Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1951 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL slooooooooooow and web sites time out.

jburke
Astaro SG320 Firmware: 7.500
XP SP3 Internet Explorer 8

When I try to browse to https://www.harrisbank.com usually the site times out or takes about 3-5 minutes to finish loading. I have tested the site on a computer that has been specified in the Transparent Skiplist and the site loads without issues. "User" computers take FOREVER for the site and many other ssl to load. A couple users in the Astaro forum said to add these sites to the Transparent Skiplist. I have added the domains, but still the sites take forever.

When I add websites/domains to the Transparent Skiplist, should I be entering them as DNS hosts??? Below is the https logs while trying to view the site. 

2009:10:22-14:39:39 astaro httpproxy[9151]: [ (nil)] sc_handle_cmd (scr_scanner.c:542) read response: Connection reset by peer

2009:10:22-14:39:39 astaro httpproxy[9151]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.30.5.19" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action="pass" method="GET" srcip="10.10.5.28" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4559" time="177 ms" request="0xaee70f48" url="l.yimg.com/.../gif"

2009:10:22-14:39:39 astaro httpproxy[9151]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.30.5.19" user="" statuscode="304" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="232 ms" request="0xaf046c88" url="www4.harrisbank.com/.../Banking"

2009:10:22-14:39:39 astaro httpproxy[9151]: [0xb1e9aae0] ssl_log_errors (ssl.c:41) S: 9151:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:567:

2009:10:22-14:39:39 astaro httpproxy[9151]: [0xb1e9aae0] ssl_connect (ssl.c:954) ssl_handshake: Input/output error

2009:10:22-14:39:39 astaro httpproxy[9151]: [0xb1e9aae0] ssl_log_errors (ssl.c:41) C: 9151:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:299: 


This thread was automatically locked due to age.
Parents
  • 0
    Use the type "DNS Group" for the Network Definition.

    It seems like this should be working for you withOUT using the skiplist...  Have the users downloaded the Astaro SSL CA via the User Portal?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Use the type "DNS Group" for the Network Definition.

    It seems like this should be working for you withOUT using the skiplist...  Have the users downloaded the Astaro SSL CA via the User Portal?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Use the type "DNS Group" for the Network Definition.

    It seems like this should be working for you with using the skiplist...  Have the users downloaded the Astaro SSL CA via the User Portal?

    Cheers - Bob


    I pushed out the cert via a gpo. So for DNS Group I should add all site I need to be skipped?? Should I use the domain names or url's? The little help text next to the Transparent Skiplist says you can use url's, but there isn't a https or url option in the options. This is the little help text I am talking about.. 

    IPs, URLs and Networks listed here will not be subject to the transparent interception of HTTP traffic. This affects both Sources and Destinations. If you want to allow unproxied HTTP traffic for the listed hosts or networks, make sure that the appropriate checkbox is checked.