Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 45 replies
  • Subscribers 0 subscribers
  • Views 36279 views
  • Users 0 members are here
Options
Suggested

[8.270][NOTABUG][CLOSED] Wireless AP not using HTTP Proxy

daniel4
I added a new Astaro Wireless AP and configured two SSIDs, a guest and a private one. The private SSID is bridged to the lan interface and is working correct.

The guest wlan should go though a HTTP proxy profile (profile config screenshot attached) . I can connect to the guest wlan and get an ip address. But if I try to browse to a website, I'll get an timeout and the HTTP proxy live log shows no entries.  I looked in the packed filter live log and saw that all wlan queries on port 80 were dropped there. 
So i configured a packet filter rule (screenshot attached)  to bypass the HTTP proxy.  I thought so. But with the activated packed filter rule the traffic is now proceeded by the HTTP proxy.

#update
The wlan net is the 192.168.2.0/24, i forgot to mention in first post. 

Currently I'm running 8.270, this weekend I'll update to 8.280.

#update 27.11.11
Now running 8.285, still the same situation. The web proxy runs in transparent mode, the 'Full transparent mode' is not activated. Changed config screenshot from http proxy, it was captured with temporarily activated 'Full transparent mode'. Sorry for that. As I said in some post below, the proxy runs only in transparent mode.

Here some logs:
http proxy log, no packed filter rule  

2011:11:16-18:51:23 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="188.111.53.33" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="35487" request="0x998ecd0" url="www.tagesschau.de/.../xml"

2011:11:16-18:51:57 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.68.225" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3925" request="0x9998708" url="services.dolphin-browser.com/.../api.ashx

2011:11:16-18:51:59 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.91.100" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2" request="0x99989d8" url="home.dolphin-browser.com/PromoLink.ashx

2011:11:16-18:52:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="89.207.18.81" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x99c6040" url="altfarm.mediaplex.com/.../3484-46780-8030-52


packed filter log 
 

2011:11:16-18:50:58 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="30" initf="eth0" outitf="ppp0" srcmac="0:9:34:0:2e:c9" dstmac="82:9d:23:5a:1:48" srcip="192.168.0.5" dstip="84.60.37.227" proto="6" length="56" tos="0x00" prec="0x00" ttl="63" srcport="2183" dstport="34001" tcpflags="ACK PSH" 

2011:11:16-18:51:37 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 

2011:11:16-18:51:39 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 

2011:11:16-18:51:45 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 


and http proxy log, packed filter rule active 

2011:11:16-18:55:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="88.221.62.208" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2178" request="0x99d1a40" url="image.spreadshirt.net/.../png"

2011:11:16-18:55:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="88.221.62.208" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="42294" request="0xc203c438" url="image.spreadshirt.net/.../png"

2011:11:16-18:56:08 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.100" user="" statuscode="204" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x99e4ca8" url="clients1.google.de/generate_204" exceptions="fileextension" error="" category="145" reputation="trusted" categoryname="Search Engines"

2011:11:16-18:56:08 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.120" user="" statuscode="200" cached="4" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="473" request="0x99e5310" url="www.gstatic.com/.../png" application="google"

2011:11:16-18:56:20 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.100" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="278" request="0x99e55e0" url="clients1.google.de/.../search




2011:11:16-18:55:40 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="173.192.219.136" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="57065" dstport="5222" tcpflags="SYN" 

2011:11:16-18:55:55 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="32" initf="ppp0" outitf="eth0" srcmac="82:9d:23:5a:1:48" srcip="212.202.120.50" dstip="192.168.0.1" proto="6" length="52" tos="0x00" prec="0x00" ttl="50" srcport="51224" dstport="22" tcpflags="ACK" 

2011:11:16-18:55:58 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="31" initf="eth0" outitf="ppp0" srcmac="0:9:34:0:2e:c9" dstmac="82:9d:23:5a:1:48" srcip="192.168.0.5" dstip="84.60.37.227" proto="6" length="56" tos="0x00" prec="0x00" ttl="63" srcport="2183" dstport="34001" tcpflags="ACK PSH" 
  • 0
    In post #20, for 192.168.2.100, there were two entries in the Web Filtering log at the same time as other accesses (to different IPs) were blocked in the Firewall log - Can you confirm that was the case?  Did you have the same situation with this configuration?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    please post the routing table, from the test System.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to BAlfson
    @BAlfson: I'll check it.
    #update: Yes the two entries are there, one with 200 and the other with 503.

    Here is my actual routing table.

