Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 3 subscribers
  • Views 13020 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Clients not showing up in Web-IF

scorpionking
Hi!

As the Beta forum is closed now I'm posting in this section again:

I configured EP a few days ago and installed the Client on 5 machines. Although the installation went fine and the clients are getting signature updates, they do not show up in the UTM. The "Manage Computers" tab is empty!

On the Main Screen of Endpoint Protection category in the UTM-Web-IF it states: 
Sophos LiveConnect is disabled. 0 computers registered out of 12 licensed, 0 computers are currently online.


The UTM EP log frequently shows errors 4280 and 4281: 
2012:07:25-12:41:28 vpn-2 epsecd[29781]:  id="4210" severity="debug" sys="System" sub="epsecd" name="Sleeping for 300 seconds"

2012:07:25-12:42:42 vpn-1 epsecd[2726]: I Epsec::Utils::Logging::_log:59() => id="4202" severity="info" sys="System" sub="epsecd" name="Run initialization database"

2012:07:25-12:42:42 vpn-1 epsecd[2726]: I Epsec::Utils::Logging::_log:59() => id="4247" severity="info" sys="System" sub="epsecd" name="Sending data to Sophos LiveConnect to sync UTM with the Broker"

2012:07:25-12:42:42 vpn-1 epsecd[2726]: D Epsec::Utils::Logging::_log:59() => id="4208" severity="debug" sys="System" sub="epsecd" name="User triggered changes in webadmin"

2012:07:25-12:42:43 vpn-1 epsecd[2726]: W Epsec::Utils::Logging::_log:59() => id="4212" severity="warn" sys="System" sub="epsecd" name="Quit recieved from Sophos LiveConnect"

2012:07:25-12:42:43 vpn-1 epsecd[2726]: D Epsec::Utils::Logging::_log:59() => id="4210" severity="debug" sys="System" sub="epsecd" name="Sleeping for 300 seconds"

2012:07:25-12:46:28 vpn-2 epsecd[29781]: D Epsec::Utils::Logging::_log:59() => id="4210" severity="debug" sys="System" sub="epsecd" name="Sleeping for 22 seconds"

2012:07:25-12:47:10 vpn-2 epsecd[29781]: >=========================================================================

2012:07:25-12:47:10 vpn-2 epsecd[29781]: E id="4280" severity="critical" sys="System" sub="epsecd" name="Error creating socket" ssl_errstr="IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)" syscall_error="Invalid argument"

2012:07:25-12:47:10 vpn-2 epsecd[29781]:

2012:07:25-12:47:10 vpn-2 epsecd[29781]: 1. Epsec::Utils::Logging::_log:59() /Epsec/Utils/Logging.pm

2012:07:25-12:47:10 vpn-2 epsecd[29781]: 2. Epsec::Logic::Client::_start:77() /Epsec/Logic/Client.pm

2012:07:25-12:47:10 vpn-2 epsecd[29781]: 3. Epsec::Logic::Client:[:$]n_load:40() /Epsec/Logic/Client.pm

2012:07:25-12:47:10 vpn-2 epsecd[29781]: 4. (eval):53() /Epsec/Logic/Base.pm

2012:07:25-12:47:10 vpn-2 epsecd[29781]: 5. Epsec::Logic::Base::run:52() /Epsec/Logic/Base.pm

2012:07:25-12:47:10 vpn-2 epsecd[29781]: 6. main::top-level:62() client.pl

2012:07:25-12:47:30 vpn-2 epsecd[29781]: |=========================================================================

2012:07:25-12:47:30 vpn-2 epsecd[29781]: E id="4281" severity="critical" sys="System" sub="epsecd" name="No internet connection. at /Epsec/Logic/Client.pm line 89." effect="Can't talk to Sophos LiveConnect"

2012:07:25-12:47:30 vpn-2 epsecd[29781]:

2012:07:25-12:47:30 vpn-2 epsecd[29781]: 1. Epsec::Utils::Logging::_log:59() /Epsec/Utils/Logging.pm

2012:07:25-12:47:30 vpn-2 epsecd[29781]: 2. Epsec::Logic::Client:[:$]n_error:1039() /Epsec/Logic/Client.pm

2012:07:25-12:47:30 vpn-2 epsecd[29781]: 3. Epsec::Logic::Base::run:60() /Epsec/Logic/Base.pm

2012:07:25-12:47:30 vpn-2 epsecd[29781]: 4. main::top-level:62() client.pl

2012:07:25-12:47:30 vpn-2 epsecd[29781]:  id="4210" severity="debug" sys="System" sub="epsecd" name="Sleeping for 240 seconds"

2012:07:25-12:47:44 vpn-1 epsecd[2726]: I Epsec::Utils::Logging::_log:59() => id="4202" severity="info" sys="System" sub="epsecd" name="Run initialization database"

2012:07:25-12:47:44 vpn-1 epsecd[2726]: I Epsec::Utils::Logging::_log:59() => id="4247" severity="info" sys="System" sub="epsecd" name="Sending data to Sophos LiveConnect to sync UTM with the Broker"

2012:07:25-12:47:44 vpn-1 epsecd[2726]: D Epsec::Utils::Logging::_log:59() => id="4208" severity="debug" sys="System" sub="epsecd" name="User triggered changes in webadmin"

2012:07:25-12:47:46 vpn-1 epsecd[2726]: W Epsec::Utils::Logging::_log:59() => id="4212" severity="warn" sys="System" sub="epsecd" name="Quit recieved from Sophos LiveConnect"

2012:07:25-12:47:46 vpn-1 epsecd[2726]: D Epsec::Utils::Logging::_log:59() => id="4210" severity="debug" sys="System" sub="epsecd" name="Sleeping for 300 seconds" 


The internet connection is working fine, at least I do not have any client problems in accessing the internet.
The UTM Web Protection is configured in Standard Mode. The Sophos Broker Exceptions are present.

