Face book blocking, through Application Control..

It is the same thing.  Imagine that there was an IPsec VPN between your PC and a remote computer.  When the traffic passes through the Astaro, it only sees that the traffic between your PC and the remote computer is IPsec - it can't see what is in the IPsec "tunnel".  This is the same thing that happens when your browser uses HTTPS instead of HTTP - unless you choose 'Scan SSL', the Astaro only sees SSL traffic, and everything inside the SSL "tunnel" is scrambled and unidentifiable.

Cheers - Bob

Hi Bob and Scott, I understand the layer 7 implementation in astaro and believe me its awesome compared to complicated http proxy rules we had to setup. Just the way app control works in QoS has made me into a believer. 

However I understand the point vivek is trying to make. A casual admin doesn't care if the layer 7 is implemented via http proxy and if https is not getting scanned, he just wants it to work. I believe that when you setup a block for facebook via application control, facebook should be blocked no matter what protocol otherwise the app control is useless. I know its not simple to set this up where the firewall is scanning https traffic even when not asked explicitly but I see his logic behind this.

Regards
Bill
Edit: Too bad a lot of layer7 stuff was stuffed right at the end of the beta, more testing would have been great.

Hi Bob and Scott, I understand the layer 7 implementation in astaro and believe me its awesome compared to complicated http proxy rules we had to setup. Just the way app control works in QoS has made me into a believer. 

However I understand the point vivek is trying to make. A casual admin doesn't care if the layer 7 is implemented via http proxy and if https is not getting scanned, he just wants it to work. I believe that when you setup a block for facebook via application control, facebook should be blocked no matter what protocol otherwise the app control is useless. I know its not simple to set this up where the firewall is scanning https traffic even when not asked explicitly but I see his logic behind this.

Regards
Bill
Edit: Too bad a lot of layer7 stuff was stuffed right at the end of the beta, more testing would have been great.

@Vivek, some of this behavior was documented in the beta. I am sure as astaro matures further with L7 classification, all this will be finessed.

Here are a couple of threads mentioning L7 not working with ipv6 and https

https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/71114

and 
https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/70797 although utm-kid thinks it has to do with his HA system, its https protocol thats the culprit.

A casual admin doesn't care if the layer 7 is implemented via http proxy and if https is not getting scanned, he just wants it to work.

Full ACK. From an casual admin's point it would be very usefull if asg can inspect even SSL encrypted traffic for applications signatures. Such a feature would make admin's life much easier.