Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 8 replies
  • Subscribers 0 subscribers
  • Views 1569 views
  • Users 0 members are here
Options
Suggested

[9.190] AP30 fails to connect when IPS is enabled

RichBaldry
I have a UTM110 and an AP30. When I upgraded to the beta version the WiFi stopped working. The AP30 was failing to connect to the UTM. By trial and error I discovered that turning off IPS made it all work again. This first happened with the first beta release. It is still happening with 9.190.

There is nothing at all in the IPS log when I turn it on and off. When I turn on IPS, the wireless AP drops off within a minute or so. Turning IPS off, the AP reconnects within a minute or so.

To try and diagnose the problem further, I disabled all the IPS signatures, group by group. I also disabled all the anti-DoS/Flooding options. Even with all signatures and anti-DoS measures disabled, the AP30 still drops off every time I enable IPS and comes back when I disable it.

In the dhcpd.log, while IPS is enabled, I can still see DHCP requests coming in from the AP: 
2013:12:21-11:04:26 woodinhole dhcpd: DHCPDISCOVER from 00:1a:8c:08:99:58 (AP30-A400015FFF6AEBE) via br0

2013:12:21-11:04:27 woodinhole dhcpd: DHCPOFFER on 10.46.47.46 to 00:1a:8c:08:99:58 (AP30-A400015FFF6AEBE) via br0

2013:12:21-11:04:29 woodinhole dhcpd: if AP30-A400015FFF6AEBE.int.baldrys.ca IN A rrset doesn't exist add AP30-A400015FFF6AEBE.int.baldrys.ca 43200 IN A 10.46.47.46: timed out.

2013:12:21-11:04:29 woodinhole dhcpd: DHCPREQUEST for 10.46.47.46 (10.46.47.254) from 00:1a:8c:08:99:58 (AP30-A400015FFF6AEBE) via br0

2013:12:21-11:04:29 woodinhole dhcpd: DHCPACK on 10.46.47.46 to 00:1a:8c:08:99:58 (AP30-A400015FFF6AEBE) via br0


Looking in the wireless.log, I noticed that connection to awed seems to be particularly significant to the problem. I discovered, using telnet, that when IPS is enabled, it is not possible to connect to awed (port 2712) on the UTM from the internal wired network. When IPS is disabled, connection happens straight away.

I tried creating an IPS exception for traffic coming from my internal network to port 2712 on the UTM. This made no difference.

I tried creating a firewall rule to explicitly allow traffic coming from my internal network to port 2712 on the UTM. This made no difference.

I have now exhausted my technical capabilities. Any suggestions?
  • 0
    Hi,
    I would suggest you look at which interfaces you have IPS configured for?
    Or which interface you have your AP30 connected to?

    Ian
  • 0 in reply to RFCat_vk_01
    Is there a way to configure the interface for the IPS? I've set up the local network on Network Protection > Intrusion Prevention > Global. But where do I specify IPS for individual interfaces?

    The interface the AP30 is on is a bridge interface comprising three of the physical ports on the UTM. I don't know if that makes any difference...
  • 0
    Hi,

    can you please check which pattern version of ips you have installed?

    As root on the command line:
    rpm -qa | grep ipsbundle

    Best,
    Kofi
  • 0
    Hi,

    I have not really an idea what the problem here.
    I'll try to reproduce it on monday.

    Best,
    Kofi
  • 0
    I couldn't reproduce your issue. Tested it with a 320 and an AP30.

    I can also connect via telnet to port 2712.

    Can you check for your firewall rules?

    iptables-save |grep 2712

    Can you also please post the relevant output from the wireless.log.
    Best,
    Kofi
  • 0
    These are the log entries that happen. The first two lines correspond with when I turn on IPS. The last two are when I turn it back off again.

    2014:01:12-07:25:05 woodinhole awed[27728]: [A400015FFF6AEBE] ll_read: dead socket: Resource temporarily unavailable
    2014:01:12-07:25:05 woodinhole awed[27728]: [A400015FFF6AEBE] disconnected. Close socket and kill process.
    2014:01:12-07:34:06 woodinhole awed[4293]: [MASTER] new connection from 10.46.47.46:33663
    2014:01:12-07:34:06 woodinhole awed[6830]: [A400015FFF6AEBE] AP30 from 10.46.47.46:33663 identified as A400015FFF6AEBE
    2014:01:12-07:34:06 woodinhole awed[6830]: [A400015FFF6AEBE] (Re-)loaded identity and/or configuration

    There are no iptables rules relating to port 2712 that are not also there when IPS is disabled.

    -A AFC_EXCEPTIONS_IN -p tcp -m tcp --sport 1:65535 --dport 2712 -j CONNMARK --set-xmark 0x1239/0xffff
    -A AUTO_PRE -d 1.2.3.4/32 -i br0 -p tcp -m tcp --sport 1024:65535 --dport 2712 -j REDIRECT --to-ports 2712
    -A AUTO_INPUT -i br0 -p tcp -m tcp --sport 1024:65535 --dport 2712 -j CONFIRMED
    -A PSD_MATCH -s 10.46.47.0/24 -p tcp -m tcp --sport 1:65535 --dport 2712 -j RETURN
    -A USR_INPUT -s 10.46.47.0/24 -d 10.46.47.254/32 -p tcp -m tcp --sport 1:65535 --dport 2712 -m logmark --logmark 1  -j LOGACCEPT

    Two of these rules correspond to things I've tried to do to make it work -the last one is a firewall rule I created to try and log so I can see the connection attempts. The top one is where I added an exception for port 2712 in the IPS configuration. Neither rule has had any impact.

    While digging around again, I realised that it's not just the WiFi that's being blocked by enabling IPS. Many other connections are also blocked from my internal network, including DNS and Web Proxy (port 8080), although ssh still works and I can still make connections to WebAdmin. Interestingly, the failure doesn't happen immediately but, a minute or so after I enable IPS. As soon as I disable IPS they work again.
  • 0
    Hi,

    can you please take a look in the ips.log when ips is enabled? This sounds like ips is not running correct.

    Best,
    Kofi
Unfiltered HTML