Baffled

(Be sure you read "Addendum" and "Update 2" in this post, before you do anything described below.)

We had problems with TiVo updates as well. I found this helpful URL, which describes TiVo ports and servers:

Which Network Ports and IP Addresses Need to be Open When Using my TiVo DVR? - TiVo

I opened the requisite ports, but still no joy. The TiVo's built-in port tests passed, but I kept seeing "Could not get account status" in the second step of the connection page on the TiVo screen. Detailed error information showed an N15 error. TiVo's website is not helpful, saying that you should restart the TiVo, which does not fix the problem.

I swapped out our Sophos UTM and swapped in the old router, and TiVo updates were restored, which proved that the problem was not TiVo's remote servers. Clearly the Sophos UTM was blocking at least one communication from the TiVo. 

I restored the Sophos UTM to our Internet connection. I looked at the Web Filtering live log while running a TiVo update, and discovered that the Sophos UTM was blocking a connection from the TiVo's internal IP address. I went to Logging & Reporting, View Log Files, Web Filtering and searched the log file to see more details for the blocked connection. The entry included "web request blocked, reputation limit", reputation="suspicious" categoryname="Residential IP Address" and other info. The URL was "204.176.49.9/.../uploadFile.cgi

SOLUTION (NO LONGER NECESSARY - SEE UPDATE 2, below):

I created a new Exception List in Web Protection, Filtering Options:
Name: TiVo Updates
URL Filter: checked.  (All others remain unchecked.)
For all requests: Matching these URLs
Target Domains: "^http://[A-Za-z0-9.-]+/tivo-service/uploadFile\.cgi.*" (Omit double-quotes)

Activating this new exception solved the TiVo connection problem.

ANOTHER HINT:

After creating the Exception List, disable it and go to Web Protection, Policy Helpdesk and paste the URL from the blocked entry in the log. Verify that the new URL is still blocked. Enable the Exception List and rerun the Policy Helpdesk test to show that the URL is allowed.

At this point, your TiVo should be able to retrieve program updates without interference from your Sophos UTM.


ADDENDUM:
After further research, I learned that Sophos UTM Web Filtering relies on TrustedSource from MacAfee. I went to the TrustedSource website and entered the tivo-service URL above that the TiVo connects to. TrustedSource's website reports that the URL results in "Categorization: Residential IP Addresses; Reputation: Medium Risk", which is why the Sophos UTM blocks the connection. 

I sent an email to TrustedSource with a description of the issue and a request to re-categorize the IP addresses of TiVo's servers as published on their web page. I also notified TiVo of the problem. Other than an automatic reply from TrustedSource, neither organization has contacted me, which is not surprising since today is New Years Eve. 

Update 2:
I recently received an email message from MacAfee GTI Customer Response Team saying, "For all the IP range Tivo has, we only have 204.176.49.9 categorized as Residential IP Address. We have adjusted the rating with this IP already. Please allow some time for system update."

It seems that the family TiVo were unlucky enough to connect to the one IP address that was incorrectly marked in MacAfee's TrustedSource database. I checked on the TrustedSource website, and the URL is fixed. I tested with the TiVo and it works with the Exception List (described above) disabled.

Happy New Year! I hope this helps someone.

(Be sure you read "Addendum" and "Update 2" in this post, before you do anything described below.)

We had problems with TiVo updates as well. I found this helpful URL, which describes TiVo ports and servers:

Which Network Ports and IP Addresses Need to be Open When Using my TiVo DVR? - TiVo

I opened the requisite ports, but still no joy. The TiVo's built-in port tests passed, but I kept seeing "Could not get account status" in the second step of the connection page on the TiVo screen. Detailed error information showed an N15 error. TiVo's website is not helpful, saying that you should restart the TiVo, which does not fix the problem.

I swapped out our Sophos UTM and swapped in the old router, and TiVo updates were restored, which proved that the problem was not TiVo's remote servers. Clearly the Sophos UTM was blocking at least one communication from the TiVo. 

I restored the Sophos UTM to our Internet connection. I looked at the Web Filtering live log while running a TiVo update, and discovered that the Sophos UTM was blocking a connection from the TiVo's internal IP address. I went to Logging & Reporting, View Log Files, Web Filtering and searched the log file to see more details for the blocked connection. The entry included "web request blocked, reputation limit", reputation="suspicious" categoryname="Residential IP Address" and other info. The URL was "204.176.49.9/.../uploadFile.cgi

SOLUTION (NO LONGER NECESSARY - SEE UPDATE 2, below):

I created a new Exception List in Web Protection, Filtering Options:
Name: TiVo Updates
URL Filter: checked.  (All others remain unchecked.)
For all requests: Matching these URLs
Target Domains: "^http://[A-Za-z0-9.-]+/tivo-service/uploadFile\.cgi.*" (Omit double-quotes)

Activating this new exception solved the TiVo connection problem.

ANOTHER HINT:

After creating the Exception List, disable it and go to Web Protection, Policy Helpdesk and paste the URL from the blocked entry in the log. Verify that the new URL is still blocked. Enable the Exception List and rerun the Policy Helpdesk test to show that the URL is allowed.

At this point, your TiVo should be able to retrieve program updates without interference from your Sophos UTM.


ADDENDUM:
After further research, I learned that Sophos UTM Web Filtering relies on TrustedSource from MacAfee. I went to the TrustedSource website and entered the tivo-service URL above that the TiVo connects to. TrustedSource's website reports that the URL results in "Categorization: Residential IP Addresses; Reputation: Medium Risk", which is why the Sophos UTM blocks the connection. 

I sent an email to TrustedSource with a description of the issue and a request to re-categorize the IP addresses of TiVo's servers as published on their web page. I also notified TiVo of the problem. Other than an automatic reply from TrustedSource, neither organization has contacted me, which is not surprising since today is New Years Eve. 

Update 2:
I recently received an email message from MacAfee GTI Customer Response Team saying, "For all the IP range Tivo has, we only have 204.176.49.9 categorized as Residential IP Address. We have adjusted the rating with this IP already. Please allow some time for system update."

It seems that the family TiVo were unlucky enough to connect to the one IP address that was incorrectly marked in MacAfee's TrustedSource database. I checked on the TrustedSource website, and the URL is fixed. I tested with the TiVo and it works with the Exception List (described above) disabled.

Happy New Year! I hope this helps someone.