Transparent Proxy Problem

Mike, check the documentation and you'll see that "Full transparent" is something totally different han what you've described.

It sounds like regular "Transparent" might be what you want.  When you say they can't access certain sites, show the lines from the 'Content Filter (HTTP)' log where an access was blocked.

Cheers - Bob

It is not showing up as content filtering/proxy. It is showing up in my firewall logs.

18:50:44  Default DROP  TCP 
192.168.33.31  :  49647
→ 
142.205.232.28  :  443

[SYN]  len=48  ttl=127  tos=0x00  srcmac=00:11:25:f7:96:b6  dstmac=00:50:ba:86:19:5c

Not sure if it's related to cookies or https?

Both webmail and online banking gets a time out error and does not connect.

Thanks,
Mike

In 'Web Security >> HTTP/S', on the 'Advanced' tab, do you have HTTPS in 'Allowed target services'?

Hi,

Yes, https is enabled in the proxy filtering. The proxy port is set to 8080 but typically in transparent mode this doesn't mean anything because it should intercept the requests.

When I don't do the manual settings on the client, I have this problem but when I leave it to the automatic I have this problem.

I don't mean to sound ignorant but since the proxy log did not show the dropped connection but the firewall did, wouldn't it be something with the firewall?

I guess I don't understand this firewall very well yet. 

Thanks,
Mike

What, specifically, do you mean by: "https is enabled in the proxy filtering" in the above?

Hmm...don't know if I am saying it right.

On the Http/S section, the proxy, under 'Allowed Target Services', https is listed here with other services.

Due to the amount of tabs that filter and the need to allow services I called it filtering.

Was this what you were telling me to do before, ensure that under the Http/S that Https was an allowed service?

Hi,

I have been experimenting with different options. 

Everywhere on the Http/S section where there is https, it is enabled. So, I thought it would work. I guess I missed a check box on the main page that is labeled, 'Scan HTTPS (SSL) Traffic'. Checking this box seemed to allow access to the sites I was having problems with. The certificate is messed up and you have to do more steps to accept it, but it at least works now. 

This feature should be enabled by default if it is necessary for everything to function properly. It was not well documented either for an explanation as to it's functionality. I am not use to caching https request as that somehow goes against any security policy. 

I configure many types of routers, Sonicwall - Smoothwall - etc, but this one here is quite different than most. The more I use this Astaro the more I like, it takes a little to get use to but still very nice.

Thanks,
Mike

Mike, I had an email exchange with one of the Astaro support engineers.  Having 'HTTPS' in 'Allowed services' only works when you have the proxy in a non-transparent mode; that is to say, when your browser is pointed at the HTTP Proxy.

If you are in Transparent mode, you do need to allow port-443 traffic outbound.  The other solution is to enable HTTPS scanning, just as you did.

Thanks for helping me erase another patch of ignorance in my understanding of Astaro!

Cheers - Bob

Using ASG v7.5

I am having a similar issue. I want to use transparent mode, so I do not have to have my end users configure their browsers for proxy.. the reason for that is all users have laptops and I don't have a domain. So I need it to work without modifying browser settings when they are not in the office. 

With that being said, when in transparent mode, everything works great except any https. When I click on "Scan https (SSL) traffic" the https pages work except I get the cert error.

What I want to happen is that the end user doesn't have to log in or modify browser settings and I want all http and https traffic to go through the content filter. Am I missing something here?

yes you have to instlal the astaro's security certificate onto the clients so the client machines don't barf when you put your astaro in the middle of their ssl connections.