Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 3085 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with some HTTPS Sites with transparent Proxy Mode

gearloose
Hello there I haven't enough time today to search through the whole forum so I will post it and hope somebody can help. [:(]

Where using a Astaro 320 (v 7.501) the whole firewall works very good and performant.

But we have a problem with some https sites like "geo data service" and some "online banking sites".

The sites are loading and loading and it comes not to an end, therefore the site can not be displayed.

I would be very pleased for usefull information to solve the problem! [:S]


This thread was automatically locked due to age.
  • 0
    Does anybody got a tip?

    As an example the site Geodaten online

    if the user try's to login on this site with username and passwort you see the loading bar and nothing happens.
  • 0
    Is there anything on the HTTP log?Have you tried adding the site on the trasparent mode exception?
  • 0
    Hello there I haven't enough time today to search through the whole forum so I will post it and hope somebody can help. [:(]

    Where using a Astaro 320 (v 7.501) the whole firewall works very good and performant.

    But we have a problem with some https sites like "geo data service" and some "online banking sites".

    The sites are loading and loading and it comes not to an end, therefore the site can not be displayed.

    I would be very pleased for usefull information to solve the problem! [:S]

    are you using https scanning as well?  If so that's your issue.
    http://www.astaro.org/astaro-gateway-products/web-security-http-https-ftp-im-p2p-web-filtering-antivirus/28579-logmein-issues-2.html#post134253

    three options:
    1. Deal with the fact you are causing a breach in an encrypted stream.  You have to manually install the astaro's security certificate on every machine...some sites and applications are still going to break as they will correctly detect the proxy anyway.

    2.  disable https scanning in the a/v section of web security.

    3.  It could be another issue entirely.  but i just tried the listed sites and they worked fine..although i do not use the https a/v scanning in web security.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    We've today soft-released the 7.504 up2date, which among other things allows you to skip the HTTPS proxy completely (de-proxy) for sites which aren't playing nice with this type of filter. You can see more info here:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/27336
  • 0 in reply to AngeloC
    Thanks for the Information,

    ok when will this new Software release be available für the ASG320 Hardware-Appliance?

    At the moment the UptoDate Options does not show any Upates.
  • 0 in reply to gearloose
    Soft-Release means that you have to manually download the file from the Astaro FTP servers (ftp.astaro.de or ftp.astaro.com) and install it.  It should be released via the up2date mechanism sometime next week (at least that's what was said in the original announcement).  The up2date is installable on Software ASGs and Astaro ASG appliances (they use the same up2date file).

    Unfortunately, as part of the shakedown process, I believe some testers of 7.504 have found that the exceptions that Angelo mentions does work when the Proxy is being used in Standard or SSO mode, but it does not currently work when in transparent mode.  Hopefully Astaro saw that thread and are fixing the 7.504 up2date so that when it is released via up2date it will be fully operational.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Hello,

    the update did nothing with the https problem of some geo- or banking-sites.

    I set up a GPO with proxy-settings and finally it worked.

    Another Question....does it make a difference in security if the transparent mode (not full) ist on or should I take the standard proxy mode when i'll set the browser with the astaro ip and proxy port????

    kind regards
  • 0
    The fundamental difference is that, in Transparent mode, the Proxy only handles HTTP(S) traffic.

    If the Users' browsers point at the Astaro, then the Proxy will handle all of the traffic types listed in 'Allowed target services' on the 'Advanced' tab, so, in that sense, it's more secure.  Make sure you have removed any packet filter rules that allow any of those services.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Ok thanks for the hint, I will check the allowed target services. [:D]
  • 0
    Hello there...
    I have quite a strange setup in my office:

    We have a main and a branch office.

    In the branch office we have one astaro used as transparent proxy and we've set it to use as parent proxy the other astaro in main office.
    And, finishing touch, this astaro has as a parent proxy a squid proxy connected to the internet.

    Navigation works flawlessly but I have problems with https sites and mail servers (clients use outlook on standard 25 and 110 ports.

    What could I do to solve the problem?
Cookie Information Banner