Country blocking exception not working

Update: This has been escalated for whatever that is worth. Bug ID29981 was assigned back on 9.1 with no workaround listed (for those of us who would like to track). The good news is after a couple of failed workaround attempts offered by dev to engineer to me, they have now figured out a workaround that actually "works"...

1. Definitions & Users -> Network Definitions -> create Host (IP) or DNS Host (Url) for desired exception

2. Network Protection -> Firewall -> Country Blocking Exceptions -> create your desired exception
 - must leave Skip blocking of these: BLANK
 - must set For all request: going to these
 - add your desired exception Host (IP) or DNS Host (Url) to Host/Networks
 - Save

3. Web Protection -> Filtering Options -> Misc -> Transparent mode skiplist -> add Host (IP) or DNS Host (Url) to Skip transparent mode destination hosts/nets -> Apply

UPDATED OBSERVATIONS 9.305-4!
 - After making above settings, sometimes exceptions don't "take" until you toggle that Country in Country Blocking to OFF (Apply) then back to ALL (Apply). I had to do this on a few of mine to get them to work.
 - Watch out when creating DNS Host, example.com might resolve to a different IP than it does with www added onto beginning or url.

-----------
The above is working for me in my scenario (transparent). There is also somewhere else on the client that must be set for those running standard mode, but I'm not familiar with that. If someone could chime in on clear instructions for that part it would be most appreciated. Here is that part of their instruction with portion I am unsure of marked in bold:

"Add site to proxy transparent destination bypass list & browser proxy exceptions list (if using standard mode)"

9.309-3 has same problem. I create the rule many different ways as per the comments on the bulletin and still nothing. Only fix is to block FROM China.

I opened ANOTHER case on this under a different angle. The workaround does work but it breaks OVERRIDES. For whatever reason, this seemed to actually matter enough to make it up the chain.

It has once again been confirmed as a bug and I am now being told that this issue will be addressed in 9.312 probably around May.

I opened ANOTHER case on this under a different angle. The workaround does work but it breaks OVERRIDES. For whatever reason, this seemed to actually matter enough to make it up the chain.

It has once again been confirmed as a bug and I am now being told that this issue will be addressed in 9.312 probably around May.

thanks for the update

This appears to still be an issue with version 9.312-8. I added a DNS group to my block exceptions and it was still blocked. I had to toggle the Country block on and off a few times as well as the exception rule. Then it kicked in. 

This is surprising to me! [:O] Why is this still not fixed? Turning off the country blocking, even for a few seconds, during end user use is not a good thing! It should never have to be turned of for maximum protection.

Has anyone heard anything new since April?

------------Update-------------
I am unable to get this working in my new build.

I have it set up like this:

Skip blocking of all regions
For all request GOING TO THESE
Block Exceptions Network Group  
For HTTP and HTTPS

I even tired it with nothing checked in the countries, as suggested.
I then tired it with a single DNS group for urlquery.net in the going to these.

No joy. Is there a plan to fix this? I hate to go back to CIDR blocks...

C68

Bump. 
It looks like my edit did not mark this as new.

Nope, edits will not, it requires a new post in the thread.

This appears to still be an issue with version 9.312-8. I added a DNS group to my block exceptions and it was still blocked. I had to toggle the Country block on and off a few times as well as the exception rule. Then it kicked in. 

This is surprising to me!  Why is this still not fixed? Turning off the country blocking, even for a few seconds, during end user use is not a good thing! It should never have to be turned of for maximum protection.

Has anyone heard anything new since April?

------------Update-------------
I am unable to get this working in my new build.

I have it set up like this:

Skip blocking of all regions
For all request GOING TO THESE
Block Exceptions Network Group 
For HTTP and HTTPS

I even tired it with nothing checked in the countries, as suggested.
I then tired it with a single DNS group for urlquery.net in the going to these.

No joy. Is there a plan to fix this? I hate to go back to CIDR blocks...

C68

If a paid customer, you need to open up a case with support.  This is a user-to-user forum, as such there really is very little inside information such as current plans and priorities of Sophos.  Nobody here has the answer unless they open up a support case and get the answer from support (which may not be definitive, as they are not privy to changes of development priority and plans on a daily basis.  The first three tiers of support can only see what devs have posted in the bug database, if and when they update, and does not have the ability to contact dev directly with queries).

I am not a paid customer, so I guess I am out of luck.

Sad thing is, I was showing this to a friend that has a business and needs a new firewall. A company in town is trying to sell him the Palo Alto NGF, but he does not want to spend that much money. I suggested the Sophos. He liked what it had to offer, but when this failed to work, he seemed to lose interest. I will keep at him though. 

That being said, do you know of any workaround for this issue?

Engage the vendor or reseller and pre-sales engineering directly.

Correct.  If there is a potential sale involved, Sophos sales and a reseller should be brought into the picture.  They can possibly get it looked at.