I'm using a home license and reapplied my 8.305 backup after a fresh install of the UTM9 GA release.

What is wrong here?

Thanks for any help!
scorpionking


This thread was automatically locked due to age.
Parents
  • 0
    For now the endpoint client has a bug. It ignores the proxy setting. So if you ate using the proxy in standard mode, as you sad you did, the client ignores that.

    Therefore the exception for all.broker.sophos.com gets also ignored in standard mode and is useless, except in transparent mode.

    So you need to make a firewall rule like this:



    Hello Albeck

    While the update and broker servers are already excluded in the webproxy and should work perfectly well for the proxy in standard mode (if the EP client would use the proxy, which it'doesn't actually [[;)]] ). So you have to manually exclude them for a proxy in transparent mode (in the destination transparent skiplist) or without proxy by creating packetfilterrules from you internal networks containing sophos EP Clients to following DNS Groups ("DNS Groups", because the DNS names contains multiple IP adresses)

    Broker Service

    Allow http and https traffic to
    all.broker.sophos.com

    Update Servers
    Allow http and https traffic to
    dci.sophosupd.com
    d1.sophosupd.com
    d2.sophosupd.com
    d3.sophosupd.com
    dci.sophosupd.net
    d1.sophosupd.net
    d2.sophosupd.net
    d3.sophosupd.net

    Actually the .net and .com servers contains the same IP adresses. But I'd create rules for both anyway, as nobody can say, that this will never change in future [[;)]]

    From my testing so far this should be perfectly well for the new UTM9 EP to get up and running...


    Hope that helps, if not, try making a new token and reinstall the endpoints with the new installer.

    Albeck.
  • 0 in reply to Albeck
    At the moment I have a firewall rule allowing every outgoing HTTP and HTTPS traffic...

    Hope that helps, if not, try making a new token and reinstall the endpoints with the new installer.

    Tried that already several times. It didn't change anything.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Another Idea --- see if you actually see the polling traffic from the ASG itself to the broker... the broker DNS hostname, you can find that by looking at the endpoint regstration page.  You can use TCPDUMP, or you can put your other firewall in front of the UTM again and use it to monitor for the traffic.. IF you see it attempting to connect, but no reply, we can conclude one of the following:

    1)  For some reason, the datacenter or the server that is hosting the broker service you are using is dropping the traffic from your UTM (maybe a blacklisted--accidentally--subnet, etc.) -- highly unlikely.  

    2)  For some reason, your ISP may be dropping that traffic --- I have had THIS happen to me before, with a different service on an odd port... it took me hours to convince the ISP's top tier guys to look in their routers, and there they discovered that someone had configured it using an old best practices sheet from the 90's (turns out the port that I was using for this application used to be, way back, the same port used by a famous -- err infamous worm, and someone was using a config spec from way back then -- that's my theory anyhow, they couldn't explain it, but I did some research and found that old worm used that port).  They removed the old filter rule from their router, and everything started working on that service again.

    3)  Could also be a misguided upstream proxy at the ISP doing this, as this is SSL traffic... more likely to goof it up.  These proxies are used to monitor users (not going into details there--much debate, but we all know it does happen, maybe not all the time, but it does) or to reduce traffic, etc. or simply for marketing purposes, etc.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Hi,

    i don't believe that my provider has his hands in this (this behaviour is not that common at the big providers in Germany, except mobile connections).
    I have opened a thread in the German section to find out, if others who are using my provider do have the same problem.

    If I find time during the next weeks, I will also try your suggestions with TCPDUMP.
    Also I'm planning to reinstall and reconfigure my UTM from scratch without reapplying my saved config (plenty of work though...).
    I will let you know if anything changes...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Reply
  • 0 in reply to BrucekConvergent
    Hi,

    i don't believe that my provider has his hands in this (this behaviour is not that common at the big providers in Germany, except mobile connections).
    I have opened a thread in the German section to find out, if others who are using my provider do have the same problem.

    If I find time during the next weeks, I will also try your suggestions with TCPDUMP.
    Also I'm planning to reinstall and reconfigure my UTM from scratch without reapplying my saved config (plenty of work though...).
    I will let you know if anything changes...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Children
  • 0 in reply to scorpionking
    BTW, noticed that you mentioned earlier, after you removed the FritzBox, the internet connection error went away on the UTM... seems that was blocking something after all.

    Just checking to see if you've had any luck.  I've done several installs of this as of late, and no issues like you are reporting.  I still say something upstream is blocking communications with the broker service(s).

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Had anything changed here?

    I have the same Problem. I activated the Endpoint Protection.
    Sophos LiveConnect is enabled, but no Client appears in the Computer List.

    I have no idea what the problem is [:(]
  • 0 in reply to DominikM
    No change with my problem. I didn't have the time to reinstall my UTM from scratch. I will post here as soon as I have news.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?