Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 1443 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't get to google v8.003

va3mw
I am having the strangest problem, and just on 1 laptop.

It won't go to google, or google docs.  I can get to Yahoo or most other pages, but google is a killer.

On the failing laptop:

nslookup resolves ok
I've turned off IPS (and back on)
There is nothing unique in the IPS or PF logs showing blocked packets
The setup is pretty much as it comes out of the box 
Nothing special in the profiles
Http "transparent mode"
I have masquerading rules in place
I have outbound ports open for web surfing (I have 5 boxes on the same subnet and all work fine, except for the failing laptop).

So, that seems to point to the laptop.  

Nope, I connected that to another 'basic' firewall on a different WAN address, and it surfs fine.  In fact, much faster.  Web pages on the dd-wrt router resolve in sub seconds while the Astaro box can take seconds (yes, dd-wrt does not do deep packet inspection, so I gather that is the reason).

I gather it is something very obvious, but no joy.  I've even done a packet filtering rule for that laptop to have wide open access (Host/ANY/ANY), but that didn't help either.

I'm about to rebuild the firewall from scratch .. again, but I would rather debug this first.

Mike


This thread was automatically locked due to age.
  • 0
    you mention  you are using the http proxy, so check the http logs to see if you are being blocked. Try disabling the http proxy to see if that is the issue. 
    There was a bad av pattern a few days ago but the issue should be resolved if the patterns are up to date, there were a couple of threads about it you can check those out for more details.
  • 0 in reply to dilandau
    you mention  you are using the http proxy, so check the http logs to see if you are being blocked. Try disabling the http proxy to see if that is the issue. 
    There was a bad av pattern a few days ago but the issue should be resolved if the patterns are up to date, there were a couple of threads about it you can check those out for more details.


    I have not set up any proxies at all.  I checked the LAN settings for IE (and Chrome  which uses the same settings).  It was set to automatic.  

    There are no entries for the Socks proxy.  

    The only clue that I forgot to mention is that it seems to be related to going to a secure site.  Google apps connections are 443 secure connections.  443 is open outbound.  

    Again, works on 1 laptop and not another.  Windows firewall is turned off and when I hook the failing laptop on to another subnet/wan address it works (basic Gateway).  

    I gather I am going to have to do a tcpdump on the ASG and see what happens.

    I can't spend much more time on this and I might have to go to ClearOS.  This is a test for a customer of mine.  Over the past years, I keep falling into these dark holes about every 6 months and they do really kill the products image.  (sorry, off soapbox)
  • 0


    Http "transparent mode"


    So did you mean the http proxy was enabled or not? 

    http transparent mode is when the http proxy is enabled and automatically filters traffic on port 80 and 443 (if https is enabled as well) does not require proxy settings in the browser, that is why I mentioned to disable the http proxy to test.
  • 0 in reply to dilandau
    So did you mean the http proxy was enabled or not? 

    http transparent mode is when the http proxy is enabled and automatically filters traffic on port 80 and 443 (if https is enabled as well) does not require proxy settings in the browser, that is why I mentioned to disable the http proxy to test.


    I'm not sure he knows what you're talking about when you say "PROXY"

    To clear it up the WEB SECURITY part of the ASG appliance is a PROXY called WEB PROXY. This can be used a number of ways but often used as a PASSIVE PROXY, meaning there are no CLIENT side settings that need to be used. 

    In a nutshell the PASSIVE or TRANSPARENT PROXY watches the traffic as it goes by and checks it for any number of different configurable items, and with that we can see what computers are surfing what web sites. (The reason he asked if you checked the logs)

    You can check the log files of that proxy to see if traffic from the laptop is being blocked by policy.

    However I suspect its probably a configuration issue between devices.

    Do you have a wireless access point connected to your network? 

    Also, check your DNS forwarders. Make sure they are working correctly OR better yet change them to a DNS service such as OpenDNS, Google DNS or maybe even Dyndns (I like Google 8.8.8.8 / 8.8.4.4)

    Hope that helps.

    P.S 

    Reset the web browsers settings to DEFAULT 

    and make sure there are no custom DNS servers on the laptop that is having the issue.

    At a second glance it sounds like browser settings...
  • 0 in reply to Jayson
    Hi Jason

    Good points.  I had just thought of the wireless as the entry point. I will bypass that just to be sure.  (Again, both devices are on the same wireless).

    My DNS forwarders are opendns (1 and 2).  Which brings another question, if I do an nslookup cnn.com 192.168.113.1 (the ASG), it failes and then moves to my secondary (opendns).  Am I wrong in assuming that the ASG should resolve?  I have specified my internal network in the DNS setup.

    It does scream that the problem is browser related, and I couldn't agree more.  Both IE and Chrome fail the same way (however both use the same settings).  

    The report browser error is "Error 324 (net::ERR_EMPTY_RESPONSE):  Unknown error.  (sort of a catch all message).

