Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 4802 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

incoming SSL packet drop

go_christopher
Hi guys, 

Hope you can help me with this problem. 

We are currently using an ASG 220 with 8.2 firmware. 

No problems with Web filters, Firewall, etc. All configurations are working smoothly.

Except for one problem. We need to access one website which needs HTTPs and the ASG is dropping the incoming packets from that website only. All other incoming and outgoing SSL packets are working nicely.

I even tried setting the Firewall setting to "Any Network - Any Service - Any Network" and the ASG still drops the incoming SSL packets from that website.

Hope someone can help me with this. Thanks!


This thread was automatically locked due to age.
  • 0
    1)  Get rid of that firewall rule fast.

    2)  What mode is the Web Proxy running in?  Is HTTPS scanning enabled?  Look in Web Security>>Web Filtering>>Global Tab for the answer to these questions.
  • 0
    Hi, go_christopher, and welcome to the User BB!

    Please be precise about the version - 8.201 or 8.202?

    Since the Any-Any-Any rule made no difference, it's clear that either IPS or the http proxy is blocking the traffic.  Show the relevant line from the Web Filtering log.

    Cheers - Bob
  • 0
    Thanks Bob! 

    Here's an excerpt from my log:

    09:34:33 Packet filter rule #1 TCP 172.16.16.40 : 49736 → 202.27.58.124 : 443 [SYN] len=48 ttl=127 tos=0x00 srcmac=0:1f[:D]0:- dstmac=0:1a:8c:-
    09:34:50 Default DROP TCP 202.27.58.124 : 443 → 192.168.100.99 : 49728 [ACK RST] len=40 ttl=255 tos=0x00 srcmac=0:23:51:- dstmac=0:1a:8c:-
    09:34:59 Packet filter rule #1 TCP 172.16.16.40 : 49737 → 202.27.58.124 : 443 [SYN] len=48 ttl=127 tos=0x00 srcmac=0:1f[:D]0:- dstmac=0:1a:8c:-
    09:35:34 Default DROP TCP 202.27.58.124 : 443 → 192.168.100.99 : 49736 [ACK RST] len=40 ttl=255 tos=0x00 srcmac=0:23:51:- dstmac=0:1a:8c:-

    I am trying to access a website which uses SSL.. packets traveling from my PC to the website doesn't have any problems.. 

    But once the packets are coming back.. it reaches the ASG interface and then drops by default.. 

    Same thing happens if I try to access Yahoo! Mail.. which also uses SSL.. even if I allow every packet to pass through from Network Security > Firewall

    No HTTP Scanning enabled and in Transparent Mode

    PS: I changed the device ID of the MAC Addresses to "-" for security purposes [:)]
  • 0
    A couple suggestions for future questions: always state the exact version of Astaro and always post lines from the full Firewall (Packet Filter) log instead of the Live Log, as the Live Log rarely contains the details needed to understand what happened.

    If you're in a Transparent mode not scanning SSL, then HTTPS traffic isn't seen by the Web Filtering app.

    In the lines you posted from the Firewall Live Log, 172.16.16.40 is the source of an HTTPS request in the first line, and the apparent response, in the fourth line, is sent to 192.168.100.99.

    That means that you have something in front of the Astaro that's mucking with the traffic.  If you have, for example, a wireless router there, the best solution is to put it behind the Astaro so that the Astaro can have a public IP on its External interface.  Turn off DHCP and tape over the WAN port on that wireless router to turn it into a wireless switch.

    Cheers - Bob
  • 0 in reply to BAlfson
    A couple suggestions for future questions: always state the exact version of Astaro and always post lines from the full Firewall (Packet Filter) log instead of the Live Log, as the Live Log rarely contains the details needed to understand what happened.

    If you're in a Transparent mode not scanning SSL, then HTTPS traffic isn't seen by the Web Filtering app.

    In the lines you posted from the Firewall Live Log, 172.16.16.40 is the source of an HTTPS request in the first line, and the apparent response, in the fourth line, is sent to 192.168.100.99.

    That means that you have something in front of the Astaro that's mucking with the traffic.  If you have, for example, a wireless router there, the best solution is to put it behind the Astaro so that the Astaro can have a public IP on its External interface.  Turn off DHCP and tape over the WAN port on that wireless router to turn it into a wireless switch.

    Cheers - Bob


    Thanks Bob! We actually have a Wireless Modem/Router in front of Astaro at the moment. I might change it to Modem only today. BTW my Astaro firmware is 8.202 [:)]

    Will try the fix now, will give you guys the update after [:D]
  • 0
    Unfortunately, the device I have is a Modem/Router so I don't think it will work.. I might get a modem first..
  • 0
    I got it working. I replaced our old 2Wire router with a Belkin modem and it works!