[v7.380] HTTPS scanning need some help - portal sites fail

No one else finding that all https is re-directed rergadless of bypass settings.
This problem was noted on a XP and Vista 64 PCs?

Also no-one else having problems with msn messenger being blocked?

Ian M[:S][:S][:S]

Also no-one else having problems with msn messenger being blocked?

Ian M[:S][:S][:S]

Are you getting the message that the date/time is wrong or it's a certificate issue? That's what I'm getting. This is with MSN messenger for the mac, not going through http or the proxy but using port 1863 though I still see it trying to get out on http

Greg

takoateli,
With https scanning enabled. I have acces to the portal sites enabled in the web profiles.
Ian M[:S]

Are you using the transparent http/s proxy or standard http/s proxy?

I don't think you even need to use the web profiles unless you're getting fancy with things like restricting only certain users or having a time based access rule. What I think you probably do need to do if you haven't done it already is go to Web Security>HTTP/S>Exceptions and make an exception for that site being sure to check the options for skipping the cert checks. See if that helps.

Greg

Thank you for the pointer, I hadn't seen the bypass certificate fields. I tried that and one of my sites works with the https scanning enabled.
But that gets back to one of my other threads, I have that url bypassing the http proxy, so why should I have to enable extra exemptions to get acces to the site?

HTTPS scanning starts to take on a life of its own with exclusions and exemptions. I would have expected the existing exlcusions/exemptions to work.

To me there is something wrong with the way the HTTPS scanning is structured. I expect over time it will evolve into its own menu item.

Ian M

Ian,

  The url pass list and the exemptions are very different animals. I believe the url pass list just bypasses the url blacklisting, where as the exemptions do that plus a whole lot more. The exemptions give you very granular control.

  So are you good to go? Is everything working?

  You still didn't say how you're running the proxy? In the standard mode or the transparent mode?

Greg

Greg,
I am running the http proxy in standard mode.

The url concerned is setup with bypass the proxy (including most proxy functions) and a number of packet filter rules to allow it out. So on that basis I would not expect any of the proxy functions to have be active or am I misunderstanding what bypass proxy means.

Ian M

Ian,

  Hopefully one of the more senior members can chime in. I'm new to this.

  I just read the whole thread again. Can you tell me what kind of environment you're running? How many computers? Do you need to use profiles? Understand profiles are for having different policies for different users and/or at different times. If you don't require policies I strongly suggest you don't use them.

  I don't believe you want the packet filter rules in there. Your traffic should be going through the proxy.

  I would set up a url pass for the sites you're trying to get to which are getting stopped as portal sites.

  To get messenger to work I had to manually configure it to use the socks4 or socks 5 proxy and I had to turn on the ASG socks proxy. Just set it to allow all users.

  For the certificates try this below. Choice "a" worked great for me.

To "repair" the chain of trust when using HTTPS scanning, the client browser must trust the "Signing CA" of the proxy. This CA can be managed at "HTTP/S Proxy".

Three options are available to get the public "Signing CA" certificate installed into the client browsers (or in the case of IE, Window's certificate management):

a) Have clients visit the URL "http://passthrough.fw-notify.net/cacert.pem". This will trigger certificate installation. The process varies from browser to browser.

b) Download the "Signing CA" in PEM format in WebAdmin (HTTP/S Proxy -> HTTPS CAs), then distribute it to clients using AD group policies (good for MS shops).

c) Have clients visit the End User Portal. It has a new menu entry "HTTPS proxy" which features a single button to install the "Signing CA".

  If you can get the certs in and get it all working then I'd take off the stuff you put in to try and make it work which might not be necessary like the exceptions. No point in bypassing more than you need to.

Ian,

  Just one more thing. For msn messenger to work you will have to poke a hole in the packet filter for port 1863 outbound: internal net, port 1863, any destination. This is in addition to setting up the messenger client manually to use socks4 or socks5, not the http or http proxy. At least that's the only way it worked for me.

