Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1949 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL slooooooooooow and web sites time out.

jburke
Astaro SG320 Firmware: 7.500
XP SP3 Internet Explorer 8

When I try to browse to https://www.harrisbank.com usually the site times out or takes about 3-5 minutes to finish loading. I have tested the site on a computer that has been specified in the Transparent Skiplist and the site loads without issues. "User" computers take FOREVER for the site and many other ssl to load. A couple users in the Astaro forum said to add these sites to the Transparent Skiplist. I have added the domains, but still the sites take forever.

When I add websites/domains to the Transparent Skiplist, should I be entering them as DNS hosts??? Below is the https logs while trying to view the site. 

2009:10:22-14:39:39 astaro httpproxy[9151]: [ (nil)] sc_handle_cmd (scr_scanner.c:542) read response: Connection reset by peer

2009:10:22-14:39:39 astaro httpproxy[9151]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.30.5.19" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action="pass" method="GET" srcip="10.10.5.28" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4559" time="177 ms" request="0xaee70f48" url="l.yimg.com/.../gif"

2009:10:22-14:39:39 astaro httpproxy[9151]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.30.5.19" user="" statuscode="304" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="232 ms" request="0xaf046c88" url="www4.harrisbank.com/.../Banking"

2009:10:22-14:39:39 astaro httpproxy[9151]: [0xb1e9aae0] ssl_log_errors (ssl.c:41) S: 9151:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:567:

2009:10:22-14:39:39 astaro httpproxy[9151]: [0xb1e9aae0] ssl_connect (ssl.c:954) ssl_handshake: Input/output error

2009:10:22-14:39:39 astaro httpproxy[9151]: [0xb1e9aae0] ssl_log_errors (ssl.c:41) C: 9151:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:299: 


This thread was automatically locked due to age.
Parents
  • 0
    You should open a support case so Astaros specialists can analyze what exactly is going wrong when you access this harrisbank-server.

    Putting it on the "skip transparent networks" list is only a workaround and might help or not - as harrisbank seems to use several servers (www.harrisbank.com is something different than www4.harrisbank.com, e.g.) you would probably have to put several IPs or netowrks on the skiplist. Just put "harrisbank.com" won´t do the job, because "www4.harrisbank.com" (which is shown in the log you supplied) is a different IP.

    These kind of ssl errors in the http proxy log are "normal" if some non-http-over-ssl protocols try to traverse the proxy and the proxy tries to decode them (and - of course - fails, as it is NOT http over SSL, but some-proprietary-protocol-over-SSL). Some good examples for this behaviour are applications like Teamviewer, Netviewer, or Skype, which "seem" to use HTTPS, but instead just use port 443 to tunnel some propritary protocols over SSL. The https proxy cannot do something with these packets and fails.

    However, when accessing "normal" https-websites this shouldn´t occour.
    So that´s why I  recommend to open a support case.
Reply
  • 0
    You should open a support case so Astaros specialists can analyze what exactly is going wrong when you access this harrisbank-server.

    Putting it on the "skip transparent networks" list is only a workaround and might help or not - as harrisbank seems to use several servers (www.harrisbank.com is something different than www4.harrisbank.com, e.g.) you would probably have to put several IPs or netowrks on the skiplist. Just put "harrisbank.com" won´t do the job, because "www4.harrisbank.com" (which is shown in the log you supplied) is a different IP.

    These kind of ssl errors in the http proxy log are "normal" if some non-http-over-ssl protocols try to traverse the proxy and the proxy tries to decode them (and - of course - fails, as it is NOT http over SSL, but some-proprietary-protocol-over-SSL). Some good examples for this behaviour are applications like Teamviewer, Netviewer, or Skype, which "seem" to use HTTPS, but instead just use port 443 to tunnel some propritary protocols over SSL. The https proxy cannot do something with these packets and fails.

    However, when accessing "normal" https-websites this shouldn´t occour.
    So that´s why I  recommend to open a support case.
Children
No Data