Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 3 subscribers
  • Views 2320 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Upgraded from 9.1 -> 9.2, proxy issues

szo850
Hi,
I've just took the step from 9.1 to the latest 9.2.

After a couple of hours, we had branch office users reporting that they no long could access our public website (internally accessed through the private IP in a dmz). They can ping and Telnet (http) the server just fine, but when browsing the get a forbidden error page from the UTM. 

The main office can access the website just fine. The branch office network is subject to Proxy filtering, that's the only difference between the two. When we inactivate the proxy, the branch office can access the website again. Proxy settings are pretty much default, we mainly use it for logging reasons.

Live logg gives:
exceptions="" error="Forbidden" authtime="0" dnstime="0" cattime="0" avscantime="0" fullreqtime="2918" device="0" auth="0" 

Any ideas?


This thread was automatically locked due to age.
  • 0
    Please show the complete log line.  You can obfuscate the domain and IPs as long as we can still tell whether they're private or public.

    Cheers - Bob
  • 0 in reply to BAlfson
    Please show the complete log line.  You can obfuscate the domain and IPs as long as we can still tell whether they're private or public.

    Cheers - Bob

    Sure thing, Bob

    2014:08:15-09:13:33 www-1 httpproxy[11104]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.0.72" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="2518" request="0x1106a9c0" url="http://www.publicweb.se/" exceptions="" error="Forbidden" authtime="0" dnstime="0" cattime="0" avscantime="0" fullreqtime="3646" device="0" auth="0" 


    From my client (192.168.0.72)
    C:\>ping www.publicweb.se

    Pinging webhost.publicweb.se [192.168.100.104] with 32 bytes of data:
    Reply from 192.168.100.104: bytes=32 time=5ms TTL=127

    Telnet 80 also works like a charm.

    We have split dns and are using a domain local a-record for name resolution, so the traffic is routed directly to the web server. I've edited the host file on my client with the public IP for the website, but I still get the same error in my browser.
  • 0
    filteraction=" ()"

    For some reason, your access didn't qualify for any Filter Action.  Please click on [Go Advanced] below and attach a picture of your "Default content filter profile assignment" open in Edit mode.  Also, one of 'Allowed networks' on the 'Global' tab.

    Cheers - Bob
  • 0 in reply to BAlfson
    For some reason, your access didn't qualify for any Filter Action.  Please click on [Go Advanced] below and attach a picture of your "Default content filter profile assignment" open in Edit mode.  Also, one of 'Allowed networks' on the 'Global' tab.

    Cheers - Bob
    Hm ok.

    Here are the screenies, I hope they are the ones you requested. [:)]

    Best Regards,
    Simon
  • 0
    Do you confirm that 192.168.0.72 is in the "sizo temp" subnet?  In 'Advanced settings' in the Policy, is 'Apply this policy to requests that have skipped authentication due to an exception' selected?  If not, is it selected in the "Base" Policy?

    Cheers - Bob
  • 0 in reply to BAlfson
    Do you confirm that 192.168.0.72 is in the "sizo temp" subnet?  In 'Advanced settings' in the Policy, is 'Apply this policy to requests that have skipped authentication due to an exception' selected?  If not, is it selected in the "Base" Policy?

    Cheers - Bob
    Yes, sizo temp is my own client as a matter of fact, with the IP above.

    The option you mentioned is selected in the policy. It's also selected (and greyed out) in the base policy.

    Best Regards,
    Simon
  • 0
    It's also selected (and greyed out) in the base policy.

    Since no Filter Action is being chosen, I suspect that you've uncovered a bug.  What do you see in the log if you de-select that in the Default and just leave it selected in the Base policy?

    Cheers - Bob
  • 0 in reply to BAlfson
    Since no Filter Action is being chosen, I suspect that you've uncovered a bug.  What do you see in the log if you de-select that in the Default and just leave it selected in the Base policy?

    Cheers - Bob

    Done. Log shows:
    2014:08:21-10:07:39 www-1 httpproxy[23324]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="128.1.0.72" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction=" ()" size="2518" request="0x10c68168" url="http://www.publicweb.se/" exceptions="" error="Forbidden" authtime="0" dnstime="0" cattime="0" avscantime="0" fullreqtime="43407648" device="0" auth="0" 

    So if this is a bug, how do I proceed?
  • 0
    Your reseller needs to get this issue to Sophos Support ASAP - just send them that log line and this link to this post.  The other workaround I would try is deselecting in the Base policy and selecting in the Default.

    Cheers - Bob
  • 0 in reply to BAlfson
    The other workaround I would try is deselecting in the Base policy and selecting in the Default.

    Cheers - Bob

    Same error. Thank you, Bob.

    Best Regards,
    Simon