Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 10858 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent HTTPS scanning proxy profile for one client

trialrider
Hi all,

ASG in routing mode works fine. Sometimes one application has problems with getting information from it's external server through our transparent proxy. A single proxy profile using standard mode and setting up the application helped.

Now I want to try HTTPS traffic scanning. So at first I thought creating a profile for my client linked to the default action, default assignment and with HTTPS traffic scanning enabled will work.

It works without HTTPS traffic scanning. Log file shows my client goes through the defined profile but HTTPS goes through our paket filter rule.

At the second I created filter action and filter assignment completely new but HTTPS goes through pfr too.

Is there a possibility to get HTTPS traffic scanning with a transparent proxy profile enabled?

Deactivating HTTPS pfr and enabling in web proxy is no option.
-- 
Kind regards,

Steffen


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Hi Bob,

    I confirm enabled HTTPS scanning.

    Following your suggestion to use my profile in standard mode I could pass the proxy without proxy settings too. Default profile with transparent mode is used. If I changed to go through the proxy, my profile is used and I was asked for ASG cert.

    I checked the proxies references too. HTTPS scanning is set to 1.

    A second profile with transparent mode for different URL blocking works fine.

    I think it's a bigger bug. Maybe someone from Astaro could check this. I could never restrict access for clients to use standard mode. It's possible to browse in transparent mode too.
    -- 
    Kind regards, Steffen
  • 0 in reply to trialrider
    Trialrider, do you have a support subscription - can you submit a support ticket via My.astaro.com?  If not, maybe one of the beta testers could score a V8 bug report with this.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi folks,
    I tried logging that as a fault and was advised it isn't a fault. So I block most ports below 1030 to force people to use the http proxy in standard mode that is if they want to web surf. I am a home user only.

    In the v8b there is the ability to create java script for a auto enabling http proxy.
    My next task is to learn java scripting.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi Ian, hi Bob,

    PAC is still available in v7.504. ASG's online help shows what to write for configuring clients automatically.

    At the moment there is no possibility to connnect to our astaro account. No user. I will try to open a ticket next week. If one of the betters (bet(a tes)ters) will do so, please let me know.
    -- 
    MfG, Steffen
  • 0
    Ian, are you saying that it's not a bug when you can't select HTTPS scanning in a profile unless you select it in the default filter action?

    If so, then I think the users' idea of the meaning of the word "bug" is at odds with that of the developers! [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    They are always going to say its not a bug. You can't leave something disabled in the global proxy settings and expect the sub settings to allow that feature. I think the gui could use a little improvement where it doesn't let you check https in profile mode if its not enabled in the global mode.

    But the solution to your problem trailrider is to enable https scanning in global proxy settings and then create two profiles. One for just http scanning and one for https scanning and route your clients accordingly.

    Regards
    Bill.

    Unless I am misunderstanding something, I tried the above scenario on my v8 beta and it works regardless of the global settings. So https scanning works for profiles only without globally enabling https scanning.
  • 0
    I believe you are correct, Bill, that that's the way for him to solve his problem.

    The real solution would be to treat the default as just another profile instead of leaving it as some sort of "super profile" that's really just a relic of an old approach. When did you post that bug, I wanta go back and harangue them about it! [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
     I wanta go back and harangue them about it! [;)]

    I tested on v8 beta and the global settings have no effect on profiles other than bypass host/net from transparent proxy so this might not be an issue any more going forward.

    Ian is the in house proxy master. He has limited bandwidth quota so he runs his astaro with stricter rules than most of us. I believe he had a few threads on the subject. Maybe he can chime in. I don't use https scanning on my proxy so I don't really know[:P]
  • 0 in reply to Billybob
    Hi,

    I thought using a little profile is the easier way to try out and configure HTTPS for our clients (certs, URLs...). So I could/would take my client at first and play around with HTTPS in transparent mode, delivering certs via group policy...

    Later I would enable HTTPS scanning for all in the global settings.

    But one problem still stands: why I'm able to surf without proxy settings in my client using default transparent profile and with settings using my standard profile? Do it depends on global settings? I thought the proxy engine checks the incoming IP and looks if there a profile exists and overrides default or uses the default (global) settings.
    -- 
    Kind regards, Steffen
  • 0
    Hi,

    I thought using a little profile is the easier way to try out and configure HTTPS for our clients (certs, URLs...). So I could/would take my client at first and play around with HTTPS in transparent mode, delivering certs via group policy...

    Later I would enable HTTPS scanning for all in the global settings.

    Steffen, what Bill is suggesting is that you first set up 'Web Security >> HTTP/S' as a sort of "framework" and then set up two profiles.  One profile as you have already, and another profile for everyone else.  In the second profile, you disable SSL scanning untill you are ready for everyone to use it.

    But one problem still stands: why I'm able to surf without proxy settings in my client using default transparent profile and with settings using my standard profile? Do it depends on global settings? I thought the proxy engine checks the incoming IP and looks if there a profile exists and overrides default or uses the default (global) settings.

    Can you show a line from the HTTP log demonstrating each of these situations?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA