Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 25631 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS query timeout

GuardianFan
Hi all,

since we installed the Sophos UTM 100 a couple of months ago, sometimes we have problems accessing websites. As we use Active Directory in our local net DNS queries should go this way:
Client (DNS Server: SBS2011) -> Small Business Server 2011 (forwarder to the UTM) -> Sophos UTM (forwarder to two DNS servers of our ISP) -> DNS server of our ISP
I added the internal network to the allowed networks of the DNS service and two DNS servers of our ISP to the DNS forwarders.

The problem in detail:
Most of the time we don't have any problems accessing the internet. But at different times a number/all of us cannot access the internet. So there seems to be neither a general problem (for example a missing entry in the firewall) nor a special "event" (for example a disconnect every 24h by our ISP) which could be responsible for this.
After this error occurs, you have to wait one or two minutes and then everything works fine again.
The typical entry in the webfilter log looks like this:
2014:09:03-09:28:24 SophosUTM httpproxy[18246]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)"  function="dns_expire" file="dns.c" line="187" message="dns query c7ef (Google) timed out, retransmitting (retry 1)"
2014:09:03-09:28:24 SophosUTM httpproxy[18246]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x15aa0368" function="sc_categorize_url_remote" file="scr_scanner.c" line="993" message="no categorization received for url: https://www.google.de/"
2014:09:03-09:28:25 SophosUTM httpproxy[18246]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.10.103" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffAllow (L&L Standard)" size="2465" request="0x16e306e8" url="www.google.de/" exceptions="" error="Host not found" authtime="0" dnstime="10001064" cattime="10896533" avscantime="0" fullreqtime="20937909" device="0" auth="0" category="9999" reputation="neutral" categoryname="Categorization failed"


There are no entries in the log of the firewall or of the intrusion prevention system for this specific time.

Before the UTM was installed, we didn't have problems like this. So the DNS server of our provider seem to work fine (or at least they did [;)]).

If there's already a solution somewhere in this forum, please post the link as I didn't find it. Otherwise do you have any ideas how to fix this problem?

Best regards 
Thilo


This thread was automatically locked due to age.
  • 0
    Hi,

    1. UTM version #?

    2. the UTM has an option to log all DNS requests; you may want to enable that temporarily and look at the log.

    Barry
  • 0
    1. UTM Version: 9.205-12
    2. Where can I find this option? Didn't find it in the field of Management nor Network Services nor Logging & Reporting
  • 0
    Hi, it's at
    Network Protection->Firewall->Advanced->Log Unique DNS Requests

    Barry
  • 0 in reply to BarryG
    This usually happens, if one of the dns servers stops answering or is lame, as UTM sends requests in a round robin fashion.

    Simply replace the two dns servers in the dns forwarder field with a availability group containing those servers (and maybe also additional public dns servers as google dns servers), change the test of the availability group from ping to udp 53 in a 15s interval and failed requests to 3.

    This helped usually in all sites where I saw this issue....
  • 0
    Thanks Sascha...

    If the ISP DNS servers are unreliable, then switching to OpenDNS or GoogleDNS may be wise also.

    Barry
  • 0
    You also might want to check your work against a post I maintain that represents much of the combined wisdom from the members here:  DNS Best Practice.

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Thanks to all for your answers. I've replaced the DNS servers by an availability group, changed the advanced options of this group and added an open DNS server. I'll let you know, if there's still a problem with the DNS or not.

    @Bob: Already seen this post. My setup seems to be ok (after I've added the availability group [;)]). 

    Best regards
    Thilo
  • 0
    Ok, no timeouts so far. But right now it took very long to access several websites. 
    Couldn't find anything strange in the firewall log, but found some interesting entries in the webfilter and the DNS proxy log:
    2014:09:09-10:47:09 SophosUTM named[4139]: error (unexpected RCODE SERVFAIL) resolving '136.158.225.192.in-addr.arpa/PTR/IN': 204.74.101.1#53
    2014:09:09-10:47:09 SophosUTM/SophosUTM named: Last message 'error (unexpected RC' repeated 1 times, suppressed by syslog-ng on SophosUTM.lul.local

    (all in all seven error messages like the first one this time)
    2014:09:09-10:47:06 SophosUTM httpproxy[18246]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.10.103" dstip="64.4.16.215" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffAllow (L&L Standard)" size="6023" request="0x16e30070" url="https://account.live.com/" exceptions="" error="" authtime="0" dnstime="3178" cattime="40332" avscantime="0" fullreqtime="14449287" device="0" auth="0" category="178" reputation="trusted" categoryname="Internet Services"

    As one can see the dnstime seems to be very high, normally it's something between 2 and 9. Any idea?
  • 0
    Hi, 

    Try this also...download DNS Bench tool from:
    https://www.grc.com/dns/benchmark.htm

    Run the benchmark test with your choosen DNS servers and order it from fastest to slowest in your Availability group.

    As I can see the problem in DNS log file is not related with Webfiter one.
  • 0
    Ran the test. There was only one warning: I have only one local DNS server (that's correct, but doesn't seem to be the problem). But it responds faster than any public DNS server. The first two of my three public DNS servers in the AG are listed right behind my local DNS server. So it doesn't seem to be a performance issue in general.