Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 45 replies
  • Subscribers 0 subscribers
  • Views 36288 views
  • Users 0 members are here
Options
Suggested

[8.270][NOTABUG][CLOSED] Wireless AP not using HTTP Proxy

daniel4
I added a new Astaro Wireless AP and configured two SSIDs, a guest and a private one. The private SSID is bridged to the lan interface and is working correct.

The guest wlan should go though a HTTP proxy profile (profile config screenshot attached) . I can connect to the guest wlan and get an ip address. But if I try to browse to a website, I'll get an timeout and the HTTP proxy live log shows no entries.  I looked in the packed filter live log and saw that all wlan queries on port 80 were dropped there. 
So i configured a packet filter rule (screenshot attached)  to bypass the HTTP proxy.  I thought so. But with the activated packed filter rule the traffic is now proceeded by the HTTP proxy.

#update
The wlan net is the 192.168.2.0/24, i forgot to mention in first post. 

Currently I'm running 8.270, this weekend I'll update to 8.280.

#update 27.11.11
Now running 8.285, still the same situation. The web proxy runs in transparent mode, the 'Full transparent mode' is not activated. Changed config screenshot from http proxy, it was captured with temporarily activated 'Full transparent mode'. Sorry for that. As I said in some post below, the proxy runs only in transparent mode.

Here some logs:
http proxy log, no packed filter rule  

2011:11:16-18:51:23 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="188.111.53.33" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="35487" request="0x998ecd0" url="www.tagesschau.de/.../xml"

2011:11:16-18:51:57 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.68.225" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3925" request="0x9998708" url="services.dolphin-browser.com/.../api.ashx

2011:11:16-18:51:59 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.91.100" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2" request="0x99989d8" url="home.dolphin-browser.com/PromoLink.ashx

2011:11:16-18:52:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="89.207.18.81" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x99c6040" url="altfarm.mediaplex.com/.../3484-46780-8030-52


packed filter log 
 

2011:11:16-18:50:58 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="30" initf="eth0" outitf="ppp0" srcmac="0:9:34:0:2e:c9" dstmac="82:9d:23:5a:1:48" srcip="192.168.0.5" dstip="84.60.37.227" proto="6" length="56" tos="0x00" prec="0x00" ttl="63" srcport="2183" dstport="34001" tcpflags="ACK PSH" 

2011:11:16-18:51:37 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 

2011:11:16-18:51:39 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 

2011:11:16-18:51:45 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 


and http proxy log, packed filter rule active 

2011:11:16-18:55:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="88.221.62.208" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2178" request="0x99d1a40" url="image.spreadshirt.net/.../png"

2011:11:16-18:55:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="88.221.62.208" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="42294" request="0xc203c438" url="image.spreadshirt.net/.../png"

2011:11:16-18:56:08 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.100" user="" statuscode="204" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x99e4ca8" url="clients1.google.de/generate_204" exceptions="fileextension" error="" category="145" reputation="trusted" categoryname="Search Engines"

2011:11:16-18:56:08 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.120" user="" statuscode="200" cached="4" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="473" request="0x99e5310" url="www.gstatic.com/.../png" application="google"

2011:11:16-18:56:20 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.100" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="278" request="0x99e55e0" url="clients1.google.de/.../search




2011:11:16-18:55:40 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="173.192.219.136" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="57065" dstport="5222" tcpflags="SYN" 

2011:11:16-18:55:55 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="32" initf="ppp0" outitf="eth0" srcmac="82:9d:23:5a:1:48" srcip="212.202.120.50" dstip="192.168.0.1" proto="6" length="52" tos="0x00" prec="0x00" ttl="50" srcport="51224" dstport="22" tcpflags="ACK" 

2011:11:16-18:55:58 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="31" initf="eth0" outitf="ppp0" srcmac="0:9:34:0:2e:c9" dstmac="82:9d:23:5a:1:48" srcip="192.168.0.5" dstip="84.60.37.227" proto="6" length="56" tos="0x00" prec="0x00" ttl="63" srcport="2183" dstport="34001" tcpflags="ACK PSH" 
Parents
  • 0
    In post #20, for 192.168.2.100, there were two entries in the Web Filtering log at the same time as other accesses (to different IPs) were blocked in the Firewall log - Can you confirm that was the case?  Did you have the same situation with this configuration?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    In post #20, for 192.168.2.100, there were two entries in the Web Filtering log at the same time as other accesses (to different IPs) were blocked in the Firewall log - Can you confirm that was the case?  Did you have the same situation with this configuration?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi,

    please post the routing table, from the test System.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to BAlfson
    @BAlfson: I'll check it.
    #update: Yes the two entries are there, one with 200 and the other with 503.

    Here is my actual routing table.

    default via **.**.**.** dev ppp0  table 200  proto kernel onlink 
    local default dev lo  table 252  scope host 
    10.168.0.0/24 dev eth0  proto kernel  scope link  src 10.168.0.254 
    10.242.2.0/24 via 10.242.2.2 dev tun0 
    10.242.2.2 dev tun0  proto kernel  scope link  src 10.242.2.1 
    **.**.**.** dev ppp0  proto kernel  scope link  src **.**.**.** 
    127.0.0.0/8 dev lo  scope link 
    192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.254 
    192.168.1.0/24 dev eth3  proto kernel  scope link  src 192.168.1.254 
    192.168.2.0/24 dev wlan0  proto kernel  scope link  src 192.168.2.254 
    default via **.**.**.** dev ppp0  table default  proto kernel onlink 
    broadcast 10.168.0.0 dev eth0  table local  proto kernel  scope link  src 10.168.0.254 
    local 10.168.0.254 dev eth0  table local  proto kernel  scope host  src 10.168.0.254 
    broadcast 10.168.0.255 dev eth0  table local  proto kernel  scope link  src 10.168.0.254 
    local 10.242.2.1 dev tun0  table local  proto kernel  scope host  src 10.242.2.1 
    local **.**.**.** dev ppp0  table local  proto kernel  scope host  src **.**.**.** 
    broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1 
    local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1 
    local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1 
    broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1 
    broadcast 192.168.0.0 dev eth0  table local  proto kernel  scope link  src 192.168.0.254 
    local 192.168.0.254 dev eth0  table local  proto kernel  scope host  src 192.168.0.254 
    broadcast 192.168.0.255 dev eth0  table local  proto kernel  scope link  src 192.168.0.254 
    broadcast 192.168.1.0 dev eth3  table local  proto kernel  scope link  src 192.168.1.254 
    local 192.168.1.254 dev eth3  table local  proto kernel  scope host  src 192.168.1.254 
    broadcast 192.168.1.255 dev eth3  table local  proto kernel  scope link  src 192.168.1.254 
    broadcast 192.168.2.0 dev wlan0  table local  proto kernel  scope link  src 192.168.2.254 
    local 192.168.2.254 dev wlan0  table local  proto kernel  scope host  src 192.168.2.254 
    broadcast 192.168.2.255 dev wlan0  table local  proto kernel  scope link  src 192.168.2.254 
    unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255
    fe80::/64 dev eth0  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev eth3  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev eth1  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev redw0  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev redw0.100  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev redw0.101  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev wlan0  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255
    local ::1 via :: dev lo  table local  proto none  metric 0  mtu 16436 advmss 16376 hoplimit 0
    ff00::/8 dev eth0  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev eth3  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev eth1  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev redw0  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev redw0.100  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev redw0.101  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev wlan0  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255
  • 0 in reply to daniel4
    Sorry I mean the routing table from your Client.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

Unfiltered HTML