Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 45 replies
  • Subscribers 0 subscribers
  • Views 36265 views
  • Users 0 members are here
Options
Suggested

[8.270][NOTABUG][CLOSED] Wireless AP not using HTTP Proxy

daniel4
I added a new Astaro Wireless AP and configured two SSIDs, a guest and a private one. The private SSID is bridged to the lan interface and is working correct.

The guest wlan should go though a HTTP proxy profile (profile config screenshot attached) . I can connect to the guest wlan and get an ip address. But if I try to browse to a website, I'll get an timeout and the HTTP proxy live log shows no entries.  I looked in the packed filter live log and saw that all wlan queries on port 80 were dropped there. 
So i configured a packet filter rule (screenshot attached)  to bypass the HTTP proxy.  I thought so. But with the activated packed filter rule the traffic is now proceeded by the HTTP proxy.

#update
The wlan net is the 192.168.2.0/24, i forgot to mention in first post. 

Currently I'm running 8.270, this weekend I'll update to 8.280.

#update 27.11.11
Now running 8.285, still the same situation. The web proxy runs in transparent mode, the 'Full transparent mode' is not activated. Changed config screenshot from http proxy, it was captured with temporarily activated 'Full transparent mode'. Sorry for that. As I said in some post below, the proxy runs only in transparent mode.

Here some logs:
http proxy log, no packed filter rule  

2011:11:16-18:51:23 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="188.111.53.33" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="35487" request="0x998ecd0" url="www.tagesschau.de/.../xml"

2011:11:16-18:51:57 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.68.225" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3925" request="0x9998708" url="services.dolphin-browser.com/.../api.ashx

2011:11:16-18:51:59 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.91.100" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2" request="0x99989d8" url="home.dolphin-browser.com/PromoLink.ashx

2011:11:16-18:52:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="89.207.18.81" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x99c6040" url="altfarm.mediaplex.com/.../3484-46780-8030-52


packed filter log 
 

2011:11:16-18:50:58 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="30" initf="eth0" outitf="ppp0" srcmac="0:9:34:0:2e:c9" dstmac="82:9d:23:5a:1:48" srcip="192.168.0.5" dstip="84.60.37.227" proto="6" length="56" tos="0x00" prec="0x00" ttl="63" srcport="2183" dstport="34001" tcpflags="ACK PSH" 

2011:11:16-18:51:37 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 

2011:11:16-18:51:39 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 

2011:11:16-18:51:45 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 


and http proxy log, packed filter rule active 

2011:11:16-18:55:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="88.221.62.208" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2178" request="0x99d1a40" url="image.spreadshirt.net/.../png"

2011:11:16-18:55:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="88.221.62.208" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="42294" request="0xc203c438" url="image.spreadshirt.net/.../png"

2011:11:16-18:56:08 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.100" user="" statuscode="204" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x99e4ca8" url="clients1.google.de/generate_204" exceptions="fileextension" error="" category="145" reputation="trusted" categoryname="Search Engines"

2011:11:16-18:56:08 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.120" user="" statuscode="200" cached="4" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="473" request="0x99e5310" url="www.gstatic.com/.../png" application="google"

2011:11:16-18:56:20 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.100" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="278" request="0x99e55e0" url="clients1.google.de/.../search




2011:11:16-18:55:40 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="173.192.219.136" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="57065" dstport="5222" tcpflags="SYN" 

2011:11:16-18:55:55 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="32" initf="ppp0" outitf="eth0" srcmac="82:9d:23:5a:1:48" srcip="212.202.120.50" dstip="192.168.0.1" proto="6" length="52" tos="0x00" prec="0x00" ttl="50" srcport="51224" dstport="22" tcpflags="ACK" 

2011:11:16-18:55:58 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="31" initf="eth0" outitf="ppp0" srcmac="0:9:34:0:2e:c9" dstmac="82:9d:23:5a:1:48" srcip="192.168.0.5" dstip="84.60.37.227" proto="6" length="56" tos="0x00" prec="0x00" ttl="63" srcport="2183" dstport="34001" tcpflags="ACK PSH" 
  • 0
    Are you now able to browse over the wireless?

    The log shows only drops on ports 443, 5222 and 5228 - Google Talk?  The Proxy doesn't handle those in its current mode, so you'll need a PF rule for them like the one in your first post in this thread with 5222 and 5228 added to Web Surfing.  It looks like this might have been part of your original problem.

    Do you have a Masquerading rule like 'Remote Wireless Guest (Network) -> External'?  

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    JFI, we've tried to reproduce this issue but the HTTP proxy is working just fine on a separate zone wireless network here with 8.281.

    Thanks,
    Helmut
  • 0
    Helmut, I would appreciate it if you could confirm that my analysis in posts #8 and #12 is correct or post a correction.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Do you have a Masquerading rule like 'Remote Wireless Guest (Network) -> External'?  
     Yes, i only deaktivated the packet filter rule.

    In the evening i'll give it another test, delete all the wlan stuff and start a new configuration.

    Here is a the log that shows the dropped packets on port 80 from the wlan (192.168.2.0). 
    * The http proxy in not full tranparent mode, only transparent.
    * The packet filter rule is not activ
    * The masquerading rule is aktiv
    pf log.zip
  • 0
    Daniel, you'll need the masq rule and the packet filter rule, modified as in Post #12.  It turns out that your original post in this thread showed no blocking of HTTP (port 80) traffic, only those other three ports that are never handled by the transparent proxy.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes for the other stuff, but the only think allowed on the guest wlan is port 80.

    The creatied packet filter rule only allows port 80.

    As you can see in the new posted log file, port 80 ist blocked too.
  • 0
    Daniel, please show the same packet filter lines from the full log - the live log doesn't give the reason for the blocks.

    If the traffic had been handled by the HTTP Proxy, there would be nothing to see in the packet filter log, so, you might look to confirm that this traffic doesn't appear in the 'Web Filtering' logfile.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    The full log from the packet filter (same time) was attached as zip. Now i'm searching in the http proxy log.

    Here is the coresponding http proxy log.
  • 0 in reply to daniel4
    So I deleted all corresponding wireless Ap settings (Interface, dhcp server, web proxy profile, masq. and packet filter rule, etc.). The last step was deleteing the AP.

    Atfer this i also disbaled the wireless security and startet all over.
     - Added the AP again.
     - configured two SSIDs Guest and private
     - added the interface
     - added the dhcp server
     - added the new interface in the dns allowed networklist
     - added a new http proxy profile

    Finally I got the same result as before. The web trafic is not procecced by the proxy and got dropped in the packet filter. 

    Only two single entries are only shown in the http proxy log, when the browser starts.

    Attached are the packet filter and http proxy log and a screen shot.
  • 0
    In Post #20, there's a lot to see!  In the packet filter log, there are still drops of ports 443, 5222 & 5228 - if there's a packet filter rule allowing that, then please post a picture of it.  Also, from one second to the next, packets from 192.168.2.100 come from first "wlan0" and then "redw0.100" - is there a RED in this setup?  In any case, the only port-80 packets being dropped are the ones from initf="redw0.100".

    In the httpproxy log, there are two accesses from 192.168.2.100 related to dolphin-browser.com.  The second one looks OK, but the first one has statuscode="503", which either means the webserver doesn't like proxies, or it was having a problem of some sort.  You can try an Exception for Anti-Virus, but you may need to skip the Proxy to access this site.  In Transparent mode, that's the 'Transparent mode skiplist' on the 'Advanced' tab.

    What happens if you go to a regular website like ours listed in my signature block?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML