[v7.380] HTTPS scanning need some help - portal sites fail

Ian,

  Just one more thing. For msn messenger to work you will have to poke a hole in the packet filter for port 1863 outbound: internal net, port 1863, any destination. This is in addition to setting up the messenger client manually to use socks4 or socks5, not the http or http proxy. At least that's the only way it worked for me.

Greg

Hi Greg,
I have 4 PCs, 2 laptops, 2 linux server, 2 voip phones and 2 printers which are currently networked. The printer will be moving onto the linus server shortly.

I use the http proxy profiles to manage some of my users access. Being an active beta tester I like to try some of the new features, see if  can add some value.

My secure application that provides acces to work is based on a juniper security server. It uses a gre tunnel on protocol 50 which is not handled by the http proxy. It also does a port redirect from port 80 to 8080, which my vista 64 machine doesn't handle, but XP and vista 32 do.

Messenger works quite well through the proxy, but breaks when the https scanning is invoked. I don't have proxy bypass setup for messenger, but socks is configured in IE. I have the messenger helper enabled.

I will provided a fuller answer tomorrow my time, off to the work Christmas party shortly.

Ian M

Ian,

  What error messages do you get from vista 64 when going through the http/s proxy fails? Do you see anything relevant in the http/s proxy live log?

  Do you have the ASG socks proxy activated? That's under network security>advanced. For me to get msn messenger to work after turning on the http/s proxy I had to let port 1863 out through the packet filter, I had to turn on the ASG socks proxy (I selected the "all users" choice (not specifying any users or passwords), and I had to manually configure msn messenger to use the socks4 or socks5 proxy, not the http or https proxy. Is that how yours is configured? You might want to try that.

Hi Greg,
I will re-work my bypass rules and the allowed services in the proxy and see what happens.
I convinced vista 32 to import the certificate and my work access runs correctly in normal proxy (standard mode, no https scanning) from my laptop.

Next challenge to get it working with https scanning.

Ian M

Checked the HTTP proxy bypass rules and found a box that should have been ticked as blank. So far during testing that hasn't changed anything. I tried adding some of my service types to the proxy allowed services, but they wouldn't add, not sure why, others I tried added okay. Could be because they are in use in the packet filter section.
Finally convinced IE to install the certificates, but it still doesn't work because the certificates can't be trusted, then again not suprising because it installed 3 Microsoft certificates with untrustworthy warnings on them.

Removed all Packet Filter rules. Removed bypass in IE and firefox (using vista 64). The redirection works. IE still gives certificate warnings.

I could not get the GRE tunnel to connect. While the https sets up okay, the GRE tunnel fails and the result is no connection.

ow do I get the GRE function to work. Now I think that once the https connection is established the GRE tunnel should connect over that, so what do I need to do in either IE and firefox or the ASG to get this to work. I can get this to work when not using the proxy.

if I get up early enough tomorrow morning I will try the laptop (vista 32). It was working before I implemented the https scanning.

The web bank site works. But my web mail is still blocked and inpute/output error. Even the ASG message is corrupted.

Ian M

Found part of the reason for the failures.
The parent company, New Balance is defined as sport
where as the Australian wholy owned subsidary, New Balance Australia/New Zealand is defined as fashion/beauty.
Both are enabled in the profiles, so what gives with the blocks and i/o errors?