Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 1183 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro blocks https connections... :(

mnv
Of course they are allowed by policy... and any https connections doesn't work at all. Like that:

14:44:44 Default DROP TCP 172.22.22.100:4936 193.110.106.202:443 [SYN] len=52 ttl=127 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:c0:26:2d:3a:3f
14:44:45 Default DROP TCP 172.22.22.100:4956 193.110.106.202:443 [SYN] len=52 ttl=127 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:c0:26:2d:3a:3f

Please point me where the problem could be...

Thanks a lot!


This thread was automatically locked due to age.
Parents
  • 0
    Not sure what you mean by "allowed by policy" in the above.  Version of Astaro?

    If running the HTTP/S proxy in a transparent mode without 'Scan HTTPS (SSL) Traffic' selected, then you must have an explicit packet filter rule to allow outbound HTTPS traffic.

    Cheers - Bob
Reply
  • 0
    Not sure what you mean by "allowed by policy" in the above.  Version of Astaro?

    If running the HTTP/S proxy in a transparent mode without 'Scan HTTPS (SSL) Traffic' selected, then you must have an explicit packet filter rule to allow outbound HTTPS traffic.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Not sure what you mean by "allowed by policy" in the above.  Version of Astaro?

    If running the HTTP/S proxy in a transparent mode without 'Scan HTTPS (SSL) Traffic' selected, then you must han explicit packet filter rule to allow outbound HTTPS traffic.

    Cheers - Bob


    Software Gateway, v. 7.501 (the last one)

    Running exactly as you said.

    While waiting for reply, I found the answer here.

    This is exactly you're talking about. And I did as shown - created a PF-rule for HTTPS outgoing traffic and set it at the top of the rule list.

    Sad, but no result. HTTPS didn't work.

    If I set up 'Scan HTTPS (SSL) Traffic', it works but since I've a non-CA-signed certificate, it is necessary to set up this unsigned certificate at every box (there are more than 25 boxes and they are far away).

    So, the only way is to not scanning HTTPS traffic. Right now I put the HTTPS rule back - will see how it works...