Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 4019 views
  • Users 0 members are here
Options
Suggested

[9.000][MYTH] Proxy Auto Configuration Bug?

jkconnections
I'm running the latest version of UTM 9 (soft release) and am trying to configure the proxy auto configuration settings and can't seem to get them to work in IE (or any browser for that matter).

Here's what I've done:
1. Web Protection > Web Filtering > Advanced - clicked the checkbox to enable proxy auto configuration and set the script to the following:

function FindProxyForURL(url,host)
{ return "PROXY 192.168.3.1:8080; DIRECT"; }

2. Network Services > DHCP > Servers - Edited the internal DHCP server and clicked the checkbox to "Enable HTTP Proxy Auto Configuration."

3. Opened Internet Explorer and clicked the checkbox to "Automatically detect settings."

I then tried to browse to a website; however, traffic did not get routed through the 192.168.3.1:8080 proxy. I then unchecked "Automatically detect settings" in IE and manually set the proxy to 192.168.3.1 port 8080 and tried to browse to a website and it worked just fine.

So, am I just missing an important step? Or does UTM 9 have a bug with delivering the proxy auto configuration settings to IE?

Thanks,

Jonathan
  • 0
    I'm not sure, but did you reboot (or ran "ipconfig /renew") after enabling proxy auto-config in the DHCP server? This setting is transferred to the client (your windows box) when it acquires an IP address from the DHCP server, and not when you enable the checkbox in IE...

    Cheers,
    Kai
  • 0
    Thanks for the reply. I have both rebooted and released / renewed the IP and the browser is still unable to detect the PAC file. 

    Anyone else have any thoughts? Unless I'm doing something wrong, this seems like a bug . . .
  • 0 in reply to jkconnections
    Hi,
    I had the same problem and thought it was me. I decided to go off and learn java programming in the hope of making the auto config work.

    Ian
  • 0
    That didn't work for me on ie 9 either. Setting the pac file config means that you have to enter the URL http:///wpad.dat on ie options and it will work

    I haven't tried this but maybe you can enable DHCP relevant option to make sure the proxy is being transferred to your client
  • 0
    Hi,

    please take a look at Wikipedia Web Proxy Autodiscovery Protocol - Wikipedia, the free encyclopedia and investigate what exactly happens in your network compared to what should happen according to the Wikipedia article. You can also use wireshark to sniff the DNS packets that your browser sends to the network in order to discover the proxy.

    Here a few questions that should help with debugging this issue using wireshark:

    • Are the DNS packets being sent to the correct DNS server (i.e. your UTM)?
    • What hosts are queried in the DNS packets?
    • What does the server respond?
    • Do you see a HTTP request for the wpad.dat file?


    Please share the results of your investigations here.

    Regards,
    mlenk
  • 0
    Okay, so I figured out what my problem was (see below), but I still have one remaining question:

    Since DHCP only works for IE and you have to set up a CNAME dns entry for the wpad in order to get Chrome and Firefox to work using the auto checkbox, how do I add the CNAME record in Astaro since I am using Astaro for my DNS? Is that even possible? If not, does anyone have any suggestions on how to work around this?

    For those who are curious, here was the reason I could not access the WPAD file before:
    I had been trying to block users from Web Surfing on the internal network and was trying to force users to hit the proxy. I had set my Web Surfing firewall rule to only allow access to the web surfing protocol of the proxy machine I was referencing by the wpad file. This did not allow any of the internal computers to hit my Astaro machine using port 8080 as specified by DHCP for the wpad file. So I added the Internal (Address) to the firewall rule, and now IE picks it up automatically.
  • 0 in reply to jkconnections
    Okay, so I figured out what my problem was, 


    please share with us [:)]
  • 0 in reply to wingman
    please share with us [:)]


    Hey Wingman! I already had shared the solution in my previous post, but apparently my wording wasn't clear. I've edited my post to clarify.

    You got any ideas on how to add a CNAME dns record using Astaro?
  • 0 in reply to jkconnections
    Hi jkconnections,

    Since DHCP only works for IE and you have to set up a CNAME dns entry for the wpad in order to get Chrome and Firefox to work using the auto checkbox, how do I add the CNAME record in Astaro since I am using Astaro for my DNS? Is that even possible? If not, does anyone have any suggestions on how to work around this?


    I am sorry, but as far as I know it is not possible to create CNAME records manually in DNS on the Astaro. But I think the Astaro should add one if it is needed to work correctly. Why exactly did you want to add the CNAME record again?

    For those who are curious, here was the reason I could not access the WPAD file before:
    I had been trying to block users from Web Surfing on the internal network and was trying to force users to hit the proxy. I had set my Web Surfing firewall rule to only allow access to the web surfing protocol of the proxy machine I was referencing by the wpad file. This did not allow any of the internal computers to hit my Astaro machine using port 8080 as specified by DHCP for the wpad file. So I added the Internal (Address) to the firewall rule, and now IE picks it up automatically.


    Okay, so, in your opinion, did this fail due to a very special setup at your site, or is there something more general that we could improve?

    Regards,
    mlenk
  • 0 in reply to mle

    I am sorry, but as far as I know it is not possible to create CNAME records manually in DNS on the Astaro. But I think the Astaro should add one if it is needed to work correctly. Why exactly did you want to add the CNAME record again?

    That's really disappointing. In order to use the Automatic Proxy Configuration in Firefox and other browsers that don't support the DHCP method, you need a CNAME DNS record (or possibly an A record). The DHCP method only works with Internet Explorer. (See notes section from this link Web Proxy Autodiscovery Protocol - Wikipedia, the free encyclopedia.  According to this link it might be an A record: dns - Internet Explorer isn't auto-discovering http://wpad/wpad.dat auto-config - Server Fault)


    Okay, so, in your opinion, did this fail due to a very special setup at your site, or is there something more general that we could improve?

    The original failure was due to my configuration, but allowing users to add a CNAME or A record for the Automatic Proxy Configuration for Firefox would definitely be an improvement that I would appreciate! [:)]
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?