Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 74 replies
  • Subscribers 2 subscribers
  • Views 40597 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

http Proxy gone down after upgrade to 8.303

HMaster
I also have problems after the upgrade form 8.302 to 8.303.

My network behind the Astaro Appliance cannot connect to the Internet anymore. Except when I change the InternetExplorer/FireFox setting to not use Proxy settings. 
Before the upgrade all systems (laptops/desktops/servers) could connect to without any problems. (Only 1 desktop had problems with FireFox proxy settings in combination with Facebook.com (constantly asking for network username and password)).

I checked many settings in the Astaro. Changed the WebFiltering Authantication mode form "None" to "Active Directory SSO" with 2 AD groups. But nothing works. 
I found out, that the problems lie in the http-proxy settings, because the Exange server behind tha Astaro has no problems on the port 25. While the port 8080 is blocked. 

PLEASE HELP!

See below for a copy/paste from the LiveLog

2012:05:19-15:13:41 VUURMUUR httpproxy[4282]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.115" dstip="" user="huib" statuscode="407" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction=" ()" size="4718" request="0xac63048" url="www.google.nl/" exceptions="" error=""
2012:05:19-15:13:56 VUURMUUR httpproxy[4282]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.115" dstip="" user="huib" statuscode="403" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="6600" request="0xac63048" url="www.google.nl/" exceptions="" error=""
2012:05:19-15:15:09 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="confd_config_reload_func" file="confd-client.c" line="721" message="reloading config"
2012:05:19-15:15:10 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="parse_address" file="util.c" line="548" message="getaddrinfo: passthrough6.fw-notify.net: Name or service not known"
2012:05:19-15:15:10 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="confd_config_filter" file="confd-client.c" line="2596" message="failed to resolve passthrough6.fw-notify.net, using 2a01:198:200:680::8080"
2012:05:19-15:15:10 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="confd_config_reload_func" file="confd-client.c" line="759" message="reloading config done, new version 330"
2012:05:19-15:15:25 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x9d53710" function="auth_adir_update_sid_whitelist_callback" file="auth_adir.c" line="1020" message="winbindd lookup of SID for groupname [Astaro Proxy Users] failed ()"
2012:05:19-15:15:25 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x9d53710" function="auth_adir_getsid_callback" file="auth_adir.c" line="586" message="winbindd request failed ()"
2012:05:19-15:15:25 VUURMUUR httpproxy[4282]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.1" dstip="" user="administrator" statuscode="407" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction=" ()" size="4718" request="0x9d53710" url="www.google.nl/" exceptions="" error=""
2012:05:19-15:15:28 VUURMUUR httpproxy[4282]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.1" dstip="" user="administrator" statuscode="403" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="6600" request="0x9d53710" url="www.google.nl/" exceptions="" error=""

2012:05:19-15:22:14 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xab54e68" function="auth_adir_update_sid_whitelist_callback" file="auth_adir.c" line="1020" message="winbindd lookup of SID for groupname [Astaro Proxy Users] failed ()"
2012:05:19-15:22:14 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xab54e68" function="auth_adir_update_sid_whitelist_callback" file="auth_adir.c" line="1020" message="winbindd lookup of SID for groupname [Astaro Proxy Users] failed ()"
2012:05:19-15:22:14 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xab54e68" function="auth_adir_getsid_callback" file="auth_adir.c" line="586" message="winbindd request failed ()"
2012:05:19-15:22:14 VUURMUUR httpproxy[4282]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.1" dstip="" user="administrator" statuscode="407" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction=" ()" size="4718" request="0xab54e68" url="www.google.nl/" exceptions="" error=""
2012:05:19-15:22:14 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xab54e68" function="auth_adir_update_sid_whitelist_callback" file="auth_adir.c" line="1020" message="winbindd lookup of SID for groupname [Astaro Proxy Users] failed ()"
2012:05:19-15:22:14 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xab54e68" function="auth_adir_getsid_callback" file="auth_adir.c" line="586" message="winbindd request failed ()"
2012:05:19-15:22:14 VUURMUUR httpproxy[4282]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.1" dstip="" user="administrator" statuscode="407" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction=" ()" size="4718" request="0xab54e68" url="www.google.nl/" exceptions="" error=""
2012:05:19-15:22:14 VUURMUUR httpproxy[4282]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xab54e68" function="auth_adir_getsid_callback" file="auth_adir.c" line="586" message="winbindd request failed ()"
2012:05:19-15:22:14 VUURMUUR httpproxy[4282]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.1" dstip="" user="administrator" statuscode="407" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction=" ()" size="4718" request="0xab54e68" url="www.google.nl/" exceptions="" error=""
2012:05:19-15:22:17 VUURMUUR httpproxy[4282]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.1" dstip="" user="administrator" statuscode="403" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="6600" request="0xab54e68" url="www.google.nl/" exceptions="" error=""
2012:05:19-15:22:17 VUURMUUR httpproxy[4282]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.1" dstip="" user="administrator" statuscode="403" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="6600" request="0xab54e68" url="www.google.nl/" exceptions="" error=""
2012:05:19-15:22:17 VUURMUUR httpproxy[4282]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.1" dstip="" user="administrator" statuscode="403" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="6600" request="0xab54e68" url="www.google.nl/" exceptions="" error=""


This thread was automatically locked due to age.
  • 0
    @abilio: I think the Request Routing was all that was necessary.  Still, I think this is a new bug.  I like your new solution better because it is closer to DNS Best Practice.

    For others that are still having problems after rejoining the domain, I'm curious if clearing the authentication cache restarts winbindd.  If not, then does doing /etc/rc.d/aua restart as root at the command line restart winbindd?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    @abilio: I think the Request Routing was all that was necessary.  Still, I think this is a new bug.  I like your new solution better because it is closer to DNS Best Practice.

    For others that are still having problems after rejoining the domain, I'm curious if clearing the authentication cache restarts winbindd.  If not, then does doing /etc/rc.d/aua restart as root at the command line restart winbindd?

    Cheers - Bob


    The option you give does work...... For a few hours. Yesterday I did an update tot version 8.305. Rebooted the Astaro-VM. Did the aua restart in the Root of the VM. Restarted the Astaro.
    Then the http-proxy worked for the clients. Until now. I checked the AD server remotly (AD server is on the same ESXi server) and the proxy gives the winbindd error again...[:@][:@][:@]
  • 0
    Thanks, HMaster, for testing those ideas.  Do I understand correctly that clearing the authentication cache did not work, but that restarting aua resulted in winbindd restarting and authentication working without having to reboot the Astaro?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks, HMaster, for testing those ideas.  Do I understand correctly that clearing the authentication cache did not work, but that restarting aua resulted in winbindd restarting and authentication working without having to reboot the Astaro?

    Cheers - Bob


    BAlfson, I did reboot the Astaro after the aua restart. Just to be sure.
    That did help .... for a few hours. Because after a few hours the winbindd loses connection or is somewhere reset to "No-access" in the Astaro (or AD connection).

    I have done research in my AD server, but could not find any strange errors. [:S]
  • 0
    If you could try that without rebooting, it would be great to know if something could be done at the command line that doesn't require a reboot or rejoining the domain.  A cron job could run that automatically every hour or two until 8.306 (?) fixes the problem.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    If you could try that without rebooting, it would be great to know if something could be done at the command line that doesn't require a reboot or rejoining the domain.  A cron job could run that automatically every hour or two until 8.306 (?) fixes the problem.

    Cheers - Bob


    I just did a rebootless restart of the aua at the root, but that did not worked on the Astaro. I restarted the aua 3 times (just to be sure) and afterwards I changed the proxy settings (proxy ON) in FireFox. And directly I got the Astaro Surf Protection warning.

    So now we can be sure winbindd problems can be solved (for a few hours) after a shutdown/startup of the Astaro. Soft reset doesn't work.
  • 0 in reply to HMaster
    so we still cannot update our current customers without the risk of winbind errors? Some statement from Astaro would really help!
  • 0 in reply to mhock
    Any information about the issue with authentication ?

    I have a customer who must to restart every day her astaro..

    Best regards
  • 0 in reply to lbn
    Any information about the issue with authentication ?

    I have a customer who must to restart every day her astaro..

    Best regards


    Time wil tell.... Problem is, we ran allready out of time.
    [:$]

    I am still waiting for a working software update...
  • 0
    ***Update***

    Yesterday I installed UTM 9 on my ESXi server. 
    Before configuring the UTM 9 I did a backup of the 8.305 settings. 

    After power-off the ASG 8.305 I configured the UTM9 and restored the backup I made  few minutes before. 

    After a check if everything was still set-up like i was used to, I did the ultimate test. Set the Internet Explorer connections tab to use the Proxy again..... Winbindd worked for about 5 minutes! After that the winbindd errors came back again.
    I rebooted the Astaro for being sure the install worked. 

    Where do things go wrong? What should be done to get the proxy and winbindd to work again?
Cookie Information Banner