Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 555 views
  • Users 0 members are here
Options
Suggested

[8.161][NOTABUG][CLOSED] http/s and ipv6 sites

utm_kid
Hello Friends !

in transparent mode i am not able to access IPV6 https sites 

i disable proxy and check with pf rule that site is working !
i am able to  access normal http site with ipv6 

it give error /log :::::

2011:03:25-19:09:51 acenn httpproxy[6294]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.2.105" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0xd10d1570" url="38.229.70.46" exceptions="" error="Failed to verify server certificate"  but this site is ipv6 


https://www.torproject.org/download/download.html.en 



not with aac with https

 http://www.astaro.org/astaro-beta-versions/asg-v8-200-beta/36597-8-161-bug-open-https-sites-acc.html


thanks

edit : dns records 

    * us A38.229.70.46
    * us A38.229.70.16
    * at A86.59.30.36
    * unknown AAAA2620:0:6b0:b:250:56ff:fe99:64
    * unknown AAAA2620:0:6b0:b:250:56ff:fe99:7611
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 8.161
    Type: NOTABUG
    State: CLOSED
    Reporter: utm_kid
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0
    Has nothing to do with IPv6. 

    The error error="Failed to verify server certificate"  shows that this site has not been signed with a to the ASG valid root certificate.

    What however seems to be broken is that if the server certificate is unknown and if you use transparent proxy, no warning page is displayed that shows "this is an unknown certificate, do you want to add it to the list of trusted certificates" as it happened in the prior versions of the box.

    This happens with the URL given above, but also IPv4 only web sites. Web sites that are signed with a known root CA certificate, such as https://meine.deutsche-bank.de seem to work.

    Reproduce:

    - go to https://management.froscon.de or the URL given above or any other website
    - Certificate error shows up in the log file
    - Warning page is not displayed, instead the connection to the client is reset

    Christian
    - strongly considering having pasta with black truffles this weekend
  • 0 in reply to christianlouis
    I think u r right (and i left to u [[:D]][[:D]])
    if u notice 1 more thing when doesnt show desip when it give error  

      2011:03:26-09:37:16 acenn httpproxy[30229]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.2.105" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0xca427b58" url="194.95.66.66" exceptions="" error="Failed to verify server certificate"

    2011:03:26-09:37:17 acenn httpproxy[30229]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.105" dstip="209.85.175.102" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="35" request="0xca423358" url="www.google-analytics.com/__utm.gif

    2011:03:26-09:37:17 acenn httpproxy[30229]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.105" dstip="129.35.230.2" user="" statuscode="200" cached="2" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1406" request="0xca41d658" url="meine.deutsche-bank.de/.../x-icon


    the reason i posted with ipv6 was it was showing this domain was with ipv6 address ,may be i am wrong 

    thanks
  • 0 in reply to utm_kid
    by chance does anyone know if this bug was resolved or when it will be resolved?

    Griff
  • 0
    @Griff: due to the nature of this problem, it won't be resolved for transparent proxy modes. If you allowed it, it would lead to security problems (that's at least what I recall from a discussion with one of the Astaro developers about this subject).

    But there's a quick workaround: allow the certificate in question on the ASG respectively define an exception for it.
    Workaround #2: use a proxy mode that does not work transparently
  • 0 in reply to christianlouis
    christianlouis,

    Thanks for the work around. I will have to allow the exception due to the firewall is in proxy mode now. Should this thread/bug be closed due to the problem with the transparent mode?

    Griff
Cookie Information Banner