Astaro blocks https connections... :(

Not sure what you mean by "allowed by policy" in the above.  Version of Astaro?

If running the HTTP/S proxy in a transparent mode without 'Scan HTTPS (SSL) Traffic' selected, then you must have an explicit packet filter rule to allow outbound HTTPS traffic.

Cheers - Bob

Not sure what you mean by "allowed by policy" in the above.  Version of Astaro?

If running the HTTP/S proxy in a transparent mode without 'Scan HTTPS (SSL) Traffic' selected, then you must han explicit packet filter rule to allow outbound HTTPS traffic.

Cheers - Bob

Software Gateway, v. 7.501 (the last one)

Running exactly as you said.

While waiting for reply, I found the answer here.

This is exactly you're talking about. And I did as shown - created a PF-rule for HTTPS outgoing traffic and set it at the top of the rule list.

Sad, but no result. HTTPS didn't work.

If I set up 'Scan HTTPS (SSL) Traffic', it works but since I've a non-CA-signed certificate, it is necessary to set up this unsigned certificate at every box (there are more than 25 boxes and they are far away).

So, the only way is to not scanning HTTPS traffic. Right now I put the HTTPS rule back - will see how it works...

The alternative would be to use one of the non-transparent modes (Standard for example) and instruct the users to set their browsers to use the Astaro proxy.  When that is done, the proxy also will handle all of the 'Allowed target services' on the 'Advanced' tab.

If you are using Active Directory, there's a very smooth way to manage proxy profiles and you can distribute the browser configuration by GPO.

The alternative would be to use one of the non-transparent modes (Standard for example) and instruct the users to set their browsers to use the Astaro proxy.  When that is done, the proxy also will handle all of the 'Allowed target services' on the 'Advanced' tab.

If you are using Active Directory, there's a very smooth way to manage proxy profiles and you can distribute the browser configuration by GPO.

Bob,

the solution was VERY simple - after reboot all works just fine, without explicit rule for HTTPS traffic and without "Scan HTTPS" selected.

Exactly as it was few days ago.

And this is bad signal, from my point.

If something works good, then it doesn't work and after reboot works again - this is bullshit... [:(]

This could be via two reasons: this is a Astaro bug and hopefuly it will be fixed later OR I make a mistake in the configuration.

Anyway, I'd like to know what happened really. Is there way how can I know that?

Thanks a lot!

the solution was VERY simple - after reboot all works just fine, without explicit rule for HTTPS traffic and without "Scan HTTPS" selected.

That shouldn't work in transparent mode.

Cheers - Bob

That shouldn't work in transparent mode.

Cheers - Bob

But it works! [[:)]]

If you want, I'll give you an access to this Astaro box, and you'll see this is true [[:)]].

Sure, I'm curious, so I'll look.  I'll send you a PM with my FQDN so you can add a DNS host to 'Allowed Networks' in 'Management >> WebAdmin' 'Access Control'.

Cheers - Bob

Bob,mnv

Did the configuration work?

Thanks

Bob,mnv

Did the configuration work?

Thanks

I'll give an access to Bob tonight and he'll be able either to force me how to fix an error in the configuration OR that it works as I said [:)].

Generally, I hope this is misconfiguration, since if it works the way it should not... it is not good.

Thanks for the trust and access!

One of the standard packet filter rules configured by the Astaro Wizard at setup time is 'Internal (Network) -> Web Surfing -> Any : Allow'.  The 'Web Surfing' group includes HTTPS - I believe logging this rule would show that that is how HTTPS is getting through.

Cheers - Bob