Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 11 replies
  • Subscribers 0 subscribers
  • Views 4814 views
  • Users 0 members are here
Options
Suggested

[8.920][BUG] HTML VPN websockets (Firefox) and NTLM Proxy

sjorge
There seem to be some issues when firefox for example is using a NTLM authenticated proxy. IE just closes the window with no error.

Firefox does show the little moz-proxy://proxy.local:8080/ dialog for authentication (normally it shouldn't, it's NTLM Auth so it knows my user).
But if I enter the correct credentials or leave it blank, doesn't matter.

I get the following error. This may be a bug in firefox but it does make the HTML VPN unusable.
Parents
  • 0
    Hi sjorge,

    could you please explain a little more of your setup in order for us to rebuild your scenario?

    Which proxy software are you using, where is it running, whats your cert/CA setup there?

    How does your HTML5 VPN connection look like?

    Thanks,
    Nils
  • 0 in reply to nkoenig
    I've attached a simplified diagram, it has all that should be relevant on it.

    The client is a W7 laptop running firefox (IE fails too but no error), it connects through a Microsoft ForeFront proxy that is AD integrated. (Requesting NTLM authentication) This works fine in Firefox and IE for surfing.

    On my side I have 2 uplinks in an active/active setup.
    Uplink IP 1 has SSL VPN running on port 443,
    Uplink IP 2 has User-portal (and thus by extension HTML5 VPN) running on port 443.

    I have 2 connections configured, 1 SSH and one is a published https website.

    I tested this from a network without a proxy and both SSL VPN and HTML5 VPN are working fine.

    Behind a proxy that requires NTLM authentication only SSL VPN works (using viscosity, it can do authentication against the proxy) but the HTML5 VPN gives the error mentioned in the previous post.

    I have a self signed CA for my domain, I've imported in astaro and resigned all certificates using it.

    The W7 laptop also trusts this CA, the only possible certificate issue is that the domain name linked to Uplink IP 2 does not match the hostname of the webadmin. However I doubt this is a big issue because it works fine without a proxy.

    Any other information you need or that needs more clarification?
Reply
  • 0 in reply to nkoenig
    I've attached a simplified diagram, it has all that should be relevant on it.

    The client is a W7 laptop running firefox (IE fails too but no error), it connects through a Microsoft ForeFront proxy that is AD integrated. (Requesting NTLM authentication) This works fine in Firefox and IE for surfing.

    On my side I have 2 uplinks in an active/active setup.
    Uplink IP 1 has SSL VPN running on port 443,
    Uplink IP 2 has User-portal (and thus by extension HTML5 VPN) running on port 443.

    I have 2 connections configured, 1 SSH and one is a published https website.

    I tested this from a network without a proxy and both SSL VPN and HTML5 VPN are working fine.

    Behind a proxy that requires NTLM authentication only SSL VPN works (using viscosity, it can do authentication against the proxy) but the HTML5 VPN gives the error mentioned in the previous post.

    I have a self signed CA for my domain, I've imported in astaro and resigned all certificates using it.

    The W7 laptop also trusts this CA, the only possible certificate issue is that the domain name linked to Uplink IP 2 does not match the hostname of the webadmin. However I doubt this is a big issue because it works fine without a proxy.

    Any other information you need or that needs more clarification?
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?