[v7.380] HTTPS scanning need some help - portal sites fail

No one else finding that all https is re-directed rergadless of bypass settings.
This problem was noted on a XP and Vista 64 PCs?

Also no-one else having problems with msn messenger being blocked?

Ian M[:S][:S][:S]

Also no-one else having problems with msn messenger being blocked?

Ian M[:S][:S][:S]

Are you getting the message that the date/time is wrong or it's a certificate issue? That's what I'm getting. This is with MSN messenger for the mac, not going through http or the proxy but using port 1863 though I still see it trying to get out on http

Greg

Also no-one else having problems with msn messenger being blocked?

Ian M[:S][:S][:S]

Are you getting the message that the date/time is wrong or it's a certificate issue? That's what I'm getting. This is with MSN messenger for the mac, not going through http or the proxy but using port 1863 though I still see it trying to get out on http

Greg

RFCat_vk,

  As I said in a previous post I was able to connect with msn messenger using my computer (Leopard 10.5.6) and another user wasn't able to connect with Tiger. I had imported certs but still no go. Maybe I didn't do it right. Anyway I upgraded that Tiger machine to 10.5.0 and it connected no problem. What OS is your machine running that can't connect to msn messenger?

Greg

takoateli,
With https scanning enabled. I have acces to the portal sites enabled in the web profiles.
On my Vista 64 PC accessing my work web mail fails. The log error message shows the connect method as blocked because it is a portal site. 
I use firefox where I was able to import the certificate correctly. I get the date timezone error messgae, but that is problem with my work mail server, every one gets that message.

My son who is running XP Pro has the same issue with his web mail access and also his msn messenger fails for the same reason.

I have not been able to successfully import an ASG certificate into IE on either XP ( 2 PCs) or Vista 64 Ultimate. IE advises that is has successfully imported the certificate but brings up the same error message as before the certificate was imported.

Tonight I will try the same things on my vista 32 business laptop.

I hope that helps.

Ian M[:S]

takoateli,
With https scanning enabled. I have acces to the portal sites enabled in the web profiles.
Ian M[:S]

Are you using the transparent http/s proxy or standard http/s proxy?

I don't think you even need to use the web profiles unless you're getting fancy with things like restricting only certain users or having a time based access rule. What I think you probably do need to do if you haven't done it already is go to Web Security>HTTP/S>Exceptions and make an exception for that site being sure to check the options for skipping the cert checks. See if that helps.

Greg

Thank you for the pointer, I hadn't seen the bypass certificate fields. I tried that and one of my sites works with the https scanning enabled.
But that gets back to one of my other threads, I have that url bypassing the http proxy, so why should I have to enable extra exemptions to get acces to the site?

HTTPS scanning starts to take on a life of its own with exclusions and exemptions. I would have expected the existing exlcusions/exemptions to work.

To me there is something wrong with the way the HTTPS scanning is structured. I expect over time it will evolve into its own menu item.

Ian M

Ian,

  The url pass list and the exemptions are very different animals. I believe the url pass list just bypasses the url blacklisting, where as the exemptions do that plus a whole lot more. The exemptions give you very granular control.

  So are you good to go? Is everything working?

  You still didn't say how you're running the proxy? In the standard mode or the transparent mode?

Greg

Greg,
I am running the http proxy in standard mode.

The url concerned is setup with bypass the proxy (including most proxy functions) and a number of packet filter rules to allow it out. So on that basis I would not expect any of the proxy functions to have be active or am I misunderstanding what bypass proxy means.

Ian M

Ian,

  Hopefully one of the more senior members can chime in. I'm new to this.

  I just read the whole thread again. Can you tell me what kind of environment you're running? How many computers? Do you need to use profiles? Understand profiles are for having different policies for different users and/or at different times. If you don't require policies I strongly suggest you don't use them.

  I don't believe you want the packet filter rules in there. Your traffic should be going through the proxy.

  I would set up a url pass for the sites you're trying to get to which are getting stopped as portal sites.

  To get messenger to work I had to manually configure it to use the socks4 or socks 5 proxy and I had to turn on the ASG socks proxy. Just set it to allow all users.

  For the certificates try this below. Choice "a" worked great for me.

To "repair" the chain of trust when using HTTPS scanning, the client browser must trust the "Signing CA" of the proxy. This CA can be managed at "HTTP/S Proxy".

Three options are available to get the public "Signing CA" certificate installed into the client browsers (or in the case of IE, Window's certificate management):

a) Have clients visit the URL "http://passthrough.fw-notify.net/cacert.pem". This will trigger certificate installation. The process varies from browser to browser.

b) Download the "Signing CA" in PEM format in WebAdmin (HTTP/S Proxy -> HTTPS CAs), then distribute it to clients using AD group policies (good for MS shops).

c) Have clients visit the End User Portal. It has a new menu entry "HTTPS proxy" which features a single button to install the "Signing CA".

  If you can get the certs in and get it all working then I'd take off the stuff you put in to try and make it work which might not be necessary like the exceptions. No point in bypassing more than you need to.

Ian,

  Just one more thing. For msn messenger to work you will have to poke a hole in the packet filter for port 1863 outbound: internal net, port 1863, any destination. This is in addition to setting up the messenger client manually to use socks4 or socks5, not the http or http proxy. At least that's the only way it worked for me.

Greg

Hi Greg,
I have 4 PCs, 2 laptops, 2 linux server, 2 voip phones and 2 printers which are currently networked. The printer will be moving onto the linus server shortly.

I use the http proxy profiles to manage some of my users access. Being an active beta tester I like to try some of the new features, see if  can add some value.

My secure application that provides acces to work is based on a juniper security server. It uses a gre tunnel on protocol 50 which is not handled by the http proxy. It also does a port redirect from port 80 to 8080, which my vista 64 machine doesn't handle, but XP and vista 32 do.

Messenger works quite well through the proxy, but breaks when the https scanning is invoked. I don't have proxy bypass setup for messenger, but socks is configured in IE. I have the messenger helper enabled.

I will provided a fuller answer tomorrow my time, off to the work Christmas party shortly.

Ian M

Ian,

  What error messages do you get from vista 64 when going through the http/s proxy fails? Do you see anything relevant in the http/s proxy live log?

  Do you have the ASG socks proxy activated? That's under network security>advanced. For me to get msn messenger to work after turning on the http/s proxy I had to let port 1863 out through the packet filter, I had to turn on the ASG socks proxy (I selected the "all users" choice (not specifying any users or passwords), and I had to manually configure msn messenger to use the socks4 or socks5 proxy, not the http or https proxy. Is that how yours is configured? You might want to try that.