Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 4624 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy works, but doesn't work

HMaster
Hi there,

After allmost giving up, I tried again to configre the AD-SSO/http-proxy settings in My Astaro. This time by deleting all users in the Astaro Userlist and reconfigure my AD-groups in my windows-server. 
I replaced the spaces for _ 
This way I bypass the known-errors with the UTM 9.*** setup. And Yes when I re-prefetch my users and setup a new group and after a reboot of the Astaro (after 20 minute waiting) the http-proxy works. 

But Not for long. 
When I startup IE9 the Astaro has to wake up (which takes half a minute) and has to think i it is going to accept the user or not. 
This is VERY frustrating. See below for log of a test on my AD-server how it runs with only a Google search page. 
In IE9 I directly get a login-popup which hou can cancel and after a few cancelings of the login-popup the pages load in your browser. 

The bigger problem is...... FireFoxs has NO problems. I use both browsers on my workstations and when I browse in FireFox I have no problems and or loginboxes, while IE disfunctions completely. 
FireFoxs also works perfectly with the FDQN while IE not even functions with the IP address of the Astaro!

When you take a look in the Web Filtering log you see Accept en Blocks (winbindd-errors) running besides eachother. 

What can be done to solve this problem?
The only thing I can do is to shutdown the proxy-settings in IE. But why shutdown a firewall to use a firewall???

2012:08:23-15:13:13 FIREWALL httpproxy[32170]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x9b55aa0" function="auth_adir_getsid_callback" file="auth_adir.c" line="502" message="winbindd request failed ()" 
2012:08:23-15:13:13 FIREWALL httpproxy[32170]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.1" dstip="" user="Administrator" statuscode="407" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction=" ()" size="2477" request="0x9b55aa0" url="www.google.nl/" exceptions="" error="" 
2012:08:23-15:13:28 FIREWALL httpproxy[32170]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.87.1" dstip="173.194.67.94" user="Administrator" statuscode="200" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction="REF_ZGZNNPYuTA (Proxy Filter Action)" size="102972" request="0x9b55aa0" url="www.google.nl/.../html" application="google" 
2012:08:23-15:13:28 FIREWALL httpproxy[32170]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x114d61b8" function="auth_adir_getsid_callback" file="auth_adir.c" line="502" message="winbindd request failed ()" 
2012:08:23-15:13:28 FIREWALL httpproxy[32170]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.1" dstip="" user="Administrator" statuscode="407" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction=" ()" size="2477" request="0x114d61b8" url="www.google.nl/.../mgyhp_sm.png" exceptions="" error="" 
2012:08:23-15:13:28 FIREWALL httpproxy[32170]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.87.1" dstip="173.194.67.94" user="Administrator" statuscode="304" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction="REF_ZGZNNPYuTA (Proxy Filter Action)" size="0" request="0x9b55aa0" url="www.google.nl/.../chrome-48.png" exceptions="" error="" category="145,164" reputation="trusted" categoryname="Search Engines,Visual Search Engine" 
2012:08:23-15:13:28 FIREWALL httpproxy[32170]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x114d6798" function="auth_adir_getsid_callback" file="auth_adir.c" line="502" message="winbindd request failed ()" 
2012:08:23-15:13:28 FIREWALL httpproxy[32170]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.87.1" dstip="" user="Administrator" statuscode="407" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction=" ()" size="2477" request="0x114d6798" url="www.google.nl/.../logo3w.png" exceptions="" error="" 
2012:08:23-15:13:28 FIREWALL httpproxy[32170]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.87.1" dstip="173.194.67.94" user="Administrator" statuscode="304" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction="REF_ZGZNNPYuTA (Proxy Filter Action)" size="0" request="0x9b55aa0" url="www.google.nl/.../rs=AItRSTPLUDe8EaGySfSbpQvglPVvyaExJg" exceptions="" error="" category="145" reputation="trusted" categoryname="Search Engines" 
2012:08:23-15:13:32 FIREWALL httpproxy[32170]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.87.1" dstip="173.194.67.94" user="Administrator" statuscode="304" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction="REF_ZGZNNPYuTA (Proxy Filter Action)" size="0" request="0x9b55aa0" url="www.google.nl/.../4fe2fdcdb07f6db9.js" exceptions="" error="" category="145" reputation="trusted" categoryname="Search Engines" 
2012:08:23-15:13:32 FIREWALL httpproxy[32170]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.87.1" dstip="173.194.67.94" user="Administrator" statuscode="304" cached="0" profile="REF_asOsBDRyvy (Proxy Filter)" filteraction="REF_ZGZNNPYuTA (Proxy Filter Action)" size="0" request="0x9b55aa0" url="www.google.nl/.../swxa.gif" exceptions="" error="" category="145,164" reputation="trusted" categoryname="Search Engines,Visual Search Engine"


This thread was automatically locked due to age.
  • 0
    Man, Huib, I have no idea why you've been singled out to be bedeviled by this problem!  Almost four months now, isn't it?

