Category Archives: Technischer Blog

Fireware 12.1 / Probleme mit HTTP und SMTP Proxy

Comment

bei Fireware 12.1 gibt es ein Problem mit dem HTTP und mit dem SMTP Proxy.

unter bestimmten Voraussetzungen kann es vorkommen, daß der Proxy zu große Pakete erzeugt, und diese nicht korrekt routen kann, weil er sich an MTU und “fragmentation needed” stört. Das Fehl-Verhalten ist unabhängig von der MTU-Einstellung beim jeweiligen Device.

Workaround:

  • Policy Manger => Settings => Global Settings => Tab Networking => TCP MTU Probing => Always enabled

Weiterlesen »

Webblocker Server is not available (seit 25.01.2018)

5 Comments

[UPDATE, 26.01.2018, 10:39 Uhr]: Das Problem scheint mittlerweile behoben zu sein!

Seit dem 25.01.2018 abends gibt es offenbar Probleme mit der WebBlocker-Infrastruktur.

Symptome / Notification E-Mail:

  • WebBlocker.<name der webblocker action>
    Appliance: <name der appliance>
    Time: Fri Jan 26 07:42:42 2018 (CET)
    Process: https
    Message: Policy Name: Internet.HTTPS-proxy.Out-00 Action: ProxyAllow: Reason: HTTPS service unavailable
    Source IP: x.x.x.x Source Port: 64223 Destination IP: y.y.y.y Destination Port: 443
    error: Webblocker server is not available service: WebBlocker.Standard cats: dstname: xxx.xxx.xxx

  • Surfen im Web ist allgemein langsam

Wenn der Webblocker Server nicht erreichbar ist, läuft für jeden Webzugriff ein voreingestellter Timeout von 5 Sekunden, ab dem dann die ausgewählte Action greift.
Zu finden unter: Policy Manager => Setup => Actions => Webblocker => <Webblocker action auswählen> => Tab Advanced.

Als System Default ist dort hinterlegt: Deny access to the web site, was dazu führt, dass eben auf gar keine Webseiten mehr zugegriffen werden kann, weil die Zugehörigkeit zu einer WebBlocker-Kategorie nicht überprüft werden kann. Wir empfehlen grundsätzlich, auf Allow the user to view the web site umzustellen (nicht nur wegen der aktuellen Situation). Im Zustand “Allow” würde dann trotz Nicht-Errreichbarkeit der Webblocker-Infrastruktur der Zugriff auf HTTP / HTTPS Webseiten möglich sein – wenn auch durch den Timeout zeitverzögert, aus Usersicht also “langsam”. Um dies in der aktuellen Situation etwas zu entzerren, empfehlen wir, den Timeout auf einen niedrigeren Wert von z.B. 2 Sekunden einzustellen. Auch Alarm, sprich die Notification per E-Mail sollte derzeit temporär ausgeschaltet werden.

Vorsicht bei Fireware 12.1

2 Comments

Bei Support-Einsätzen kommen nun leider vermehrt einige seltsame Verhaltensweisen zutage.

Derzeit scheint es Probleme zu geben mit

  • HTTP-Proxy in Verbindung mit PPPoE-Leitungen (möglicherweise MTU Aushandlungsproblem)
  • DNS-Requests von der Firewall selbst, die in MultiWAN-Umgebungen unter bestimmten Voraussetzungen auf der falschen Leitung gesendet werden

Wir raten daher zum derzeitigen Stand vom Einsatz der 12.1 ab.

Warum wird das erst jetzt sichtbar?

Fireware 12.1 wurde Mitte Dezember veröffentlicht (kurz vor Weihnachten). Der typische Administrator spielt Feature-Updates nicht kurz vor Weihnachten ein, so daß sich etwa folgendes Schema etabliert haben könnte: nach den Weihnachtsferien (also je nach Bundesland nach Dreikönig oder nochmal eine Woche später) wird zunächst der während der freien Tage angesammelte Stapel durchgesehen und ggf. abgearbeitet und danach wird das Feature-Update eingespielt. So kommt es, daß die “breite Masse” erst Mitte/Ende Januar (also jetzt) mit der 12.1 Erfahrungen sammelt.