Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4386 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NNTPS not performing with Sophos UTm

Synema
Hello all,

I have an issue with Newsgroup-downloading in combination with Sophos UTM.
I have made a firewall-rule which allows NNTPS from internal to external, however it seems Sophos UTM doesn't agree with the number of connections I am setting up for leeching.

When I start downloading, after a while my other connections (for example Sonos with TuneIn radio) drop. Also browsing is almost impossible.
Before I deployed Sophos UTM I used 12 bots; I have a 90 MBit connection and all went well.
Now the connections drop with the following errors:

Unable to authenticate at server: reader.extremeusenet.nl  (502 You've reached your maximum number of simultaneous connections (13/12).).

This was before Sophos UTM never an issue!!

----
Edit:
After a while downloading with the 12 bots, I get the following response:

Unable to connect / authenticate  server: reader.extremeusenet.nl @ reader.extremeusenet.nl (connect: Winsock Resolve Host: Cannot convert host address 'reader.extremeusenet.nl' - Host not found (#11001)).

Unable to connect / authenticate  server: reader.extremeusenet.nl @ reader.extremeusenet.nl (connect: Winsock Resolve Host: Cannot convert host address 'reader.extremeusenet.nl' - No Data (#11004)).
----

Also my maximum download-speed isn't reached anymore. It even gets to a point that Sophos is hanging and I have to reboot the entire system.

Is there something I should enable/disable or adjust on my Sophos ?

Kind regards,

Werner


This thread was automatically locked due to age.
  • 0
    Hi, Werner, and welcome to the User BB!

    Unable to authenticate at server: reader.extremeusenet.nl (502 You've reached your maximum number of simultaneous connections (13/12).).

    Where do you see that?  At that time, what appears in the System Messages log?

    Cheers - Bob
  • 0
    Hi Bob,

    Thanks for the response. I see the given errors in Newsleecher (my download software).
    I can give you entries and/or logfiles of Sophos, if you just point out to me which one?!

    I just ran a test to force the errors again and what I did see (while logged in via ssh) is a lot of "confd.plx " at the moment it goes wrong. I don't know if that tells you something??

    Kind regards,

    Werner
  • 0
    Werner, before trying again, start three Live Logs: DNS Proxy, Firewall and System messages.  Post anything that you think looks suspicious at the time the message shows up in your download software.  If the Firewall log, look in the full Firewall log file to get the corresponding line(s).

    Cheers - Bob
  • 0
    Especially look for IDENT traffic (port 113) in the firewall log.

    You can create a rule to REJECT it, or use the IDENT proxy if that doesn't help.

    Barry
  • 0
    Hi Barry and Bob,

    Sorry for the late response... had a good rest in my week vacation :-)

    Today I've been trying the suggested things, but no go. I'm not getting any (wierd) erros in the logfiles DNS, Firewall of System. Just to be sure I've re-installed my client and tried the download from another physical machine... still having the issue.

    Also now I have noticed that my ssh-connection, which is open at that moment, drops sometimes. Also tried another download-software (Newsbin Pro instead of Newsleecher) but this is having the same issue.

    I am beginning to suspect the following things:
    * number of concurrent connections on 1 port coming from a client
    * network-settings of 1 of the 2 NIC's in the UTM (full duplex, speed)
    Why you ask?
    At the moment I activate the download and it stalls, the ssh-connection sometimes drops. Or the command "vmstat -d 5" also stalls, just like it is buffering on the NIC. When the download continues, the collected output of the vmstat-command is presented on the screen.

    Also just noticed the following (giving the command dmesg) :
    [ 3948.820252] e1000e 0000:00:19.0 eth0: Detected Hardware Unit Hang:
    [ 3948.820252]   TDH                  
    [ 3948.820252]   TDT                  
    [ 3948.820252]   next_to_use          
    [ 3948.820252]   next_to_clean        
    [ 3948.820252] buffer_info[next_to_clean]:
    [ 3948.820252]   time_stamp           
    [ 3948.820252]   next_to_watch        
    [ 3948.820252]   jiffies              
    [ 3948.820252]   next_to_watch.status 
    [ 3948.820252] MAC Status             
    [ 3948.820252] PHY Status             
    [ 3948.820252] PHY 1000BASE-T Status  
    [ 3948.820252] PHY Extended Status    
    [ 3948.820252] PCI Status             
    [ 3948.832029] e1000e 0000:00:19.0 eth0: Reset adapter unexpectedly
    [ 3951.988870] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
    [ 3971.820212] e1000e 0000:00:19.0 eth0: Detected Hardware Unit Hang:
    [ 3971.820212]   TDH                  
    [ 3971.820212]   TDT                  
    [ 3971.820212]   next_to_use          
    [ 3971.820212]   next_to_clean        
    [ 3971.820212] buffer_info[next_to_clean]:
    [ 3971.820212]   time_stamp           
    [ 3971.820212]   next_to_watch        
    [ 3971.820212]   jiffies              
    [ 3971.820212]   next_to_watch.status 
    [ 3971.820212] MAC Status             
    [ 3971.820212] PHY Status             
    [ 3971.820212] PHY 1000BASE-T Status  
    [ 3971.820212] PHY Extended Status    
    [ 3971.820212] PCI Status             

    my ETH0 is the internal card (Intel 82566DM-2 Gigabit, static ip-address)
    my ETH1 is the WAN card (Intel 82541PI Gigabit, dchp)

    Seems like the eth0 cannot handle the connections. Anything suggestions?

    EDIT: just found the following post:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29490

    Kind regards,

    Werner Buckens
  • 0
    Gents,

    Think I found it. Executed the following command:
    ethtool -K eth0 gro off gso off tso off

    After that no more crashed, so I tried to figure out which of the settings caused the NIC-crash and it was the tso. This was initial on at my setup.

    Now I am downloading with 10 bots at the same time and at full speed!!!

    Figuring out now how to make it permanent...

    Kind regards,

    Werner Buckens
  • 0
    Hi, Sophos and Intel are reportedly working on a permanent fix for the driver.

    Barry
  • 0
    I call this thread a very successful introduction!  Posed a question.  Solved the problem.  Documented the answer for others to see.  Glad to have you with us, Werner!

    Cheers - Bob