Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1857 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Service No Access

Lioness
Hi,

I have the particolar network configuration that you see in attachment. I configured the SNAT
- External DMZ (Address) -> ANY : SNAT from Internal DMZ (Address)
to permit the ASG to connect to internet (see the thread https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/44460).

I enabled Web Security in Trasparent Mode with Full Transparent Option.

For Internet Sites all works correctly.

If a client try to connect to "pearl.inogs.it" or "dru.inogs.it" or in general to an "internal" site, the browser show the "Impossible to find web site" page. Logs show the following message:

2010:03:09-15:11:25 astaro-gw-2 httpproxy[5022]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="158.110.30.37" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2184" time="63227 ms" request="0xaf123028" url="pearl.inogs.it/.../NGO"

2010:03:09-15:11:45 astaro-gw-2 httpproxy[5022]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="158.110.30.37" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2180" time="61768 ms" request="0xaf119f60" url="dru.inogs.it/.../NGO"

ASG categorizes correctly the sites but seem it blocks them, even though the "Non-Profit/Advocacy/NGO" category is allowed. Also the ASG doesn't show the usual "Category Blocked" page.

As workaround I put the IP of those sites in "Transparent mode skiplist" under "Advansed" tab of the Web Security configuration.

Where do you think the problem may be?

Regard,
Stefano


This thread was automatically locked due to age.
  • 0
    "Full transparent" should be selected only when the internal users' actual IPs should be sent as the source of web surf requests instead of "External (Address)".  Your diagram hints that you have private IPs internally, but the 158.x.y.37 IP in the lines above is indeed a public IP; what is your situation?  Please show the SNAT you mention in the diagram?

    In the above, 

    size="2184" time="63227 ms"

    indicates a timeout.  You might be able to use an exception for anti-virus, but the skiplist may be your only solution.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    As you see in the diagram I have "Public NET" internally, where I have the Clients, and "Private NET" externally. The "Full Trasparent" hold the client source Public IP address so they are able to connect to the internet correctly.

    The SNAT regards the ASG itself:
    External FW IP Address (private) ----> Any: Internal FW IP Address (public).
    In this way the ASG is able to connect to the internet.

    158.x.y.37 is a client: when it try to connect to http://pearl.inogs.it or http://dru.inogs.it the browser show the "Impossible to find web site" page. On the ASG for those sites I have static routes to other router on internal public net.

    Have I clarified your doubts?

    Regards,
    Stefano
  • 0
    http://pearl.inogs.it or http://dru.inogs.it

    I can't reach either one, and I'm not behind Astaro right now.  Your log lines don't have a reason= field, so the Astaro sin't actively blocking.

    I admit I'm still confused that your internal clients are on the external interface, but if it works, then it's obvious that you are not confused - and that's what counts!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    you can't reach either one because they are internal sites though they have pubblic IP addresses. They are not reachable from the Internet. The clients are able to reach them using internal routing (static route, in the scheme).

    My customer is a particolar customer and he has a particolar network. Internal clients are not on the external interface, they are on internal interface. The unusual configuration is that the internal interface is on a pubblic IP network and not on a private IP network.

    That I don't understand is why the ASG Web Security blocks the client connections even though the category is allowed.

    Regard,
    Stefano
  • 0
    Stefano, as I tried to explain above, the Astaro is NOT blocking these accesses.  The accesses are failing (time out) because of an incompatibility between the Astaro proxy and their webserver configuration.  Since they control these servers, they should just bypass the proxy when accessing them; that means putting the servers into the 'Transparent mode skiplist' if the proxy is running in a transparent mode.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA