Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 12 replies
  • Subscribers 0 subscribers
  • Views 4439 views
  • Users 0 members are here
Options
Suggested

[9.000][ANSWERED] Client no connection to server wehen updating

Albeck
Hi,

I just upgraded an ASG to Version 9 and now wanted to test the Endpoint protection.

I enabled it, downloaded the Installer (full) but during the install at the time "registring server" (or something) it does nothing, waits the 5 minits countdown and then continues.


After the installation, the endpoint client doen't show up at the utm and when trying to manually update then the error "no connection to servers" shows up.

In the UTM Webfiltering there is under exceptions the Sophos LiveConnect is enabled. Besides I'm using proxy profiles but most of them use the default webfilter profile.

I have upgraded form 8.305. These are the loglines in the UTM Endpoint:

2012:06:29-10:40:29 ALBECK-UTM-SRV epsecd[4720]: I Epsec::Utils::Logging::_log:59() => id="4202" severity="info" sys="System" sub="epsecd" name="Run initialization database"
2012:06:29-10:40:32 ALBECK-UTM-SRV epsecd[4720]: I Epsec::Utils::Logging::_log:59() => id="4247" severity="info" sys="System" sub="epsecd" name="Sending data to Sophos LiveConnect to sync UTM with the Broker"
2012:06:29-11:05:08 ALBECK-UTM-SRV epsecd[4781]: I Epsec::Utils::Logging::_log:59() => id="4201" severity="info" sys="System" sub="epsecd" name="Epsecd starting"
2012:06:29-11:05:09 ALBECK-UTM-SRV epsecd[4781]: D Epsec::Utils::Logging::_log:59() => id="4210" severity="debug" sys="System" sub="epsecd" name="Sleeping for 23 seconds"
2012:06:29-11:05:32 ALBECK-UTM-SRV epsecd[4781]: I Epsec::Utils::Logging::_log:59() => id="4202" severity="info" sys="System" sub="epsecd" name="Run initialization database"
2012:06:29-11:05:32 ALBECK-UTM-SRV epsecd[4781]: I Epsec::Utils::Logging::_log:59() => id="4247" severity="info" sys="System" sub="epsecd" name="Sending data to Sophos LiveConnect to sync UTM with the Broker"
2012:06:29-11:44:59 ALBECK-UTM-SRV epsecd[10133]: I Epsec::Utils::Logging::_log:59() => id="4201" severity="info" sys="System" sub="epsecd" name="Epsecd starting"
2012:06:29-11:44:59 ALBECK-UTM-SRV epsecd[10133]: D Epsec::Utils::Logging::_log:59() => id="4210" severity="debug" sys="System" sub="epsecd" name="Sleeping for 13 seconds"
2012:06:29-11:45:12 ALBECK-UTM-SRV epsecd[10133]: I Epsec::Utils::Logging::_log:59() => id="4202" severity="info" sys="System" sub="epsecd" name="Run initialization database"
2012:06:29-11:45:12 ALBECK-UTM-SRV epsecd[10133]: I Epsec::Utils::Logging::_log:59() => id="4247" severity="info" sys="System" sub="epsecd" name="Sending data to Sophos LiveConnect to sync UTM with the Broker" 


Hope you can help me, want to get this rolled out. If you need more information let me know.

Edit: also after importing the old V8 home licence, Endponit Protection doesn't show up in the Dashboard unter the Information, but I'm still able to enable it.

Thanks, Albeck
Parents
  • 0
    Well, I now managed, that the Endpoint shows up in the UTM and has some Settings shown up in the Update configuration, but the update itself still fails and the UTM shows the device as "out of date".

    Proxy is in standard mode without authentification and exception for the sophos live update in the Wefiltering settings is still active.

    Any hint?
    Thanks, Albeck.
Reply
  • 0
    Well, I now managed, that the Endpoint shows up in the UTM and has some Settings shown up in the Update configuration, but the update itself still fails and the UTM shows the device as "out of date".

    Proxy is in standard mode without authentification and exception for the sophos live update in the Wefiltering settings is still active.

    Any hint?
    Thanks, Albeck.
Children
  • 0 in reply to Albeck
    Well, I now managed, that the Endpoint shows up in the UTM and has some Settings shown up in the Update configuration, but the update itself still fails and the UTM shows the device as "out of date".

    Proxy is in standard mode without authentification and exception for the sophos live update in the Wefiltering settings is still active.

    Any hint?
    Thanks, Albeck.


    What shows your http log?

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
  • 0 in reply to Albeck
    The Web Filtering Log shos this a few times when i search for broker.sophos.com in the logs:

    2012:06:29-11:16:39 ALBECK-UTM-SRV httpproxy[6766]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.144.100" dstip="176.34.185.65" user="" statuscode="200" cached="0" profile="REF_HttProInternal (Internal)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="107837504" request="0xf5e13d40" url="http://mcs1-6a18.broker.sophos.com/agent/?id=e8c2ea94-6a18-36d0-a892-718964f0e4ea-0J06768PA22VX&edx=full" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension" error=""


    However there is "action: pass", it does not work..

    Firewall Log shows this strange thing:

    2012:06:29-17:48:58 ALBECK-UTM-SRV ulogd[4272]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth1" outitf="ppp0" srcmac="0:15:5d:90:a:10" dstmac="0:15:5d:90:a:14" srcip="192.168.144.206" dstip="80.239.221.41" proto="6" length="52" tos="0x00" prec="0x00" ttl="127" srcport="49263" dstport="80" tcpflags="SYN" 
    2012:06:29-17:49:20 ALBECK-UTM-SRV ulogd[4272]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth1" outitf="ppp0" srcmac="0:15:5d:90:a:10" dstmac="0:15:5d:90:a:14" srcip="192.168.144.206" dstip="80.239.221.32" proto="6" length="52" tos="0x00" prec="0x00" ttl="127" srcport="49264" dstport="80" tcpflags="SYN" 


    Don't konw if that is helpfull, but behind the IP 80.239.221.41 etc there is ******.costumer.teliacarrier.com. Maybe UTM uses this? Since I testes it a fresh installed vm only with internet explorere, i don't even know why this vm tries to connect to this ip, so I think it musst be something with the sophos client? And then I donÄt know why it don't uses the web proxy settings for port 80 destination?
  • 0 in reply to Albeck
    As my ASG's webproxy is highly modified, I'm not sure, which exceptions are per default set from the SophosUTM

    But using these two here should do the trick

    Sophos Update

    Skip Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal

    ^https?\://.*\.sophosupd\.com/update/
    ^https?\://.*\.sophos\.com/update/

    MCS Broker Service

    Skip Authentication / Caching / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / Certificate Trust Check / Certificate Date Check

    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}\.broker\.sophos\.com

    Please give feedback if it helped or not ;o))

    BTW: Are you using the HTTPS scanner ?
  • 0 in reply to Sascha Paris
    Well since the default exceptions are enabled: 
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}\.broker\.sophos\.com/
    ^https?://mcs[0-9]*-[A-Za-z0-9]{4}-d\.broker\.sophos\.com/
    Skipping:
    Authentication / Caching / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check

    I don't think it is realated to that. You would be kidding me, if everyone who wants to use Endpoint protections has to modify the default exception first...

    Second thing I tried is a Any-Any rule for the specified host in the firewall but this also doesn't help....

    I just don't know what is going on there...I'm nearly about to say that this is not my fault...

    Edit: HTTPS Scanner is disabled by the way.
Unfiltered HTML