Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 4856 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy problems after upgrade to 9.100-16

stvkellogg
Hello,

I wonder is anyone else is experiencing this issue:

After upgrading to 9.100-16 PCs with browser configured to the proxy in standard are frequently experiencing connection problems.  The browser's page-loading indicator spins continuously but no connection is made.  Unchecking the proxy in Internet options restores connectivity.  This happens with I.E. 9, Chrome, and Firefox)  I never experienced this problem with the earlier firmware version.

If anyone has experienced this and/or can suggest a solution or troubleshooting steps I'd be grateful to hear from you.


This thread was automatically locked due to age.
  • 0
    This morning I've had to switch to transparent proxy mode because AD SSO isn't working.  I can test the authentication server and user accounts on the UTM and all is well, but no client machines are successfully passing credentials to the UTM.  Users have to enter user name and password for every connection (it takes about 20 repetitions for The New York Times - Breaking News, World News & Multimedia to load completely).

    None of this happened before the upgrade to 9.100-16, so I'm inclined to think that it involves the new firmware.  I can limp along with transparent mode for now, but I really need different levels of filtering for different user groups.

    Any advice will be gratefully accepted.

    Steve
  • 0
    Probably you have to join the UTM again into domain. Happens sometimes, if samba gets upgraded with new UTM firmware.
  • 0
    Steve, if Sacha's recommendation doesn't resolve this for you, please post several lines from the Web Filtering log related to this issue.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for the suggestions.  I'll try them.
  • 0 in reply to stvkellogg
    I deleted the authentication server and recreated it but standard proxy mode with AD SSO is still not working.  Now, instead of getting a login box the browser progress indicator just spins and no connection is made.  

    If I turn off authentication all works as it should, so that seems to be where the problem lies.

    I'll post some Web protection log entries in a bit.

    Thanks,

    Steve
  • 0 in reply to stvkellogg
    I've pasted some log entries below and attached a text file with the same content.  I see the message "windbindd request fail" appear repeatedly.


    Live Log: Web Filtering
    Filter: Autoscroll
    Reload
    2013:05:21-08:21:54 Seab01-1 httpproxy[18895]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xc756330" function="auth_adir_getsid_callback" file="auth_adir.c" line="504" message="winbindd request failed ()"
    2013:05:21-08:21:54 Seab01-1 httpproxy[18895]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.0.3" dstip="" user="test" statuscode="407" cached="0" profile="REF_HttProStudents (Internal Network)" filteraction=" ()" size="2363" request="0xc756330" url="ssl.gstatic.com/" exceptions="" error=""
    2013:05:21-08:21:54 Seab01-1 httpproxy[18895]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xc7567b0" function="auth_adir_getsid_callback" file="auth_adir.c" line="504" message="winbindd request failed ()"
    2013:05:21-08:21:54 Seab01-1 httpproxy[18895]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.0.3" dstip="" user="test" statuscode="407" cached="0" profile="REF_HttProStudents (Internal Network)" filteraction=" ()" size="2363" request="0xc7567b0" url="ssl.gstatic.com/" exceptions="" error=""
    2013:05:21-08:21:54 Seab01-1 httpproxy[18895]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xc47e3d0" function="auth_adir_getsid_callback" file="auth_adir.c" line="504" message="winbindd request failed ()"
    2013:05:21-08:21:54 Seab01-1 httpproxy[18895]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.0.3" dstip="" user="test" statuscode="407" cached="0" profile="REF_HttProStudents (Internal Network)" filteraction=" ()" size="2363" request="0xc47e3d0" url="ssl.gstatic.com/" exceptions="" error=""
    2013:05:21-08:21:54 Seab01-1 httpproxy[18895]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xc451790" function="auth_adir_getsid_callback" file="auth_adir.c" line="504" message="winbindd request failed ()"
    2013:05:21-08:21:54 Seab01-1 httpproxy[18895]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.0.3" dstip="" user="test" statuscode="407" cached="0" profile="REF_HttProStudents (Internal Network)" filteraction=" ()" size="2363" request="0xc451790" url="ssl.gstatic.com/" exceptions="" error=""
  • 0
    @stvkellog

    I had those statuscode 407's with that winbindd request failed several months ago.  What I ultimately had to do was delete the computer from Computers in the AD and rejoin it from the Astaro.  After that, I actually needed to reboot the firewall to force the reboot on winbindd and then after the dust settled a few minutes later and the hammering of the LAN interface settled down, I was able to authenticate again.
  • 0 in reply to mrwebguy
    Thanks for the reply.  When you were having the problem, were you still above to test the connection to the authentication server from the UTM and test authentication of a user?  Both those tests pass for me, so the UTM is connecting to the authentication server but the proxy clients are not.

    Steve
  • 0 in reply to stvkellogg
    It looks like proxy clients are authenticating now via AD SSO.  I'm not sure what made the difference.  I did one thing that I didn't think would have an impact on proxy authentication--I added an internal DNS server as a forwarder (it, in turn, forwards to our ISP).

    I'm going to test it out with a few more users from a few more PCs, but it's all working right for one AD user on one machine at the moment.

    Thanks for the suggestions.

    Steve
  • 0
    I deleted the authentication server and recreated it

    This normally has no effect, and wasn't what Sascha suggested, as you now know.

    ... test the connection to the authentication server from the UTM and test authentication of a user? Both those tests pass for me ...

    This does not test SSO, proper functioning of these tests is a necessary condition for SSO to work, but it is not sufficient.

    delete the computer from Computers in the AD and rejoin it from the Astaro. After that, I actually needed to reboot the firewall to force the reboot on winbindd 

    Exactly right.  As you now know, Steve, this is the accepted fix for the issue you had.

    Cheers - Bob