http proxy

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Palatino
Beiträge: 20
Registriert: Di 18.10.2011, 22:07

http proxy

Beitrag von Palatino »

Seit der Umstellung auf die Version 11 der UTM Software, konnte sich mein f-secure Virenschutz auf dem PC nicht mehr aktualisieren. Auch mit der Version 11.1.1 war zunächst keine Verbindung zum f-secure update server möglich. Nach einigen Versuchen mit unterschiedlichen Nameservern, .., habe ich den transparenten Modus des http proxies deaktiviert und der Update hat funktioniert. Als "transparente Regel" ist "INCLUDE internal-network internet" konfiguriert.

Auffällig ist das unterschiedliche Verhalten von traceroute zum f-secure Server über Netzwerkwerkzeuge und über eine DOS-Box auf dem Windows-PC (Output siehe unten). Während die Appliance nach dem 6. Hop nur noch timeouts meldet, findet der Windows traceroute sein Ziel.

Muss ich noch etwas spezielles beachten, damit der Update auch mit aktiviertem transparenrten Proxy funktioniert?


Appliance über Netzwerkwerkzeuge:
traceroute to kabelbw.sp.f-secure.com (217.110.97.146), 30 hops max, 60 byte packets
1 HSI-KBW-46-237-193-65.hsi.kabel-badenwuerttemberg.de (46.237.193.65) 9.251 ms 13.251 ms 13.219 ms
2 172.30.9.189 (172.30.9.189) 15.215 ms 16.172 ms 16.165 ms
3 HSI-KBW-078-042-040-241.hsi3.kabel-badenwuerttemberg.de (78.42.40.241) 12.997 ms ae0.STR-M2.ip-bb.kabel-badenwuerttemberg.de (78.42.40.5) 11.920 ms HSI-KBW-078-042-040-241.hsi3.kabel-badenwuerttemberg.de (78.42.40.241) 12.955 ms
4 * * *
5 * * *
6 * xe0-3-0-sar16.FRA.router.colt.net (212.74.73.14) 10.424 ms 10.027 ms
7 * * *
.
.
.
30 * * *


DOS-Box:
tracert kabelbw.sp.f-secure.com

Routenverfolgung zu bwp-de-2.f-secure.akadns.net [217.110.97.144] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms 192.168.22.199
2 7 ms 7 ms 7 ms HSI-KBW-46-237-193-65.hsi.kabel-badenwuerttemberg.de [46.237.193.65]
3 11 ms 6 ms 17 ms 172.30.9.161
4 5 ms 7 ms 7 ms ae0.STR-M2.ip-bb.kabel-badenwuerttemberg.de [78.42.40.5]
5 11 ms 7 ms 7 ms ae1.FRA-M2.ip-bb.kabel-badenwuerttemberg.de [78.42.40.15]
6 12 ms 25 ms 30 ms Te0-0-0-0-pr2.FRA.router.colt.net [80.81.193.61]
7 9 ms 11 ms 11 ms xe0-3-0-sar16.FRA.router.colt.net [212.74.73.14]
8 11 ms 11 ms 11 ms 217.111.108.198
9 10 ms 11 ms 11 ms 217.110.97.144

Ablaufverfolgung beendet.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

An dem Traceroute ist nichts auffälliges. Ihnen ist sicher aufgefallen, dass sie da unterschiedliche IPs getraced haben...
Können Sie uns einmal per Email das Log des Proxies zukommen lassen, während der Client das Update versucht?

Palatino
Beiträge: 20
Registriert: Di 18.10.2011, 22:07

Beitrag von Palatino »

Das mit den unterschiedlichen IP-Adressen ist mir erst jetzt bewusst geworden. Ein 'dig kabelbw.sp.f-secure.com' zeigt den Grund warum der Name mal so oder so aufgelöst wird:

;; ANSWER SECTION:
kabelbw.sp.f-secure.com. 591 IN CNAME bwp-de-2.f-secure.akadns.net.
bwp-de-2.f-secure.akadns.net. 21 IN A 217.110.97.145
bwp-de-2.f-secure.akadns.net. 21 IN A 217.110.97.146
bwp-de-2.f-secure.akadns.net. 21 IN A 217.110.97.147
bwp-de-2.f-secure.akadns.net. 21 IN A 217.110.97.144

Beim dem traceroute der Appliance frage ich mich nach wie vor, warum er nicht erfolgreich ist. Denselben unvollständigen traceroute erhalte ich übrigens auch auf meiner Synology Diskstation, die ebenfalls mit Linux betrieben wird.

Die Ausgaben des http-proxies während des Updates sind sehr kurz und folgen deshalb hier und nicht als mail:
2012-12-30T12:08:00+01:00 - squid 23367 - - 1356865680.888 120 192.168.22.104 TCP_MISS/200 1475 POST http://kabelbw.sp.f-secure.com/8/MRQ - HIER_DIRECT/217.110.97.144 application/octet-stream

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Es gibt Router, die verwerfen ICMP-Pakete, mit denen der Traceroute durchgeführt wird. Das ist normal.

Ein Blindschuss bzgl des Updates:
Ändern Sie das Template der /etc/squid/squid.conf und ändern die Zeile

Code: Alles auswählen

forwarded_for off
zu

Code: Alles auswählen

forwarded_for delete
Danach Speichern Sie das Template und starten den HTTP-Proxy neu (dauert ca 30s - am beten im Log schauen, wenn er wieder da ist)

Palatino
Beiträge: 20
Registriert: Di 18.10.2011, 22:07

Beitrag von Palatino »

Hallo Erik,
zunächst einmal vielen Dank für die Unterstüzung zu ungewöhnlichen Zeiten.
Der "Schuss ins Blaue" war nicht erfolgreich, jedoch gibt es einen Workaround, der solange funktioniert bis Kabel-BW bzw. F-Secure die IP-Adressen der Update-Server ändern:
1.) Neues Netzwerkobjekt: kbw-upd144 217.110.97.144/29 external
2.) Ausnahme für transparenten Proxy: EXCLUDE internal-network kbw-upd144
3.) zur Sicherheit HTTP-Pproxy neu gestartet
4.) Update manuell angestoosen und tut!

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo,

passierte das mit beiden Virenscannern, welchen haben Sie verwendet?
There are 10 types of people in the world... those who understand binary and those who don\'t.

Palatino
Beiträge: 20
Registriert: Di 18.10.2011, 22:07

Beitrag von Palatino »

Das Problem ist unabhängig vom Virenscanner. Sowohl jeweils einzeln deaktiviert, als auch ohne aktiven Virenscanner zeigt sich keine Besserung.

Palatino
Beiträge: 20
Registriert: Di 18.10.2011, 22:07

Beitrag von Palatino »

Nachtrag: Nachdem ich die Posts von Patrick Fischer bzw. Dirkg bezüglich des WebRadios gelesen hatte, war mir klar, dass ich bei den vorangegangenen Tests mit den Virenscannern falsch vorgegangen bin. Anstatt unter "Anwendungen -> HTTP-Proxy -> Virenscanner", hatte ich die Virenscanner unter "Anwendungen -> Anwendungsstatus" aktiviert/deaktiviert.
Also das Ganze nochmal, aber diesmal richtig.
Ergebnis:
- Mit keinem der beiden Virenscanner lässt sich eine Verbindung zum Update Server aufbauen.
- Ohne aktiven Virenscanner ist der Verbindungsaufbau möglich

Abhilfe: Ein Whitelist-Eintrag von "^http://kabelbw\\.sp\\.f-secure\\.com". Dies erscheint mir besser, ale eine Ausnahme auf aufgrund von IP-Adressen vorzunehmen (siehe Post vom 30.12.2012)

JeWe
Beiträge: 108
Registriert: Di 11.10.2011, 10:58

Beitrag von JeWe »

Haben dieselben Probleme mit unserem Sophos-Virenscanner. Die Verbindung wird aufgebaut, um dann gleich wieder gekappt zu werden.

Aus Zeitgründen habe ich für den Server erst einmal eine Proxy-Ausnahme eingerichtet.

In der 10er-Version war mir dieses Problem nur bei Linux-Servern bekannt. Da scheiterte dann das Update bzw. dauerte stundenlang. Irgendwas muss sich also mit der 11 geändert haben.

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Moin,

wir untersuchen das gerade, es scheint da unterschiedlich Fehlerbilder zu geben.
There are 10 types of people in the world... those who understand binary and those who don\'t.

thomas
Beiträge: 28
Registriert: Mo 29.08.2011, 07:54
Wohnort: Stuttgart

Beitrag von thomas »

Mogäääähn,

exagt das gleiche Problem habe ich mit den ESET Antivirus Programmen (gibt ein extra Beitrag dazu). :evil: :evil: :evil:

Bis zur Version 10.6.3 lief alles normal...

Thomas
Zuletzt geändert von thomas am Mo 14.01.2013, 13:30, insgesamt 1-mal geändert.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Im Allgemeinen kann man sagen: Das "Problem" ist, dass der Virenscanner seine Arbeit erledigt...
Sie versuchen da Virenpatterns runterladen, also sollten Sie die Update-Server auch in die Virenscan-Whitelist des HTTP-Proxies eintragen. Siehe hier.

Antworten