[7.460][BUG][ACK] trouble while surfing to HTTPS sites

Update... 
Still can't surf the https sites. Everything works as expected if I check on scan https traffic but the browser just hangs like the packets are dropped if I uncheck that box. Nothing blocking in url filtering etc. Wierd, it works in the other modes that I tested transparent, authenticated etc as long as scan https traffic is checked.(Screenshot attached). If it is working for everybody else, maybe I need to rebuild the box which would suck...

Factory reset hasn't resolved the issue. I just did a factory reset and just enabled the http proxy. I didn't create any rules, just a masq rule internal -->external. Still no go. I guess time to do a fresh install.[:S]

Ok this can be officially submitted as a bug now.  I have done a clean install and the traffic is still being blocked. Hate to keep on rambling about this but not heard from anybody else. Surely I am not the only one trying to login to ssl sites.
edit 1. Reverted back to 7.45 everthing working again normally. Will try another update to see if anything changes.

Hi,
you probably aren't on your own, we are just trying to get this version to work.

I will download the iso in the morning and build this thing from scratch.
So far I have had more problems with ordinary websurfing.

Everything else seems to work fine.

Ian

Have the same problem, but it came with 7.460, no problem before.

First I had a dejavu with 7.4, but then it was only a problem if you are using a upstream proxy. This problem was fixed in 7.401, I think.

Hi BillyBob,
I have built 2 machines today, one was proof of concept that 7.460b would work better on it than my low power machine. Once that was achieved built a on new version on a lower power machine not as low as I would like but....


The good news, most of my problems went away. The bad news is I am now experiencing all the problems being identified by others.

So far with https browsing, I have disabled https scanning, I am having to setup up proxy bypass rules, this is becoming a pain. It doesn't affect all sites. The real pain of it is that none of the dropped/blocked stuff appears in any log files, so I can't even identify what is actualy wrong.
At the moment I can't do web banking, it just times out, no errors in the log file, nothing.

Ian M

Hello,
 I had the same problems as mentioned here and was fiddling aroung with different settings. 
I rebooted, built a packet filter rule, switched to transparent, clicked https-scan on and off, and suddenly it worked like it should.
Then I returned to my original settings and it still worked. 

I can't tell which setting needed a kick, but all that cured the problem.

In theory, the web proxy should run out of the box. Meaning as soon as you define your internal network and external network, if you just turn on the proxy you should have web access. No packet filter or masquerading rules required. This has been the behavior in the past.

Walter, like Billybob says, you shouldn't have needed a PF rule at all.  Are you sure it's not still active?

Also, I wonder if, in the process, did you reboot the machine before it started functioning correctly?

Cheers - Bob

Hi @ll,

i have the same problem with the 7.460

Without the Proxy HTTPS works fine, with proxy no go...
On 7.450 HTTPS works with proxy without any problems.

I try many different thinks, and enable the HTTPS scanning on the >HTTP/S GlobalHTTP/S Profiles - Proxy Profiles

I try many different thinks, and enable the HTTPS scanning on the >HTTP/S GlobalHTTP/S Profiles - Proxy Profiles

You are correct, that does solve the problem. But I don't want my https content scanned. I just want astaro to parse the urls and if OK move ahead. I don't want astaro to look at my encrypted transactions. So as long as https is in allowed services for http proxy it should work without checking the enable https scanning.

I try many different thinks, and enable the HTTPS scanning on the >HTTP/S GlobalHTTP/S Profiles - Proxy Profiles

You are correct, that does solve the problem. But I don't want my https content scanned. I just want astaro to parse the urls and if OK move ahead. I don't want astaro to look at my encrypted transactions. So as long as https is in allowed services for http proxy it should work without checking the enable https scanning.

Bob,

I know, that I don't need a new rule, but after Ian wrote:

"So far with https browsing, I have disabled https scanning, I am having to setup up proxy bypass rules, this is becoming a pain. It doesn't affect all sites. The real pain of it is that none of the dropped/blocked stuff appears in any log files, so I can't even identify what is actualy wrong."

I tried it. The rule is deleted already and it's still working.

Rebooting I tried twice, but that didn't help.

Hi,
so far I have had a bad experience with this stuff.

I have now deleted all of the rules I put in place to over come the proxy problem. Someone on another thread advised that enabling https scanning under all profiles fixed the problem. I have enabled https scanning and it works, as BillyBob says not the way he expected.

Ian M

i find the http profiling very problematic.. it should be simple to setup but i get constant trouble. But to stick on the topic here, my https doesnt work when proxied either. I tried creating profiles and i tried deleting it all.. it wont function if enabled. 
Previously i couldnt add custom permit ports but that is fixed with the last patch.
But if i push my uTorrent through the proxy, it seems to have no problem opening whatever tracker port it feels like anyway. 

Although for some sites it just doesnt feel like permitting 'uncategorised' sites, even if i put them in the whitelist. Shouldnt the whitelist overrule all other settings except the transparent skiplist?
Perhaps something wrong with my setup so ill just reset it all and start over [:S]
---
Just tried to reload my config from yesterday and now i cannot login on the webadmin anymore.. 
Oh and be aware not to enable Spoof protection on VMware.. strangely enough it see's the mac's in arp but it continues to think as itself as 00-00-00-00-00.
i guess there is no way to manually disable the spoof or just bypass it temporarly? clearing out iptables didnt help much.. nor did killing snort [[:P]]

----
i wish we could use dns groups for policy based routing, although i can understand why that could be complicated [[:P]] although since it updates the dns hosts, it could also update the route table every 5min or so

UPDATE:

on my last post I say “enable the HTTPS scanning solve the Problem”.
That is only half of truth. The most sides working, but e.g. the admin-side of a ASG doesn’t work. (h**ps://asg.mydomain.tld:4444)
The comes an error page from the local ASG, that says the website is not trusted.
 I can make exception for this side, but it still not work.  That´s an loop between the side who says not trusted and make exception.

I hope you understand me….;-))

Best Regards
TheSpawn

Astaro Beta Report
--------------------------------
Version: 7.460
Type: BUG
State: OPEN
Reporter: Billybob
Contributor: 
MantisID: 
--------------------------------

Hello Sir, 
 i think we have to manually import https ca to browser fix issue 

Thanks

Hi together,

I did a fresh install of a appliance activated the http proxy in standard mode without SSL Scanning. I double checked, that service https is in the allowed target services. After enabling it was possible to browse https sites. Could you please give me detailled screenshots about your settings?

Greetings
Andreas

Ok my settings are regular http proxy standard mode. Internal network allowed to use proxy. Advanced settings have http and https in allowed target services.
If I remove https from allowed target services this is logged in http.log

2009:07:08-15:44:01 gatekeeper httpproxy[6134]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.0.10" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2113" time="0 ms" request="0xaffa3500" url="www.opendns.com/" exceptions="" error=""

So I can see its blocked but when I put https in allowed services, there are no log entries. The browser window hangs like the packet is being dropped. I have no logs in packetfilter logs obviously or http.log
This is on vista sp2 IE8.0.6001
1. Screenshot of proxy settings
2. Screenshot of advanced proxy settings
3. Screenshot of browser settings pointing to port 8080 and trying to get to a https website.

This can be marked as closed. Although it was never confirmed by astaro[:(] It is back to the way it is supposed to be in 7.470. If you have https in allowed target services, you can browse again without scanning ssl sites.
Thanks astaro.[:D]

This can be marked as closed. Although it was never confirmed by astaro[:(] It is back to the way it is supposed to be in 7.470. If you have https in allowed target services, you can browse again without scanning ssl sites.
Thanks astaro.[:D]

Sir u was absolutely right ,then pm u send to me was absolutely right 

u don't  know     """""yes but everbody should know the basics"""""

anyway thanks for your co-operation