertheless the issue is not the crazy DNAT [;)] I want to get rid of that anyways.
    Its the issue that I get this errors for certain paths of the request done via WAF (and this error appears if you are an internal user as well as external)

    Best regards and sorry for the short answers...busy these days [:(]

    EDIT on the NAT-topic:
    If one reads closely one might get the opinion that this only is a problem if the accessed IP is the primary IP of the UTM:

    Cause
    DNS resolutions will reference the external interface address (given by the external DNS). 
    When the http proxy is enabled this results in a loop as the external address of the ASG is trying to access itself. 


    Also not sure if the KB still applies (though I think so since we have several (REQUIRED) FNATs for internal services. 

    Known to apply to the following Sophos product(s) and version(s)


    Sophos UTM Software Appliance

    Operating systems
    ASG 7, ASG 8


    Those FullNATs where required once the systems accessing the destination-system where in the same subnet as the webserver.
Reply
  • Hello
    yes I get the public (external) IP of the DNS-record. So no splitt-DNS.

    I understand your confusion.

    Nevertheless the issue is not the crazy DNAT [;)] I want to get rid of that anyways.
    Its the issue that I get this errors for certain paths of the request done via WAF (and this error appears if you are an internal user as well as external)

    Best regards and sorry for the short answers...busy these days [:(]

    EDIT on the NAT-topic:
    If one reads closely one might get the opinion that this only is a problem if the accessed IP is the primary IP of the UTM:

    Cause
    DNS resolutions will reference the external interface address (given by the external DNS). 
    When the http proxy is enabled this results in a loop as the external address of the ASG is trying to access itself. 


    Also not sure if the KB still applies (though I think so since we have several (REQUIRED) FNATs for internal services. 

    Known to apply to the following Sophos product(s) and version(s)


    Sophos UTM Software Appliance

    Operating systems
    ASG 7, ASG 8


    Those FullNATs where required once the systems accessing the destination-system where in the same subnet as the webserver.
Children
No Data