    Are you on 8.30x or on 9.001?

    As you know from the past, the first thing to try is a reboot of FIREWALL.  If that fails, delete FIREWALL from the AD and join again from FIREWALL.

    You know, I'd be interested to know, at about the same time as "auth_adir_getsid_callback" first appears in the Web Filtering log after a reboot, is there anything unusual in other logs like: DNS Proxy, Intrusion Prevention, Kernel Messages, Middleware, Selfmonitoring or System Messages.

    Cheers - Bob
  • 0
    20 minute reboot?  What kind of hardware is this running on?
  • 0 in reply to Scott_Klassen
    20 minute reboot?  What kind of hardware is this running on?


    [:D] I think you didn't read it like I ment to be.. BAlfson some time ago advised to wait at least 15 minutes after changes in the setting of the Astaro. So I waited 20 minutes to have the setting right and then rebooted the Virtual Appliance. 
    The reboot of the Astaro is within 2 minutes. [;)]

    The ESXi4.1 server is a DELL PowerEdge R210 with a Xeon CPU and 16GB ram. I gave the Astaro 4GB ram.

    I PM-ed BAlfson for asking where to mail the LOGs in zip-file format. Please PM if you also want to have a look for the errors. I see a lot of wierd DNS request and (SERVFAIL) mentions. [:S]
  • 0
    I looked at the logfiles, and didn't find anything unusual at the same time as the errors above.  There might be an issue with two interfaces in the same Ethernet segment.  If that's not an issue, then the next place to look is probably in the Active Directory server logs at the same time as the errors above.

    Cheers - Bob
  • 0 in reply to BAlfson
    I looked at the logfiles, and didn't find anything unusual at the same time as the errors above.  There might be an issue with two interfaces in the same Ethernet segment.  If that's not an issue, then the next place to look is probably in the Active Directory server logs at the same time as the errors above.

    Cheers - Bob


    Well what bothers and shocked me the most last week, is shown in the attached image. Why does the Astaro give my AD server DHCP IPaddress on a NIC that hasn't dhcp? 
    The NIC is my primary NIC of my AD server and has a static IP!

    The other NIC in teh server is disconnected/disabled, so that one cannot have an IP. 

    Is this possibly the source of the problems? [:S]

    [8-)] Yes, my AD Exchange server has the Dutch name of Postman Pat [8-)] [:D]
  • 0
    I don't think that's related.  I wish I knew how to get rid of it though!

    I was concerned about the lines in your Kernel log with "martian source 192.168.***.250 from 192.168.***.254, on dev eth0".  What are those IPs?  Is eth0 your External interface?

    Cheers - Bob
  • 0 in reply to BAlfson
    I don't think that's related.  I wish I knew how to get rid of it though!

    I was concerned about the lines in your Kernel log with "martian source 192.168.***.250 from 192.168.***.254, on dev eth0".  What are those IPs?  Is eth0 your External interface?

    Cheers - Bob


    Hi Bob,

    192.168.***.250 is the local-network IP address of VMware vSphere management site of my VMware server.
    192.168.***.254 is the GW

    eth0 is indeed my External interface.
  • 0
    I think I'm confused.  Are the Internal and External interfaces both connected to the same switch?

    Cheers - Bob
  • 0 in reply to BAlfson
    Well Bob,

    The Astaro runs on VMware and in a NIC team environment. 
    The Exterenal & Internal & DMZ (Unused at the moment) are 3 different NIC-team settings with live&standy settings.

    The Server is connected with all 4 NIC-ports to the same GBlan Switch on ports 1,3,5,7 and the Internet WAN router is connected to port 24. 
    I had the feeling it would be wise to set-up a few VLAN's on the switch and VMware, but I run out of time each day to dive into the settings. [:$] 
    If someone would like to help me or advise me, be my guest.

    See images below for the NIC settings.
  • 0
    If you have two interfaces in the same Ethernet segment, you will have problems.  I can't tell if that's the case here, but having internal devices able to reach the External interface makes me suspicious, especially as they appear to belong to the same /24 subnet.

    Cheers - Bob