Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 25644 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS query timeout

GuardianFan
Hi all,

since we installed the Sophos UTM 100 a couple of months ago, sometimes we have problems accessing websites. As we use Active Directory in our local net DNS queries should go this way:
Client (DNS Server: SBS2011) -> Small Business Server 2011 (forwarder to the UTM) -> Sophos UTM (forwarder to two DNS servers of our ISP) -> DNS server of our ISP
I added the internal network to the allowed networks of the DNS service and two DNS servers of our ISP to the DNS forwarders.

The problem in detail:
Most of the time we don't have any problems accessing the internet. But at different times a number/all of us cannot access the internet. So there seems to be neither a general problem (for example a missing entry in the firewall) nor a special "event" (for example a disconnect every 24h by our ISP) which could be responsible for this.
After this error occurs, you have to wait one or two minutes and then everything works fine again.
The typical entry in the webfilter log looks like this:
2014:09:03-09:28:24 SophosUTM httpproxy[18246]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)"  function="dns_expire" file="dns.c" line="187" message="dns query c7ef (Google) timed out, retransmitting (retry 1)"
2014:09:03-09:28:24 SophosUTM httpproxy[18246]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x15aa0368" function="sc_categorize_url_remote" file="scr_scanner.c" line="993" message="no categorization received for url: https://www.google.de/"
2014:09:03-09:28:25 SophosUTM httpproxy[18246]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.10.103" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffAllow (L&L Standard)" size="2465" request="0x16e306e8" url="www.google.de/" exceptions="" error="Host not found" authtime="0" dnstime="10001064" cattime="10896533" avscantime="0" fullreqtime="20937909" device="0" auth="0" category="9999" reputation="neutral" categoryname="Categorization failed"


There are no entries in the log of the firewall or of the intrusion prevention system for this specific time.

Before the UTM was installed, we didn't have problems like this. So the DNS server of our provider seem to work fine (or at least they did [;)]).

If there's already a solution somewhere in this forum, please post the link as I didn't find it. Otherwise do you have any ideas how to fix this problem?

Best regards 
Thilo


This thread was automatically locked due to age.
  • 0
    Let take apart the log line:
    name="web request blocked" 
    statuscode="502" 
    url="http://www.sport1.de/" 
    error="Host not found" 
    dnstime="10001227" 
    cattime="10941970" 
    fullreqtime="20947178" 
    category="9999" 
    categoryname="Categorization failed" 

    So DNS took 10 seconds before it failed (timed out) with Host not Found.
    However categorization also took 10 seconds before it failed (timed out) with Categorization Failed.

    You are probably using CFF cloud lookups for category.

    Because both lookups timed out I doubt that this is a "DNS Problem".  It sound more like the entire system was blocked from external access for a time.
  • 0
    Because both lookups timed out I doubt that this is a "DNS Problem". It sound more like the entire system was blocked from external access for a time.

    Ok. I assumed it is a DNS problem, because I thought, that categorization was failing, because it couldn't identify the website as it couldn't be opened. But if the DNS query and the categorization are two independent steps, you're probably right.

    So do you have any clue, what could be responsible for this? As written above there's a stateful inspection firewall in front of the UTM. But as DNS works fine mostly, this firewall could rarely be the reason for this behaviour. So there's left just the UTM most likely. Am I right or did I ignore something?
  • 0
    DNS and categorization are separate steps.

    As you are the only one with this problem, the mostly likely cause is something in your network - not the UTM.

    I know nothing about stateful inspection firewalls or other network interactions.  Other people in the forum might know more.  I'm a blind man throwing darts.  Anti-DOS?  traffic shaping?  Maybe tcpdump to try and figure out what is going on?
  • 0
    GF, it's pretty clear that the issue must be in the Lancom.  You should disable every check by it as the UTM already handles them all (vilic's suggestion seems correct to me).  Best would be to put the Lancom into bridge mode so that your public IP(s) can be on the External interface of the UTM.  The day you need an IPsec connection, you will be extremely glad you made the change.  Please let us know what solves this problem for you.

    Cheers - Bob
  • 0
    Thanks for your answers so far. I'll monitor the behaviour of the DNS queries. If it doesn't work fine, I'll check the trace log of the Lancom. And if the timeouts still appear, I'll think about it, if I put the Lancom into bridge mode or if I ignore the DNS timeouts as everything else works fine (even IPSec VPN [;)]). But that's not your problem any more. 

    So this thread can be closed, though it's not finally resolved. But you convinced me, that it's not the "fault" of the UTM and so it's not possible to solve this problem in this forum. Again thanks for your help.

    PS: If something solves this problem, I'll post it here of course.