Greg

Hi Greg,
I have 4 PCs, 2 laptops, 2 linux server, 2 voip phones and 2 printers which are currently networked. The printer will be moving onto the linus server shortly.

I use the http proxy profiles to manage some of my users access. Being an active beta tester I like to try some of the new features, see if  can add some value.

My secure application that provides acces to work is based on a juniper security server. It uses a gre tunnel on protocol 50 which is not handled by the http proxy. It also does a port redirect from port 80 to 8080, which my vista 64 machine doesn't handle, but XP and vista 32 do.

Messenger works quite well through the proxy, but breaks when the https scanning is invoked. I don't have proxy bypass setup for messenger, but socks is configured in IE. I have the messenger helper enabled.

I will provided a fuller answer tomorrow my time, off to the work Christmas party shortly.

Ian M

Ian,

  What error messages do you get from vista 64 when going through the http/s proxy fails? Do you see anything relevant in the http/s proxy live log?

  Do you have the ASG socks proxy activated? That's under network security>advanced. For me to get msn messenger to work after turning on the http/s proxy I had to let port 1863 out through the packet filter, I had to turn on the ASG socks proxy (I selected the "all users" choice (not specifying any users or passwords), and I had to manually configure msn messenger to use the socks4 or socks5 proxy, not the http or https proxy. Is that how yours is configured? You might want to try that.

Hi Greg,
I will re-work my bypass rules and the allowed services in the proxy and see what happens.
I convinced vista 32 to import the certificate and my work access runs correctly in normal proxy (standard mode, no https scanning) from my laptop.

Next challenge to get it working with https scanning.

Ian M

Checked the HTTP proxy bypass rules and found a box that should have been ticked as blank. So far during testing that hasn't changed anything. I tried adding some of my service types to the proxy allowed services, but they wouldn't add, not sure why, others I tried added okay. Could be because they are in use in the packet filter section.
Finally convinced IE to install the certificates, but it still doesn't work because the certificates can't be trusted, then again not suprising because it installed 3 Microsoft certificates with untrustworthy warnings on them.

Removed all Packet Filter rules. Removed bypass in IE and firefox (using vista 64). The redirection works. IE still gives certificate warnings.

I could not get the GRE tunnel to connect. While the https sets up okay, the GRE tunnel fails and the result is no connection.

ow do I get the GRE function to work. Now I think that once the https connection is established the GRE tunnel should connect over that, so what do I need to do in either IE and firefox or the ASG to get this to work. I can get this to work when not using the proxy.

if I get up early enough tomorrow morning I will try the laptop (vista 32). It was working before I implemented the https scanning.

The web bank site works. But my web mail is still blocked and inpute/output error. Even the ASG message is corrupted.

Ian M

Found part of the reason for the failures.
The parent company, New Balance is defined as sport
where as the Australian wholy owned subsidary, New Balance Australia/New Zealand is defined as fashion/beauty.
Both are enabled in the profiles, so what gives with the blocks and i/o errors?

Removed all Packet Filter rules. Removed bypass in IE and firefox (using vista 64). The redirection works. IE still gives certificate warnings.

I could not get the GRE tunnel to connect. While the https sets up okay, the GRE tunnel fails and the result is no connection.

ow do I get the GRE function to work. Now I think that once the https connection is established the GRE tunnel should connect over that, so what do I need to do in either IE and firefox or the ASG to get this to work. I can get this to work when not using the proxy.

if I get up early enough tomorrow morning I will try the laptop (vista 32). It was working before I implemented the https scanning.

The web bank site works. But my web mail is still blocked and inpute/output error. Even the ASG message is corrupted.

Ian M

Found part of the reason for the failures.
The parent company, New Balance is defined as sport
where as the Australian wholy owned subsidary, New Balance Australia/New Zealand is defined as fashion/beauty.
Both are enabled in the profiles, so what gives with the blocks and i/o errors?