Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 45 replies
  • Subscribers 0 subscribers
  • Views 36275 views
  • Users 0 members are here
Options
Suggested

[8.270][NOTABUG][CLOSED] Wireless AP not using HTTP Proxy

daniel4
I added a new Astaro Wireless AP and configured two SSIDs, a guest and a private one. The private SSID is bridged to the lan interface and is working correct.

The guest wlan should go though a HTTP proxy profile (profile config screenshot attached) . I can connect to the guest wlan and get an ip address. But if I try to browse to a website, I'll get an timeout and the HTTP proxy live log shows no entries.  I looked in the packed filter live log and saw that all wlan queries on port 80 were dropped there. 
So i configured a packet filter rule (screenshot attached)  to bypass the HTTP proxy.  I thought so. But with the activated packed filter rule the traffic is now proceeded by the HTTP proxy.

#update
The wlan net is the 192.168.2.0/24, i forgot to mention in first post. 

Currently I'm running 8.270, this weekend I'll update to 8.280.

#update 27.11.11
Now running 8.285, still the same situation. The web proxy runs in transparent mode, the 'Full transparent mode' is not activated. Changed config screenshot from http proxy, it was captured with temporarily activated 'Full transparent mode'. Sorry for that. As I said in some post below, the proxy runs only in transparent mode.

Here some logs:
http proxy log, no packed filter rule  

2011:11:16-18:51:23 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="188.111.53.33" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="35487" request="0x998ecd0" url="www.tagesschau.de/.../xml"

2011:11:16-18:51:57 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.68.225" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3925" request="0x9998708" url="services.dolphin-browser.com/.../api.ashx

2011:11:16-18:51:59 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.91.100" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2" request="0x99989d8" url="home.dolphin-browser.com/PromoLink.ashx

2011:11:16-18:52:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="89.207.18.81" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x99c6040" url="altfarm.mediaplex.com/.../3484-46780-8030-52


packed filter log 
 

2011:11:16-18:50:58 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="30" initf="eth0" outitf="ppp0" srcmac="0:9:34:0:2e:c9" dstmac="82:9d:23:5a:1:48" srcip="192.168.0.5" dstip="84.60.37.227" proto="6" length="56" tos="0x00" prec="0x00" ttl="63" srcport="2183" dstport="34001" tcpflags="ACK PSH" 

2011:11:16-18:51:37 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 

2011:11:16-18:51:39 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 

2011:11:16-18:51:45 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 


and http proxy log, packed filter rule active 

2011:11:16-18:55:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="88.221.62.208" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2178" request="0x99d1a40" url="image.spreadshirt.net/.../png"

2011:11:16-18:55:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="88.221.62.208" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="42294" request="0xc203c438" url="image.spreadshirt.net/.../png"

2011:11:16-18:56:08 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.100" user="" statuscode="204" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x99e4ca8" url="clients1.google.de/generate_204" exceptions="fileextension" error="" category="145" reputation="trusted" categoryname="Search Engines"

2011:11:16-18:56:08 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.120" user="" statuscode="200" cached="4" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="473" request="0x99e5310" url="www.gstatic.com/.../png" application="google"

2011:11:16-18:56:20 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.100" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="278" request="0x99e55e0" url="clients1.google.de/.../search




2011:11:16-18:55:40 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="173.192.219.136" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="57065" dstport="5222" tcpflags="SYN" 

2011:11:16-18:55:55 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="32" initf="ppp0" outitf="eth0" srcmac="82:9d:23:5a:1:48" srcip="212.202.120.50" dstip="192.168.0.1" proto="6" length="52" tos="0x00" prec="0x00" ttl="50" srcport="51224" dstport="22" tcpflags="ACK" 

2011:11:16-18:55:58 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="31" initf="eth0" outitf="ppp0" srcmac="0:9:34:0:2e:c9" dstmac="82:9d:23:5a:1:48" srcip="192.168.0.5" dstip="84.60.37.227" proto="6" length="56" tos="0x00" prec="0x00" ttl="63" srcport="2183" dstport="34001" tcpflags="ACK PSH" 
  • 0 in reply to BAlfson
    In the packet filter log, there are still drops of ports 443, 5222 & 5228 - if there's a packet filter rule allowing that, then please post a picture of it.

    No there is no rule.

    is there a RED in this setup? 
     No, i don't have a RED.


    In any case, the only port-80 packets being dropped are the ones from initf="redw0.100". 
     Yes, but i don't know where this interface is coming from.


    In the httpproxy log, there are two accesses from 192.168.2.100 related to dolphin-browser.com. 

    Yes, this connections come when the browser starts. I also tried another browser and client, which didn't do this initial connect and no connections in the http proxy log are shown.


     You can try an Exception for Anti-Virus, but you may need to skip the Proxy to access this site.  In Transparent mode, that's the 'Transparent mode skiplist' on the 'Advanced' tab.
     I didn't check Anti-Virus in the proxy filter profile.


    What happens if you go to a regular website like ours listed in my signature block?
     I tried the google website, is that regular enough?[:)]
  • 0
    I think we've finally captured this wild horse.  Now for one of the developers to "break" it! [;)]

    It doesn't seem like anyone else has this error, or they haven't yet chimed in.
    is there a RED in this setup?  No, i don't have a RED.

    In any case, the only port-80 packets being dropped are the ones from initf="redw0.100". 
     Yes, but i don't know where this interface is coming from.


    Good catch!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    In any case, the only port-80 packets being dropped are the ones from initf="redw0.100".


    This is correct. The APs uses a red tunnel to forward traffic to the ASG (with one VLAN per SSID). That's why it is called "redwX.Y". These interfaces are bridged together into the wlanX interfaces.

    If you enable the HTTP proxy on a wireless interface it will add some ebtable rules to drop HTTP frames before they run "through" the wlanX bridge device.

    So, if you see port 80 drops on the redwX.Y interface the HTTP proxy rules trigger and thus seem to work just fine.

    Helmut
  • 0
    So, if you see port 80 drops on the redwX.Y interface the HTTP proxy rules trigger and thus seem to work just fine.


    Helmut, so are you saying that this is not a bug?  In Post #20, Daniel supplied log files showing the port 80 drops and no related activity in the Proxy.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Helmut, so are you saying that this is not a bug?  In Post #20, Daniel supplied log files showing the port 80 drops and no related activity in the Proxy.


    I'm not really experienced with the HTTP proxy and just wanted to explain how the redwX.Y and wlanX interfaces interact for providing HTTP proxy support.

    Helmut
  • 0
    Hi,  
    I'm now running v8.285 and reconfigurated the wireless security/web proxy more then ones. But still no traffic though the web proxy.

    Is there a way to reset the wireless security completely, maybe  from console?

    Also i tested different APs, with no difference. 

    Regards
  • 0 in reply to daniel4
    Hi,

    are you IPv4 only?
    Please disable the "Full transparent Mode" in your proxy profile. With IPv4 this option is useless, its is only useful with ipv6. Because true ipv4 Webserver is not able to route your private ip. "Full transparent Mode" do not touch your source address.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Hi,
    yes I'm using only IPv4 and the http proxy is running in transparent mode, 'Full transparent mode' is not activated. At the beginning I tested this mode.
  • 0 in reply to daniel4
    Hi,

    please make a filter assigment with no user and your wireless filter action. Activate this in your profile and test again.
    Within the global section, make a dummy network ip which is not in your network and use it there and change mode to standard.


    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    Hi,

    i made some screenshots from the changed config. 
    I tested with added filter assignment and with changed global settings.
    Same result, http queries are blocked in packet filter and not processed by proxy.
     
    Regards
Unfiltered HTML