11
Probleme mit Sophos Proxy UTM9 SG230
Hallo Forum,
vielleicht könnt ihr mir zu folgendem Problem weiterhelfen:
Es kommt momentan sehr häufig vor, dass über den oben genannten Proxy Anfragen an eine URL mit einem Time Out zurück kommen. ( ERR_TIMED_OUT , Webseite nicht verfügbar)
Es handelt sich hierbei um eine Sophos UTM9 parallel zu einer Checkpoint Firewall.
Alle Http und email Anfragen werden von der UTM übernommen. Kurioserweise treten die Time Outs nicht immer auf und wenn ich der Proxy ganz deaktiviert werden, dann gibt es keine Probleme.
Hat zufällig jemand eine Idee, oder gleiche Erfahrungen mit einer Sophos UTM machen müssen?
vielleicht könnt ihr mir zu folgendem Problem weiterhelfen:
Es kommt momentan sehr häufig vor, dass über den oben genannten Proxy Anfragen an eine URL mit einem Time Out zurück kommen. ( ERR_TIMED_OUT , Webseite nicht verfügbar)
Es handelt sich hierbei um eine Sophos UTM9 parallel zu einer Checkpoint Firewall.
Alle Http und email Anfragen werden von der UTM übernommen. Kurioserweise treten die Time Outs nicht immer auf und wenn ich der Proxy ganz deaktiviert werden, dann gibt es keine Probleme.
Hat zufällig jemand eine Idee, oder gleiche Erfahrungen mit einer Sophos UTM machen müssen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 317041
Url: https://administrator.de/contentid/317041
Printed on: April 24, 2024 at 17:04 o'clock
11 Comments
Latest comment
Hallo Leo,
nein, ich vermute eine Fehlkonfiguration (Netz/UTM). Wenn du Bedarf an einer Analyse hast, schreibst mir einfach eine PN.
VG
Christian
PS: Was heisst Sophos parallel zur Checkpoint?
nein, ich vermute eine Fehlkonfiguration (Netz/UTM). Wenn du Bedarf an einer Analyse hast, schreibst mir einfach eine PN.
VG
Christian
PS: Was heisst Sophos parallel zur Checkpoint?
Hallo,
DNS bei dir ist wie?
Kann deine Sophos die Ziele (URLs) denn erreichen oder ist es gar Traffic der deine Sophos wohlweislich zurückhalten soll (EXE Dateien als beispiel)?
Was genau soll deine UTM denn tatsächlich alles tun?
Gruß,
Peter
Zitat von @Leo-le:
Es handelt sich hierbei um eine Sophos UTM9 parallel zu einer Checkpoint Firewall.
Parallel? Wie hast deine Switche dazu gebracht als HUB zu agieren?Es handelt sich hierbei um eine Sophos UTM9 parallel zu einer Checkpoint Firewall.
der Proxy ganz deaktiviert werden, dann gibt es keine Probleme.
Den Proxy deaktiviert oder den Quellen ein Bypass erlaubt?DNS bei dir ist wie?
Kann deine Sophos die Ziele (URLs) denn erreichen oder ist es gar Traffic der deine Sophos wohlweislich zurückhalten soll (EXE Dateien als beispiel)?
oder gleiche Erfahrungen mit einer Sophos UTM machen müssen?
Bei Fehlerhaften Konfigurationen - ja.Was genau soll deine UTM denn tatsächlich alles tun?
Gruß,
Peter
Servus,
die Sophos ist hauptsächlich als Mail-Filter und zur Web Protection konfiguriert.
Mit Proxy deaktiviert meine ich, dass er nicht in den Internet Einstellungen angegeben wird und die Pakete somit direkt über die FW gehen.
Insgesamt funktioniert die Konstellation auch ganz gut, bloß gibt es eben zur zeit häufig Time Outs von HTTPS Sites.
Die Sophos Ziele können nicht erreicht werden, dass sieht man anhand der Fehlermeldung(Time Out auf der Seite) Bei einem Sophos Blocking würden die blocks im Protokoll stehen, oder?
die Sophos ist hauptsächlich als Mail-Filter und zur Web Protection konfiguriert.
Mit Proxy deaktiviert meine ich, dass er nicht in den Internet Einstellungen angegeben wird und die Pakete somit direkt über die FW gehen.
Insgesamt funktioniert die Konstellation auch ganz gut, bloß gibt es eben zur zeit häufig Time Outs von HTTPS Sites.
Die Sophos Ziele können nicht erreicht werden, dass sieht man anhand der Fehlermeldung(Time Out auf der Seite) Bei einem Sophos Blocking würden die blocks im Protokoll stehen, oder?
Hallo,
Lies dir mal die Hilfe durch und lese Begriffe vorher nach was diese bedeuten.
Gruß,
Peter
Zitat von @Leo-le:
Mit Proxy deaktiviert meine ich, dass er nicht in den Internet Einstellungen angegeben wird
Das was du meinst ist ein "Transparenter Proxy" - eben wo "nichts im Browser eingetragen" wird und ein Anwender gar nicht mitbekommt ob ein Proxy verwendet wird oder nicht. Das hat aber absolut nichts mit einen Deaktivierten Proxy zu tun. Hier im Bild ist ein transparenter Proxy am werkeln, keine der Clients hat iregendetwas in den Browser Einstellungen eingetragen, und trotzdem wird HTTP/HTTPS zwingend über einen Proxy gefahren.Mit Proxy deaktiviert meine ich, dass er nicht in den Internet Einstellungen angegeben wird
Lies dir mal die Hilfe durch und lese Begriffe vorher nach was diese bedeuten.
und die Pakete somit direkt über die FW gehen.
Kann auch gezielt für Quellen und / oder Ziele eingestellt werden.Insgesamt funktioniert die Konstellation auch ganz gut, bloß gibt es eben zur zeit häufig Time Outs von HTTPS Sites.
Bei dir stehen diese dann im Log der Firewall sofern du ein logging der betroffenen Regel eingestellt hast. Natürlich ist Festplattenplatz entsprechend eures Aufkommens vorher zu berücksichtigen sowie wie was wie lange an Logs gespeichert werden soll.Die Sophos Ziele können nicht erreicht werden
Kann die Sophos selbst die Ziele nicht erreichen? Wie ist deren Auslatung? WAN überlastet? DNS überlastet? Hardware ausgereizt? Die Firewall lässt die Pakete durch? Welche Firewall Regel wird bei dir für http/https für diesen Client angewendet. Du hast den Web Protection - Web Filtering tatsächlich deaktiviert? Wenn dann der Client meldet Timeout und in Network Protection - Firewall im Live Log keinerlei blockierung erkennbar ist, Web Filterung ist deaktiviert, dann wird entweder der webServer so lange brauchen oder deine Sohos UTM ist zu langsam...Protokoll stehen, oder?
Du musst dir klar werden wie ein Datenpaket deines LAN (1492 Byte) wie wohin wodurch geleitet wird und was dort an den verschieden Stellen (Firewall, Proxy, Reverse Proxy....) mit den Datenpaketen passiert. Lass mal den wireshark auf den betroffenen Clienten laufen und gezielt den datenverkehr mitschneiden wenn es wieder klemmt. Dann solltest du etwas mehr sehen besonders im Zeitlichen verhalten. Die Sophos UTM kann dir auch Pakete mitschneiden für dein Wireshark. https://community.sophos.com/kb/de-de/115343Gruß,
Peter
Vielen Dank erstmal für deine Antwort
Lies dir mal die Hilfe durch und lese Begriffe vorher nach was diese bedeuten.
der Transparente Modus ist mir schon klar. Wir fahren aber den Standardmodus und ich meine mit deaktivieren, wenn ich auf dem Client die Interneteinstellungen bearbeite und dort den Proxy raus werfe.
Lies dir mal die Hilfe durch und lese Begriffe vorher nach was diese bedeuten.
der Transparente Modus ist mir schon klar. Wir fahren aber den Standardmodus und ich meine mit deaktivieren, wenn ich auf dem Client die Interneteinstellungen bearbeite und dort den Proxy raus werfe.
Ich habe mich nun eben nochmal drauf geschaltet. Die FW wird protokolliert, aber es kommt leider nicht zur Antwort auf eine google https Adresse. Manchmal funktioniert es aber, sehr seltsam.
Selbst der Zugriff auf https://wireshark.org wird nicht durchgelassen und ich bekomme ein Time Out(Seite nicht Verfügbar). Vor ein paar Monaten gab es da keinerlei Probleme, wenn ich mich recht erinnere.
Hallo,
Dann nutze ihn da wo er angebracht ist und nicht so ihr denn euch zurecht legt. Es kennt keiner deiner definition und denkt dann grundsätzlich was anderes.
Pop-up Blocker der da wichtige Fragen wegblockt?
Gespeicherte Passwörter im Tresor die nicht mehr passen?
