Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 8 replies
  • Subscribers 0 subscribers
  • Views 1575 views
  • Users 0 members are here
Options
Suggested

[9.190] AP30 fails to connect when IPS is enabled

RichBaldry
I have a UTM110 and an AP30. When I upgraded to the beta version the WiFi stopped working. The AP30 was failing to connect to the UTM. By trial and error I discovered that turning off IPS made it all work again. This first happened with the first beta release. It is still happening with 9.190.

There is nothing at all in the IPS log when I turn it on and off. When I turn on IPS, the wireless AP drops off within a minute or so. Turning IPS off, the AP reconnects within a minute or so.

To try and diagnose the problem further, I disabled all the IPS signatures, group by group. I also disabled all the anti-DoS/Flooding options. Even with all signatures and anti-DoS measures disabled, the AP30 still drops off every time I enable IPS and comes back when I disable it.

In the dhcpd.log, while IPS is enabled, I can still see DHCP requests coming in from the AP: 
2013:12:21-11:04:26 woodinhole dhcpd: DHCPDISCOVER from 00:1a:8c:08:99:58 (AP30-A400015FFF6AEBE) via br0

2013:12:21-11:04:27 woodinhole dhcpd: DHCPOFFER on 10.46.47.46 to 00:1a:8c:08:99:58 (AP30-A400015FFF6AEBE) via br0

2013:12:21-11:04:29 woodinhole dhcpd: if AP30-A400015FFF6AEBE.int.baldrys.ca IN A rrset doesn't exist add AP30-A400015FFF6AEBE.int.baldrys.ca 43200 IN A 10.46.47.46: timed out.

2013:12:21-11:04:29 woodinhole dhcpd: DHCPREQUEST for 10.46.47.46 (10.46.47.254) from 00:1a:8c:08:99:58 (AP30-A400015FFF6AEBE) via br0

2013:12:21-11:04:29 woodinhole dhcpd: DHCPACK on 10.46.47.46 to 00:1a:8c:08:99:58 (AP30-A400015FFF6AEBE) via br0


Looking in the wireless.log, I noticed that connection to awed seems to be particularly significant to the problem. I discovered, using telnet, that when IPS is enabled, it is not possible to connect to awed (port 2712) on the UTM from the internal wired network. When IPS is disabled, connection happens straight away.

I tried creating an IPS exception for traffic coming from my internal network to port 2712 on the UTM. This made no difference.

I tried creating a firewall rule to explicitly allow traffic coming from my internal network to port 2712 on the UTM. This made no difference.

I have now exhausted my technical capabilities. Any suggestions?
Parents
  • 0
    These are the log entries that happen. The first two lines correspond with when I turn on IPS. The last two are when I turn it back off again.

    2014:01:12-07:25:05 woodinhole awed[27728]: [A400015FFF6AEBE] ll_read: dead socket: Resource temporarily unavailable
    2014:01:12-07:25:05 woodinhole awed[27728]: [A400015FFF6AEBE] disconnected. Close socket and kill process.
    2014:01:12-07:34:06 woodinhole awed[4293]: [MASTER] new connection from 10.46.47.46:33663
    2014:01:12-07:34:06 woodinhole awed[6830]: [A400015FFF6AEBE] AP30 from 10.46.47.46:33663 identified as A400015FFF6AEBE
    2014:01:12-07:34:06 woodinhole awed[6830]: [A400015FFF6AEBE] (Re-)loaded identity and/or configuration

    There are no iptables rules relating to port 2712 that are not also there when IPS is disabled.

    -A AFC_EXCEPTIONS_IN -p tcp -m tcp --sport 1:65535 --dport 2712 -j CONNMARK --set-xmark 0x1239/0xffff
    -A AUTO_PRE -d 1.2.3.4/32 -i br0 -p tcp -m tcp --sport 1024:65535 --dport 2712 -j REDIRECT --to-ports 2712
    -A AUTO_INPUT -i br0 -p tcp -m tcp --sport 1024:65535 --dport 2712 -j CONFIRMED
    -A PSD_MATCH -s 10.46.47.0/24 -p tcp -m tcp --sport 1:65535 --dport 2712 -j RETURN
    -A USR_INPUT -s 10.46.47.0/24 -d 10.46.47.254/32 -p tcp -m tcp --sport 1:65535 --dport 2712 -m logmark --logmark 1  -j LOGACCEPT

    Two of these rules correspond to things I've tried to do to make it work -the last one is a firewall rule I created to try and log so I can see the connection attempts. The top one is where I added an exception for port 2712 in the IPS configuration. Neither rule has had any impact.

    While digging around again, I realised that it's not just the WiFi that's being blocked by enabling IPS. Many other connections are also blocked from my internal network, including DNS and Web Proxy (port 8080), although ssh still works and I can still make connections to WebAdmin. Interestingly, the failure doesn't happen immediately but, a minute or so after I enable IPS. As soon as I disable IPS they work again.
Reply
  • 0
    These are the log entries that happen. The first two lines correspond with when I turn on IPS. The last two are when I turn it back off again.

    2014:01:12-07:25:05 woodinhole awed[27728]: [A400015FFF6AEBE] ll_read: dead socket: Resource temporarily unavailable
    2014:01:12-07:25:05 woodinhole awed[27728]: [A400015FFF6AEBE] disconnected. Close socket and kill process.
    2014:01:12-07:34:06 woodinhole awed[4293]: [MASTER] new connection from 10.46.47.46:33663
    2014:01:12-07:34:06 woodinhole awed[6830]: [A400015FFF6AEBE] AP30 from 10.46.47.46:33663 identified as A400015FFF6AEBE
    2014:01:12-07:34:06 woodinhole awed[6830]: [A400015FFF6AEBE] (Re-)loaded identity and/or configuration

    There are no iptables rules relating to port 2712 that are not also there when IPS is disabled.

    -A AFC_EXCEPTIONS_IN -p tcp -m tcp --sport 1:65535 --dport 2712 -j CONNMARK --set-xmark 0x1239/0xffff
    -A AUTO_PRE -d 1.2.3.4/32 -i br0 -p tcp -m tcp --sport 1024:65535 --dport 2712 -j REDIRECT --to-ports 2712
    -A AUTO_INPUT -i br0 -p tcp -m tcp --sport 1024:65535 --dport 2712 -j CONFIRMED
    -A PSD_MATCH -s 10.46.47.0/24 -p tcp -m tcp --sport 1:65535 --dport 2712 -j RETURN
    -A USR_INPUT -s 10.46.47.0/24 -d 10.46.47.254/32 -p tcp -m tcp --sport 1:65535 --dport 2712 -m logmark --logmark 1  -j LOGACCEPT

    Two of these rules correspond to things I've tried to do to make it work -the last one is a firewall rule I created to try and log so I can see the connection attempts. The top one is where I added an exception for port 2712 in the IPS configuration. Neither rule has had any impact.

    While digging around again, I realised that it's not just the WiFi that's being blocked by enabling IPS. Many other connections are also blocked from my internal network, including DNS and Web Proxy (port 8080), although ssh still works and I can still make connections to WebAdmin. Interestingly, the failure doesn't happen immediately but, a minute or so after I enable IPS. As soon as I disable IPS they work again.
Children
No Data
Unfiltered HTML