Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 14 replies
  • Subscribers 0 subscribers
  • Views 5230 views
  • Users 0 members are here
Options
Suggested

[8.170][BUG][CLOSED] AAA strange behavior

PaulHolt
Hi all,

I'm having various issues with the authentication agent.  I get "Authentication Failed" and/or "The requested content is not allowed" errors.  Sometimes a simple fresh will bring the page up, other times I have to re-authenticate the agent or exit it and reload it.  There are even times when I have to give up on the agent and revert to the IP address in the WebFilter rules.

I get this on Vista SP2 with Firefox 4.01 and IE 9 as well as XP SP3 Firefox 4.01 and IE 8.  I have IPv6 enabled on the ASG with a Freenet6 tunnel, IPv6 is also enabled on the above clients.  I have two other XP SP3 systems (IPv4 only) running the agent and they seem to work fine so the issue seems to be IPv6 related.

Here is an excerpt from my client authentication log: 

2011:06:20-13:39:04 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: 0 5

2011:06:20-13:39:04 home-office argos[6985]: [argos_listen]: New connection from 192.168.123.6

2011:06:20-13:39:04 home-office argos[6985]: [auth_aua]: User pholt authenticated [REF_DefaultAdirectoryUserGroup]

2011:06:20-13:39:31 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: 0 5

2011:06:20-13:39:38 home-office argos[6985]: [argos_listen]: New connection from 192.168.123.6

2011:06:20-13:39:39 home-office argos[6985]: [auth_aua]: User pholt authenticated [REF_DefaultAdirectoryUserGroup]

2011:06:20-13:39:52 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: 0 5

2011:06:20-13:39:52 home-office argos[6985]: [argos_listen]: New connection from 192.168.123.6

2011:06:20-13:39:52 home-office argos[6985]: [auth_aua]: User pholt authenticated [REF_DefaultAdirectoryUserGroup]

2011:06:20-13:40:24 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: 0 5

2011:06:20-13:41:07 home-office argos[6985]: [argos_listen]: New connection from 192.168.123.6

2011:06:20-13:41:07 home-office argos[6985]: [auth_aua]: User pholt authenticated [REF_DefaultAdirectoryUserGroup]

2011:06:20-13:48:51 home-office argos[6985]: [argos_listen]: New connection from 192.168.123.190

2011:06:20-13:48:51 home-office argos[6985]: [auth_aua]: User PHolt authenticated [REF_DefaultAdirectoryUserGroup]

2011:06:20-13:48:54 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: -1 5

2011:06:20-13:49:26 home-office argos[6985]: [argos_cmd]: Failed to read from SSL socket: -1 5


When I upgraded to 8.170 I reloaded the agent on my systems but it seems to be the same version.  Should I wait for an update to the agent?  Is there logging for the client agent because the above messages don't seem helpful.  Am I looking in the right place for log info?

Paul
Parents
  • 0
    Using HE tunnel broker.  From the assigned /64 subnet, I gave my internal interface an IPv6 address.  Internal clients are assigned IPv6 addresses from this same subnet using Astaro DHCPv6.  Using proxy profile in full transparent mode.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Scott, mine is similar and IPv6 is working great.... better than freenet6.  I found freenet6 tunnel would stop after seeing no traffic for a while and I had to kick it to get it working again.

    Anyway, I use proxy profiles in full transparent mode, I tested without full and it still fails.  I have 5 profiles total with the machine specific ones (IP address specific) at the beginning (no user/groups defined) and the very last profile, profile 5,  uses the agent and is defined for the whole network with users specified in the assignments.  

    In profile 5 I have 4 assignments listed, each assignment is for specific users and there is no duplication of users within the 4 assignments.  My understanding is that when this profile is selected the system looks at the assignments and compares the requesting user to the users in the assignments.  It selects the matching assignment with the requesting user.  Is that correct?

    I know it is using profile 5 because I can change it and it changes the result.  I also know that it isn't skipping it because the default would be no authentication and to block all sites.

    I know this was a long explanation but I couldn't make it any shorter. [:$]

    Paul
Reply
  • 0 in reply to Scott_Klassen
    Scott, mine is similar and IPv6 is working great.... better than freenet6.  I found freenet6 tunnel would stop after seeing no traffic for a while and I had to kick it to get it working again.

    Anyway, I use proxy profiles in full transparent mode, I tested without full and it still fails.  I have 5 profiles total with the machine specific ones (IP address specific) at the beginning (no user/groups defined) and the very last profile, profile 5,  uses the agent and is defined for the whole network with users specified in the assignments.  

    In profile 5 I have 4 assignments listed, each assignment is for specific users and there is no duplication of users within the 4 assignments.  My understanding is that when this profile is selected the system looks at the assignments and compares the requesting user to the users in the assignments.  It selects the matching assignment with the requesting user.  Is that correct?

    I know it is using profile 5 because I can change it and it changes the result.  I also know that it isn't skipping it because the default would be no authentication and to block all sites.

    I know this was a long explanation but I couldn't make it any shorter. [:$]

    Paul
Children
  • 0 in reply to PaulHolt
    OK, I think I have narrowed it down.  It looks like it is a problem with Windows XP... my Vista box works fine. 

    I asked Scott Klassen what he was testing on and he tested with Windows 7 only.  In short the agent fails authentication on IPv6 web sites only... and works correctly for IPv4 sites on Windows XP machines.

    Paul
Unfiltered HTML