Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1701 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Failure of Transparent mode skiplist

myasgsoft
Failure of "Transparent mode skiplist"
System configured with https filtering and client system web browser with ASG cert installed. Version: 8.103. Fresh install.

The skip list with multiple items fails to work, now and then it will correctly skip one of the items resulting in the client receiving the cert from the originating website, but mostly the client receives the ASG gateway certificate, thus not skipping the domain.

Example, running in transparrent mode, setup skip list:
amazon.co.uk (DNS host)
barclaycard.co.uk (DNS host)
Checked: Allow HTTP/S traffic for listed hosts/nets

The result, more often than not failure of the skip list, and client systems receiving the ASG cert for ssl sites. Now and then the client does receive the original cert from the website.
Have tried removing entries and changing domain name for fqdn or just top level domain name, does not fix the problem.
Have tried clearing the cache, and turning HTTP/S Proxy Status On/Off (some times causes one entry in list to correctly skip).

I really would not want banking site access to be scanned and proxyed, is there any way to fix this?


Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Given the examples that you list, the reason why you're experiencing failures is due to your choice of definition type.  You are choosing DNS host as the type for a URL that resolves to multiple addresses (multiple A records).  If you do an NSLookup for amazon.co.uk, you'll see that it resolves to three records.  When set as a DNS host type, only the first address returned will be used in that host definition.  If your client connects to one of the other two, the skip will fail.  For connecting to these types of URLs, you would want to set the definition type as DNS Group, so that all addresses in the cluster are recognized.  DNS Host type would be used when you know that a URL only resolves to a single host address.

    Also, it's considered best practice to pre-install your Astaro proxy CA certificate onto your clients under the computer account to make the proxy process more transparent and convenient for your users.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Reply
  • 0
    Given the examples that you list, the reason why you're experiencing failures is due to your choice of definition type.  You are choosing DNS host as the type for a URL that resolves to multiple addresses (multiple A records).  If you do an NSLookup for amazon.co.uk, you'll see that it resolves to three records.  When set as a DNS host type, only the first address returned will be used in that host definition.  If your client connects to one of the other two, the skip will fail.  For connecting to these types of URLs, you would want to set the definition type as DNS Group, so that all addresses in the cluster are recognized.  DNS Host type would be used when you know that a URL only resolves to a single host address.

    Also, it's considered best practice to pre-install your Astaro proxy CA certificate onto your clients under the computer account to make the proxy process more transparent and convenient for your users.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Children
Cookie Information Banner