Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 10870 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent HTTPS scanning proxy profile for one client

trialrider
Hi all,

ASG in routing mode works fine. Sometimes one application has problems with getting information from it's external server through our transparent proxy. A single proxy profile using standard mode and setting up the application helped.

Now I want to try HTTPS traffic scanning. So at first I thought creating a profile for my client linked to the default action, default assignment and with HTTPS traffic scanning enabled will work.

It works without HTTPS traffic scanning. Log file shows my client goes through the defined profile but HTTPS goes through our paket filter rule.

At the second I created filter action and filter assignment completely new but HTTPS goes through pfr too.

Is there a possibility to get HTTPS traffic scanning with a transparent proxy profile enabled?

Deactivating HTTPS pfr and enabling in web proxy is no option.
-- 
Kind regards,

Steffen


This thread was automatically locked due to age.
Parents
  • 0
    OK, that looks like it confirms that hst_admin_1 is the subnet 10.x.25.0/24.  If you can confirm that you have 'Scan HTTPS (SSL) traffic' selected in the "HTTPS-Test" profile, then I agree that you've uncovered a "feature" of the Transparent mode.  What if you put the profile into "Standard" mode and point your browser at the Proxy?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    I confirm enabled HTTPS scanning.

    Following your suggestion to use my profile in standard mode I could pass the proxy without proxy settings too. Default profile with transparent mode is used. If I changed to go through the proxy, my profile is used and I was asked for ASG cert.

    I checked the proxies references too. HTTPS scanning is set to 1.

    A second profile with transparent mode for different URL blocking works fine.

    I think it's a bigger bug. Maybe someone from Astaro could check this. I could never restrict access for clients to use standard mode. It's possible to browse in transparent mode too.
    -- 
    Kind regards, Steffen
  • 0 in reply to trialrider
    Trialrider, do you have a support subscription - can you submit a support ticket via My.astaro.com?  If not, maybe one of the beta testers could score a V8 bug report with this.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to trialrider
    Trialrider, do you have a support subscription - can you submit a support ticket via My.astaro.com?  If not, maybe one of the beta testers could score a V8 bug report with this.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi folks,
    I tried logging that as a fault and was advised it isn't a fault. So I block most ports below 1030 to force people to use the http proxy in standard mode that is if they want to web surf. I am a home user only.

    In the v8b there is the ability to create java script for a auto enabling http proxy.
    My next task is to learn java scripting.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi Ian, hi Bob,

    PAC is still available in v7.504. ASG's online help shows what to write for configuring clients automatically.

    At the moment there is no possibility to connnect to our astaro account. No user. I will try to open a ticket next week. If one of the betters (bet(a tes)ters) will do so, please let me know.
    -- 
    MfG, Steffen