Webadmin / Portal can't acces with proxy enable

I add this logs from log to webfiltering

In this log 192.168.1.200 is Astaro IP
In this log 192.168.1.81 is Client PC IP
In this log https://portail-lh.domain.com:8888/ is my portal domain name (change my real domain by domain.com)

2012:02:27-13:16:01 astaro-axs-lh-1 httpproxy[24932]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xc7e9e5a0" function="tunnel_handler_recv_data" file="tunnel.c" line="44" message="epoll_fill_buffer: Connection timed out" 
2012:02:27-13:16:01 astaro-axs-lh-1 httpproxy[24932]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.1.81" dstip="192.168.1.200" user="Administrateur" statuscode="500" cached="0" profile="REF_HttProProfilelan (PROFILE-LAN-LH)" filteraction="REF_HttCffActionsvip (Actions-VIP)" size="58" request="0xc7e9e5a0" url="https://portail-lh.domain.com:8888/" exceptions="" error="Connection timed out" category="9998" reputation="neutral" categoryname="Uncategorized" 
2012:02:27-13:16:01 astaro-lh-1 httpproxy[24932]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x913e600" function="adir_auth_process_ntlm" file="auth_adir.c" li

Hi glix76 

Is your internal network on the list of allowed networks to login to the webadmin? Are you  bypassing internal networks on your standard proxy configuration? 

If not sure, please show us the proxy configuration on your browser and the webadmin settings from ASG

Thanks

Thanks for your support wingman,

For the webadmin access configuration, I set "any" in allowed network.
If I uncheck the proxy, I can access to the Webadmin logon from internal network.

When you says : "Are you bypassing internal networks on your standard proxy configuration?"
You says unchecked the tick in Ineternet Explorer "d'ont use the proxy for local addresse".
If yes, I test uncheck the tick box.

For the proxy I used Astaro DHCP function and enable proxy auto configuration
function FindProxyForURL(url, host)
{ return "PROXY 192.168.1.200:8080; DIRECT"; }

On the log? I see the astaro won't connect (proxy) on himself.

I answered the questions?

'Bypass proxy for local addresses' should be checked.  Wingman, does the PAC override that?

In any case, I  usually add the internal IP and the internal FQDN of the Astaro to the list of addresses to skip for the proxy.  (There's no truth to the rumor that I wear both a belt and suspenders.[;)])

Cheers - Bob

Hi BAlfon,

Thanks for your replies, in which I must add :

Transparent mode skiplist : Skip transparent mode source hosts/nets
or
Transparent mode skiplist : Skip transparent mode destination hosts/nets

?

Thanks in adv

I'm confused now.  The 'Transparent mode skiplist' applies only when the proxy is in "Transparent" mode and the client browser does not have 'Proxy Settings' configured.  Even when the Proxy is in "Transparent" mode, it will respond in "Standard" mode if the client browser is configured to use the proxy.  Please [Go Advanced] below and show pictures of your client's 'Proxy Settings' and of the PAC file in the Astaro.

Cheers - Bob

Actually I make this configuration

Web Filtering
> Transparent Mode

Web Proxy Profile
> Standard Mode > Standard > Active Directory SSO

I cannot take a picture from client because i'm not on site before next wednesday.

For client proxy setting I set "Automaticaly detect settings"

My PAC file is distributed by astaro (DHCP)

function FindProxyForURL(url, host)

{ return "PROXY 192.168.1.200:8080; DIRECT"; }

Do you think I must select 
Web Filtering
> Standard Mode > None ?

Do you think I can add information in my pac file ?
> For example bypass proxy for LAN ?

Sorry for my answer but I'm confused at the moment

I never use 'Automatically detect settings'.  Maybe someone else knows enough about that option to explain why it should be avoided.

A minimum PAC file for this would be:

function FindProxyForURL(url, host) 
{ 
 if (isInNet(myIpAddress(), "192.168.1.0", "255.255.255.0")) 
  return "PROXY 192.168.1.200:8080"; 
 else 
  return "DIRECT"; 
}

However, if you have Active Directory, you would be better off to use a GPO.

You might be able to use a KnowledgeBase article I wrote: HTTP/S Proxy Access with AD-SSO (Caution, the section "Configure User Authentication" should be eliminated as it has no effect on AD-SSO and can cause problems in larger organizations)

Cheers - Bob

I used option "automatically detect settings" because we have many laptop users and they travel often.
And I wouldn't they check or uncheck the tick after each change of network.

I used option "automatically detect settings" because we have many laptop users and they travel often.

That's why I recommended that you change your PAC file with if (isInNet(myIpAddress(), "192.168.1.0", "255.255.255.0")) 


I also would recommend that you change your internal addressing scheme to avoid the 192.168.0.0/16 subnets as those should be reserved for homes, hotel rooms and public hotspots.  Businesses with a hundred thousand employees or more might need to use 10.0.0.0/8 addresses.  All other businesses can/should use 172.16.0.0/12 subnets.

Cheers - Bob