Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 5127 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Google Voice and HTTPS Proxy)

phymt
Anyone have any experience with Google Voice and the HTTPS proxy?  So far I have been unable to get it to work on an Android phones behind the UTM (v9.00x).  I did import the self signed CA per one of the posts on this board.

The odd thing is I don't get any messages in the web filtering log.  I had an issue accessing the android market, but had plenty of error messages which allowed me to figure out the appropriate exceptions and skip domains.  Now the market works fine, but we can't send a Google voice text message, although I can receive one.  The only clue so far is that when I turn on all packet filtering logging, I can see a packet go out from the phone, but no reply.  No drop messages anywhere.  With checking https off, the same packet goes out, but it looks like I get a reply and then the text goes out.  Again nothing in web filtering.

I am not quite sure how https proxy would cause that.  I am still experimenting and I do have the IP address the packet gets sent to so I am going to see if I can start adding some exceptions, but that IP address is likely just one of many.


This thread was automatically locked due to age.
  • 0
    I call it Rule #1:

    Whenever something seems strange, always check the Intrusion Prevention and Firewall logs.



    Any luck with that?

    Cheers - Bob
  • 0
    I have IPS off for now (eliminates a variable) so nothing in the logs.

    I don't see any blocked traffic in the firewall log.  What I do see is that with scan HTTPs selected, a phone sends out one TCP packet to port 443 and nothing happens after that.

    With scan HTTPs not selected, I see a packet go out to 443 to a amazonaws IP, then a DNS check, then another TCP 443 to the same IP address, then another DNS check, then the text goes out in a few TCP packets on port 443 to a different IP address.

    I guess maybe because the communication goes directly to an IP address instead of a URL, the web filter log does not pick it up.  It looks like for some reason the server Google Voice first communicates with does not like something and a handshake never occurs (even though I get no error messages) with HTTPs scanning.

    Again with it disabled, you can see the back and forth communication.

    Probably the only thing to do is trial and error and see if I can skiplist the server IP and just keep doing that if the IP changes.
  • 0
    Please post one or two lines from the web filtering log showing the block. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    Please post one or two lines from the web filtering log showing the block. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.


    That is the funny thing.  There are no web filtering log entries what so ever related to the failed send text message event.

    Note that this is a Google Voice app on an Android phone.  It is not going through any browser.  There are no URLs involved.  I don't believe it is the web filter as much as it is specifically the HTTPS proxy.  Google apparently just does not like the man in the middle.

    So the issue is that if I don't scan https, no problems.  If I do click scan https, the when you hit "send" in the GV app, it spins for a while then come back with "message could not be sent".  No entries in the web filter log, but the firewall log does show a packet going out from the phone IP address.

    I ended up breaking out the packet sniffer and when I hit "send" I can see all the packets back and forth between the phone GV app and the google server.  Bottom line is it looks like a https handshake can't complete when going through the https proxy.  When that failed the app made a DNS request for Google and tried again.

    Basically I got it to "work" now by creating a DNS group for Google and adding it to the skiplist. 

    I had to do the same thing for the android market when scanning https.  I had to add a DNS group for android.clients.google.com to the skiplist too.

    If there is a better way then to exclude all these destinations from the transparent interception then I would like to hear it.  By adding them to the skip list I also have to allow all http traffic to those external hosts to bypass the web filter.
  • 0 in reply to phymt
    I did find another way of doing it.

    I saw in the UTM documentation that when using transparent mode you had to use the IP address in the "matching these URL's" section of an exception rule.

    So I set up an exception which just skips SLL scanning and put https://74.125.227.*:* in the matching these URL box.  I then removed the google.com DNS group from the skip list.

    This worked.  The GV Android app was able to send texts.  This method is good because it gives more granular control, I can only skip SSL scanning and not everything (which is the case if the skiplist is used).  The down side is that the google DNS list has 15 IP addresses and right now I had to exclude all 255.

    It would be nice if we could put the DNS group into the matching URL section.