Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 1461 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Connection to server timed out for .lan addresses

danodemano
So I have a weird problem.  It seems that since my box updated to 7.506 I can no longer access .lan addresses that exist on the other side of an IPSEC VPN tunnel.  Our internal network at work all uses a .lan to keep it separate from live stuff.  Before the update I didn't have any trouble at all.  Now after the update I cannot access any of it through HTTP, HTTPS to the exact same site works just fine.  It hangs for a LONG time then finally I get: 


An error occurred while handling your request

While trying to retrieve the URL: 	http://abcde.conelec.lan/

Error message: 	Connection to server timed out

Your cache administrator is:12345@gmail.com


And I see this in the logs: 

2010:07:17-16:50:34 gateway httpproxy[1992]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.x.x" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2222" time="62892 ms" request="0x809b488" url="abcde.conelec.lan/" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error="" 


I have conelec.lan in the 'Always allow these URLs/sites' and also have it set up in the exceptions to skip 'Authentication / Caching / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check'

As I mentioned above, if I us HTTPS it works great and doesn't have any trouble loading the page.  Any thoughts?

Thanks for your help,
--
Dan


This thread was automatically locked due to age.
  • 0
    Hey, Dan, welcome to the User BB!

    It looks like your HTTP/S Proxy is in Transparent mode. Rather than setting a bunch of exceptions for a site that is an internal one for you (because of the VPN), why not just add the subnet of the remote site to the 'Transparent mode skiplist' on the 'Advanced' tab?

    Since I guessed you're in Transparent mode, I'd say that HTTPS works fine because that traffic passes via a packet filter rule.

    If you aren't in Transparent mode, or if your remote site browses the internet via the HTTP/S Proxy in your Astaro, the solution will be a bit different.

    Cheers - Bob
    PS Whenever something seems, mysteriously, to stop working, it's a good idea to look in the IPS log.  Depending on the result of my suggestion above, you might want to do something in IPS.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Solid, that took care of it!  I already had the remote subnet defined since I had to for the VPN to function.  Added it to the skiplist and it works great!

    I'm still trying to learn my way around Astaro having just changed from Endian about a month ago.

    Thanks for the welcome and for the assistance!