Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2522 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS mit transparenten Proxy

TOMUE
Hallo Zusammen,

habe gefühlt nach dem letzten Firmwareupdate auf 7.505, das Problem, dass HTTPS Verkehr nicht mehr vom transparenten Proxy bearbeitet wird. (normaler HTTTP Verkehr funktioniert problemlos)

- HTTPS scannen Option ist unter Webproxy aktiviert
- im Live-Protokoll wird beim Zugriff auf eine HTTPS Seite nichts anzeigt
- die Verbindung kommt nicht zustande
- erstelle ich eine Paketfilter Regel (intern -> HTTPS -> extern) funktioniert es, was ja auch logisch ist, anderfalls wird die Verbindung laut Protokoll geblockt
- stelle ich den Proxy Betriebsmodus auf Standard, funktionieren auch die HTTPS Verbindungen

Vielleicht kann das Verhalten ja jemand bestätgigen oder sogar eine Lösung anbieten.

Vielen Dank.

Gruss
Tobias


This thread was automatically locked due to age.
  • 0
    siehe hier 

    Rahmed, I think your suggestions are spot on.  In fact, "moderators" aren't designated for knowledge, but just to keep "order" on the User BB - things like removing spam and banning spammers.

    Eclipse79, there are three ways to allow HTTPS traffic:
    [LIST=1]
    • In transparent mode, select 'Scan HTTPS (SSL) Traffic'.
    • In a non-transparent mode (where browsers must point at the proxy), the proxy will handle all 'Allowed target services' listed on the 'Advanced' tab.
    • In a transparent mode or with the proxy disabled, a packet filter rule like 'Internal (Network) -> HTTPS -> Internet : Allow'.
    [/LIST]
    Since you are running in transparent mode without 'Scan HTTPS (SSL) Traffic' checked, you must be allowing HTTPS traffic with a packet filter rule.  The solution you want is a PF "Block" rule placed ahead of the above "Allow" rule.  First, create a "DNS Group" definition "Facebook" for facebook.com, then a PF rule: 'Internal (Network) -> HTTPS -> Facebook : Block'.

    Cheers - Bob
  • 0
    @Fed: 

    1. hat TOMUE ja seiner Aussage nach genau so umgesetzt.

    Normalerweise müsste das auch entsprechend umgeleitet werden.

    Schau Dir aber mal an, ob Du unter Umständen ne Port 443 DNAT Regel hast, die mit dem Proxy in die Quere kommen könnte (sollte aber nicht) und/oder die Liste der erlaubten Proxy Ports verbogen ist.

    LG
    Christian
  • 0
    Hallo christianlouis,

    es ist zwar eine DNAT Regel eingetragen, aber dies kommt dem Proxy nicht in die Quere (auch bei deaktivierter Regel, funktioniert es nicht).

    Der HTTPS Port ist als zugelassener Dienst eingetragen. Komischerweise funktionieren die HTTPS Ausnahmen (Transparenzmodus-Ausnahmen) ohne Probleme, nur bei allen anderen HTTPS Verbindungen streikt die ASG (Webfilterprotokoll = keine Reaktion, Packetfilterprotokoll = Default DROP). Im Proxy Standardmodus funktionieren alle Verbindungen. 

    Wo könnte ich noch suchen ? Ein Zertifikatproblem ?

    LG
    Tobias
  • 0 in reply to TOMUE
    Hallo,

    selbes Problem seit gestern (seit update auf 7.505 oder letzte Pattern?).
    Keine NAT-Regeln bzgl. Websurfing angelegt oder Web-Profile. Keine Meldung im Content-Filter, im IPS oder sonstige. Lediglich im Packetfilter wie bei TOMUE.

    Dienst de-/aktivieren, https-scanning aus-/einschalten, https unter erlaubten service-ports aus-/eingetragen.... alles ohne Erfolg.

    Zum Vergleich habe ich eine Labormaschine als auch unser eigenes System umgeschaltet. Auch hier habe ich das gleiche Problem. Alle waren jedoch bereits auf 7.505 und aktuelle Pattern.

    Vorversion habe ich noch nicht getestet....
  • 0 in reply to synopex
    Nicht, dass die Jungs und Mädels was "kaputt" geupd haben *g*

    Ich habe mich schon auf das 505er gefreut, weil geschrieben stand, dass nun auch bei deaktiviertem HTTP/S-Scan im globalen transparenten Proxy transparente Profile mit aktiviertem HTTP/S-Scan tun sollen. Muss ich wohl doch mal meine Testkiste wieder anschmeißen und auf 505 hoch gehen.

    Hat das evtl.-  jemand mal probiert?
    -- 
    MfG, Steffen
  • 0
    Hallo alle zusammen,

    wenn ich eine Paketfilterregel (Netzwerk -> https -> Internet) anlegen, dann wird auch der HTTPS Verkehr über den Proxy geleitet / gefiltert. 

    Bei einer neuen ASG konnte ich den Fehler nicht nachproduzieren.

    Fazit: Vermutlich wird die Packetfilterregel durch das Modul WebSecurity nicht korrekt oder garnicht angelegt.

    MfG, Tobias
  • 0 in reply to TOMUE
    Jupp, hier isser wieder.

    Habe vorhin mal meine 7.504er-Testkiste auf 7.505 gebracht und natürlich gleich mal probiert. Im Standard hat das Testnetz HTTP ohne HTTPS-Scanning im transparenten Modus. Dem Testclient habe ich ein komplettes Profil mit aktiviertem HTTPS-Scanning gegeben und natürlich auch im transaparenten Modus. Der erste Test hat prima gefunzt.