    I've gone back to IE and reset all and even checked to make sure that the TLS/SSL settings are turned on.

    (I still need to eliminate the AP connected to the ASG)

    Mike
  • 0 in reply to va3mw
    Hi Jason

    Good points.  I had just thought of the wireless as the entry point. I will bypass that just to be sure.  (Again, both devices are on the same wireless).

    My DNS forwarders are opendns (1 and 2).  Which brings another question, if I do an nslookup cnn.com 192.168.113.1 (the ASG), it failes and then moves to my secondary (opendns).  Am I wrong in assuming that the ASG should resolve?  I have specified my internal network in the DNS setup.

    It does scream that the problem is browser related, and I couldn't agree more.  Both IE and Chrome fail the same way (however both use the same settings).  

    The report browser error is "Error 324 (net::ERR_EMPTY_RESPONSE):  Unknown error.  (sort of a catch all message).

    I've gone back to IE and reset all and even checked to make sure that the TLS/SSL settings are turned on.

    (I still need to eliminate the AP connected to the ASG)

    Mike


    Many people have had great success with OpenDNS, I personally have not. I used it for a number of years and found that when it did have a problem it took forever to resolve. (however it was vastly better to my ISPs DNS)

    I personally use Google and haven't had any of the same kinds of issues I had with OpenDNS since the change over.

    Have you tried to run IE in SAFE MODE?

    Other things to try. 

    Make a BRAND NEW USER on that laptop and try again (this would show us that it is or isn't a user settings issue)
    Un-isntall IE / Chrome and re-install with the latest and greatest (this should resolve any bugs with the browser and should be done as a last resort)
    DELETE the user profile (This should be done as a last resort)
    Verify that there are no virus related PROXY settings with in the network setup in the connection settings of the web browser. (Check for viruses in general. I like Microsoft security essenitails and CLAM AV for windows [Both FREE])
    Purge the DNS cache on the laptop.

    -Jayson
  • 0 in reply to va3mw
    My DNS forwarders are opendns (1 and 2).  Which brings another question, if I do an nslookup cnn.com 192.168.113.1 (the ASG), it failes and then moves to my secondary (opendns).  Am I wrong in assuming that the ASG should resolve?  I have specified my internal network in the DNS setup.


    Indeed it should. Have you tried checking domain names with the ASG itself? Go to the Support section and "Tools" and try to resolve some sites.
  • 0 in reply to Jayson
    Many people have had great success with OpenDNS, I personally have not. I used it for a number of years and found that when it did have a problem it took forever to resolve. (however it was vastly better to my ISPs DNS)

    I personally use Google and haven't had any of the same kinds of issues I had with OpenDNS since the change over.

    Have you tried to run IE in SAFE MODE?

    Other things to try. 

    Make a BRAND NEW USER on that laptop and try again (this would show us that it is or isn't a user settings issue)
    Un-isntall IE / Chrome and re-install with the latest and greatest (this should resolve any bugs with the browser and should be done as a last resort)
    DELETE the user profile (This should be done as a last resort)
    Verify that there are no virus related PROXY settings with in the network setup in the connection settings of the web browser. (Check for viruses in general. I like Microsoft security essenitails and CLAM AV for windows [Both FREE])
    Purge the DNS cache on the laptop.

    -Jayson

    Hi Jayson

    I tried a new user - no luck
    Hardwired to the ASG - no luck
    IE with iexplorer -noext - no luck
    Chrome uses the internet settings from IE (however, I have tried both)
    AV - I use security essentials - reports nothing in a deep scan
    MRT - in a deep scan is clean
    AVG Rescue - with the drive offline and definitions brought up to date -- nothing found

    It is interesting to note that Lastpass can't sign in either, which shows that somehow/somewhere the security keys aren't be excanged.

    Cool problem, eh?

    Mike
  • 0 in reply to va3mw
    Hi Jayson

    I tried a new user - no luck
    Hardwired to the ASG - no luck
    IE with iexplorer -noext - no luck
    Chrome uses the internet settings from IE (however, I have tried both)
    AV - I use security essentials - reports nothing in a deep scan
    MRT - in a deep scan is clean
    AVG Rescue - with the drive offline and definitions brought up to date -- nothing found

    It is interesting to note that Lastpass can't sign in either, which shows that somehow/somewhere the security keys aren't be excanged.

    Cool problem, eh?

    Mike


    Well, there must be something that has been overlooked. There is nothing that comes to mind other than the items already listed that would allow one laptop to connect while another cannot. 

    Common sense says some setting / device / software is preventing it from getting to the sites in question, but what is it. There is an unknown here we need to know about.
  • 0
    Hi Jason

    I do agree with you.  Almost like I have a man in the middle running on the box.  The ASG blocks it.  I will have to do a comparison of a tcpdump on a good laptop and the failing one when I get a chance.

    Mike