Falsche Proxy Einstellungen wenn doch gesurft werden darf bzw. soll?
HTTPS wird einfach geblockt entweder eingehend oder gar ausgehend (aus Sicht der Sophos)?
Fehlerhafte Konfiguration wo auch immer bei deiner Parallelschaltungen deiner Sophos und deiner Checkpoint?
Wenn deine Logs (Checkpoint und/oder Sophos UTM) dir nichts sagen, Kabelhai ins Wasser werfen. Je nach was bei euch so alles herumwerkelt sollte selbst in der "mal gehts nicht - mal gehts" eine regelmässigkeit evtl. erkennbar sein. Meine Glaskugel mit Orakelberechtigungsbescheinigung macht gleich Wochenende
Gruß,
Peter
Dann nutze ihn da wo er angebracht ist und nicht so ihr denn euch zurecht legt. Es kennt keiner deiner definition und denkt dann grundsätzlich was anderes.
Wir fahren aber den Standardmodus und ich meine mit deaktivieren, wenn ich auf dem Client die Interneteinstellungen bearbeite und dort den Proxy raus werfe.
Und für was soll das gut sein und was soll damit (ausser mehrarbeit) tatsächlich bezweckt werden? Nicht ganz klar was ihr damit bezwecken wollt bzw. tut.aber es kommt leider nicht zur Antwort auf eine google https Adresse. Manchmal funktioniert es aber, sehr seltsam.
Selbst der Zugriff auf https://wireshark.org wird nicht durchgelassen und ich bekomme ein Time Out(Seite nicht Verfügbar).
Authentifizierung?Selbst der Zugriff auf https://wireshark.org wird nicht durchgelassen und ich bekomme ein Time Out(Seite nicht Verfügbar).
Pop-up Blocker der da wichtige Fragen wegblockt?
Gespeicherte Passwörter im Tresor die nicht mehr passen?
Falsche Proxy Einstellungen wenn doch gesurft werden darf bzw. soll?
HTTPS wird einfach geblockt entweder eingehend oder gar ausgehend (aus Sicht der Sophos)?
Fehlerhafte Konfiguration wo auch immer bei deiner Parallelschaltungen deiner Sophos und deiner Checkpoint?
Wenn deine Logs (Checkpoint und/oder Sophos UTM) dir nichts sagen, Kabelhai ins Wasser werfen. Je nach was bei euch so alles herumwerkelt sollte selbst in der "mal gehts nicht - mal gehts" eine regelmässigkeit evtl. erkennbar sein. Meine Glaskugel mit Orakelberechtigungsbescheinigung macht gleich Wochenende
Gruß,
Peter
Vielen Dank erstmal für deine Hilfe. Warum hier nicht der TransparentModus verwendet wurde, fragte ich mich auch schon die ganze Zeit. Das werde ich sinnvollerweise demnächst andern. Warum aber seit neusten einige Seiten einen Time Out bringen ist mir völlig rätselhaft. Vorallem größtenteils bei https und das eher sporadisch. Die Seite https://Accounts/Google bekomme ich gar nicht aufgerufen.
Hallo,
Vielleicht bevor du alles andere umstellst und Haifischen gehst. Getätigte Einstellungen können ja mitgeschrieben und zurückgesetzt werden für dein Debug der nicht antwortenden https Seiten.
Gruß,
Peter
Vielleicht bevor du alles andere umstellst und Haifischen gehst. Getätigte Einstellungen können ja mitgeschrieben und zurückgesetzt werden für dein Debug der nicht antwortenden https Seiten.
Die Seite https://Accounts/Google bekomme ich gar nicht aufgerufen.
Na, da braucht es aber keine Glaskugel bei der Schreibweise deines angeblichen link - wird das nämlich nie etwas ausser dein DNS / Hosts / NETBIOS kann mit Accounts etwas anfangen... Gruß,
Peter
Die Seite https://Accounts/Google bekomme ich gar nicht aufgerufen.
Na, da braucht es aber keine Glaskugel bei der Schreibweise deines angeblichen link - wird das nämlich nie etwas ausser dein DNS / Hosts / NETBIOS kann mit Accounts etwas anfangen... Das Problem ist nun tatsächlich erstmal gelöst, der Logbericht erzählte mir nun eine ganz andere Problemstellung und mit Hilfe von google bin ich dann auf eine Funktionsstörung des Gerätes gestoßen. Sophos untersucht den Fall nun.
Vielen Dank erstmal, ich werde den weiteren Verlauf dann hier mit rein stellen.