    default via **.**.**.** dev ppp0  table 200  proto kernel onlink 
    local default dev lo  table 252  scope host 
    10.168.0.0/24 dev eth0  proto kernel  scope link  src 10.168.0.254 
    10.242.2.0/24 via 10.242.2.2 dev tun0 
    10.242.2.2 dev tun0  proto kernel  scope link  src 10.242.2.1 
    **.**.**.** dev ppp0  proto kernel  scope link  src **.**.**.** 
    127.0.0.0/8 dev lo  scope link 
    192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.254 
    192.168.1.0/24 dev eth3  proto kernel  scope link  src 192.168.1.254 
    192.168.2.0/24 dev wlan0  proto kernel  scope link  src 192.168.2.254 
    default via **.**.**.** dev ppp0  table default  proto kernel onlink 
    broadcast 10.168.0.0 dev eth0  table local  proto kernel  scope link  src 10.168.0.254 
    local 10.168.0.254 dev eth0  table local  proto kernel  scope host  src 10.168.0.254 
    broadcast 10.168.0.255 dev eth0  table local  proto kernel  scope link  src 10.168.0.254 
    local 10.242.2.1 dev tun0  table local  proto kernel  scope host  src 10.242.2.1 
    local **.**.**.** dev ppp0  table local  proto kernel  scope host  src **.**.**.** 
    broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1 
    local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1 
    local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1 
    broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1 
    broadcast 192.168.0.0 dev eth0  table local  proto kernel  scope link  src 192.168.0.254 
    local 192.168.0.254 dev eth0  table local  proto kernel  scope host  src 192.168.0.254 
    broadcast 192.168.0.255 dev eth0  table local  proto kernel  scope link  src 192.168.0.254 
    broadcast 192.168.1.0 dev eth3  table local  proto kernel  scope link  src 192.168.1.254 
    local 192.168.1.254 dev eth3  table local  proto kernel  scope host  src 192.168.1.254 
    broadcast 192.168.1.255 dev eth3  table local  proto kernel  scope link  src 192.168.1.254 
    broadcast 192.168.2.0 dev wlan0  table local  proto kernel  scope link  src 192.168.2.254 
    local 192.168.2.254 dev wlan0  table local  proto kernel  scope host  src 192.168.2.254 
    broadcast 192.168.2.255 dev wlan0  table local  proto kernel  scope link  src 192.168.2.254 
    unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255
    fe80::/64 dev eth0  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev eth3  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev eth1  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev redw0  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev redw0.100  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev redw0.101  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    fe80::/64 dev wlan0  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 0
    unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255
    local ::1 via :: dev lo  table local  proto none  metric 0  mtu 16436 advmss 16376 hoplimit 0
    ff00::/8 dev eth0  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev eth3  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev eth1  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev redw0  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev redw0.100  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev redw0.101  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    ff00::/8 dev wlan0  table local  metric 256  mtu 1500 advmss 1440 hoplimit 0
    unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255
  • 0 in reply to daniel4
    Sorry I mean the routing table from your Client.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Isn't language interesting? - So much of communicating starts with habits and expectations...

    I meant to say that I wanted you to confirm that the times of those two entries were in the middle of the times of the Firewall blocks.  Maybe you could show the two full lines from your Web Filtering log from that day.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Next try, hopefully with the correct answers [:)]

    Here are the routing tables:
    Linux based system: 

    Kernel IP routing table

    Destination Gateway Genmask Flags Metric Ref Use Iface

    192.168.2.0 * 255.255.255.0 U 0 0 0 tiwlan0

    default localhost 0.0.0.0 UG 0 0 0 tiwlan0

    Windows 

    IPv4-Routentabelle

    ===========================================================================

    Aktive Routen:

     network  destination      netmask          gateway           interface    metric

              0.0.0.0          0.0.0.0    192.168.2.254    192.168.2.102     25

            127.0.0.0        255.0.0.0      On-Link            127.0.0.1    306

            127.0.0.1  255.255.255.255      On-Link            127.0.0.1    306

      127.255.255.255  255.255.255.255      On-Link            127.0.0.1    306

          192.168.2.0    255.255.255.0      On-Link        192.168.2.102    281

        192.168.2.102  255.255.255.255      On-Link        192.168.2.102    281

        192.168.2.255  255.255.255.255      On-Link        192.168.2.102    281

            224.0.0.0        240.0.0.0      On-Link            127.0.0.1    306

            224.0.0.0        240.0.0.0      On-Link        192.168.2.102    281

      255.255.255.255  255.255.255.255      On-Link            127.0.0.1    306

      255.255.255.255  255.255.255.255      On-Link        192.168.2.102    281

    ===========================================================================

    persistence routes:

      none


    @BAlfson
    you mean this two entries in the web proxy log, right?: 

    2011:11:21-18:05:08 Ally httpproxy[3617]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.68.225" user="" statuscode="503" cached="0" profile="REF_HttProGuestWlan (Guest WLAN)" filteraction="REF_HttCffRemotWirelFilte (Remote Wireless Filter)" size="27" request="0x9d64e38" url="services.dolphin-browser.com/.../api.ashx

    2011:11:21-18:05:08 Ally httpproxy[3617]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.91.100" user="" statuscode="200" cached="0" profile="REF_HttProGuestWlan (Guest WLAN)" filteraction="REF_HttCffRemotWirelFilte (Remote Wireless Filter)" size="2" request="0x9d6c2e0" url="home.dolphin-browser.com/PromoLink.ashx

    These entries occur when i start the browser on the linux system and are the fist two http get queries. They are automatically fired by the browser. The position in the packet filter log  depends witch system first tries to connect.
  • 0
    OK, the interesting thing is that these appear right after the blocks of the other ports, and just before the blocks on port 80.  What happens if you add a packet filter (Firewall) rule to allow the other ports (443, 5222 & 5228)?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I added a packet filter rule for the ports 443, 5222 and 5228. But the port 80 is still dropped.
  • 0
    Yes, I think you've identified a bug.  The only thing that would prove it is having the developers reproduce this behavior.  I think you've already re-installed, so I can't imagine that this isn't an "unintended feature" [;)].

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Daniel, have you ever tried to remove your wireless network and set it up again? Was it restored from a backup or newly configured? You could also try to create another SSID and try if you can reproduce the issue here as well.

    Thanks,
    Helmut
Unfiltered HTML