El firewall USG no se puede conectar al servidor de categorías URL

141 0 0 0

 El cliente no puede conectar el USG6330 al servidor de categorías URL. El estado está todo el tiempo como desconectado.

 

 1. En primer lugar comprobaremos si el firewall tiene una licencia activa de filtrado de URL.

===================================================
  ===============display license===============
===================================================
 13:18:29  2016/05/23
 Device ESN is: xxxxxxxxxxxxxxxxx
 The file activated is: hda1:/LICSecospaceUSG6300V100R001_201604sssssssss.dat
 The time when activated is: 2016/04/27  10:24:11
 The time when expired is: 2016/07/26

 Virtual System: 50

 SSL VPN Concurrent User: 500

 Content Security Group: Enabled

 Encryption Function: Enabled

 IPS        : Enabled;   service expire time: 2016/07/26

 Anti Virus : Enabled;   service expire time: 2016/07/26

 URL Filter : Enabled;   service expire time: 2016/07/26

 

 2. En segundo lugar tendremos que comprobar si la configuración DNS es correcta y si está funcionando bien, tratando de hacer ping a sec.huawei.com:

 

 dns resolve
dns transparent-proxy enable
dns server bind interface GigabitEthernet1/0/0 preferred 8.8.8.8

 

 El Ping fue exitoso y el dominio se tradujo correctamente a la dirección IP.

 3. El ping al dispatch server es exitoso.

 54.217.248.140
 54.155.38.208

d3be124506d94348a3a4f860837a03b4

 

 4. Se ha configurado correctamente el código de país:

#
country PL
#

5. Validar la configuración de la política de seguridad:

#
security-policy
default action permit
#

 

 6. Solicitar al cliente que realice la depuración mientras intenta reconectar el sistema manualmente al servidor de categoría url.

 <R5_U13_USG6650>debugging  url-filter all                                                                                          
23:00:38  2016/05/23                                                                                                               
< R5_U13_USG6650>                                                                                                                   
< R5_U13_USG6650>t m                                                                                                                
23:00:39  2016/05/23                                                                                                               
Info: Current terminal monitor is on                                                                                               
                                                                                                                                   
< R5_U13_USG6650>t d 

 

 La depuración muestra los siguientes datos:

 

*0.73762000 USG6300 URL/7/INFO:Connect to dispatch server(54.217.248.140:12612) expire(1969-12-31 17:07)(25648 seconds).
*0.73762000 USG6300 URL/7/EVENT:Try TCP connect [1] time(s).
*0.73762000 USG6300 URL/7/INFO:Connect to remote:
*0.73762000 USG6300 URL/7/INFO:Connect return: -36, EINPROGRESS=-36, EINTR=-4
*0.73762000 USG6300 URL/7/EVENT:Agent -Msg(135)-> NGE(  0) -Msg( 60)- nge-id(  0)
*0.73762000 USG6300 URL/7/EVENT:Recv query state: nge-id(0), state(0), new state(1).
*0.73762000 USG6300 URL/7/VENT:Current nge-id(0).*0.73762000 USG6300 URL/7/EVENT:Current agent query-server state: CONNECTING.
*0.73766960 USG6300 URL/7/INFO:Connect select return: 0
*0.73766960 USG6300 URL/7/ERROR:Select error or timeout!
*0.73766960 USG6300 URL/7/ERROR:Connect to remote failed!
*0.73767950 USG6300 URL/7/EVENT:Try TCP connect [2] time(s).
*0.73767950 USG6300 URL/7/INFO:Connect to remote:
*0.73767950 USG6300 URL/7/INFO:Connect return: -37, EINPROGRESS=-36, EINTR=-4
*0.73767950 USG6300 URL/7/ERROR:Connect failed!
*0.73767950 USG6300 URL/7/ERROR:Connect to remote failed!
*0.73768950 USG6300 URL/7/EVENT:Try TCP connect [3] time(s).
*0.73768950 USG6300 URL/7/INFO:Connect to remote:
*0.73768950 USG6300 URL/7/INFO:Connect return: -37, EINPROGRESS=-36, EINTR=-4
*0.73768950 USG6300 URL/7/ERROR:Connect failed!
*0.73768950 USG6300 URL/7/ERROR:Connect to remote failed!
*0.73769980 USG6300 URL/7/ERROR:TCP connect failed, socket(311).
*0.73769980 USG6300 URL/7/ERROR:TCP connect with dispatch server failed.
*0.73769980 USG6300 URL/7/INFO:SSL and SSL-CTX clean.
*0.73769980 USG6300 URL/7/EVENT:Ssl Close socket(311).

*0.73769980 USG6300 URL/7/ERROR:Communicate: create ssl channel failed, dispatch server(54.217.248.140:12612).
*0.73769980 USG6300 URL/7/ERROR:Connecting to the dispatch server failed, return code (1).
*0.73769980 USG6300 URL/7/EVENT:Query server state changed from (CONNECTING) to (DISCONNECTED).

 

 Causa raíz,


 De acuerdo con los datos de depuración, el socket TCP falla, esto nos dice que algunos de los puertos requeridos para establecer el socket TCP con el servidor de categoría URL están bloqueados por algún dispositivo en upstream.


 Solución,

 He pedido al cliente que permita los siguientes puertos en el cortafuegos en upstream y la conexión con el servidor de categoría URL fue establecida.

 12600 y 12612

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión