Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 5129 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Google Voice and HTTPS Proxy)

phymt
Anyone have any experience with Google Voice and the HTTPS proxy?  So far I have been unable to get it to work on an Android phones behind the UTM (v9.00x).  I did import the self signed CA per one of the posts on this board.

The odd thing is I don't get any messages in the web filtering log.  I had an issue accessing the android market, but had plenty of error messages which allowed me to figure out the appropriate exceptions and skip domains.  Now the market works fine, but we can't send a Google voice text message, although I can receive one.  The only clue so far is that when I turn on all packet filtering logging, I can see a packet go out from the phone, but no reply.  No drop messages anywhere.  With checking https off, the same packet goes out, but it looks like I get a reply and then the text goes out.  Again nothing in web filtering.

I am not quite sure how https proxy would cause that.  I am still experimenting and I do have the IP address the packet gets sent to so I am going to see if I can start adding some exceptions, but that IP address is likely just one of many.


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BAlfson
    Please post one or two lines from the web filtering log showing the block. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.


    That is the funny thing.  There are no web filtering log entries what so ever related to the failed send text message event.

    Note that this is a Google Voice app on an Android phone.  It is not going through any browser.  There are no URLs involved.  I don't believe it is the web filter as much as it is specifically the HTTPS proxy.  Google apparently just does not like the man in the middle.

    So the issue is that if I don't scan https, no problems.  If I do click scan https, the when you hit "send" in the GV app, it spins for a while then come back with "message could not be sent".  No entries in the web filter log, but the firewall log does show a packet going out from the phone IP address.

    I ended up breaking out the packet sniffer and when I hit "send" I can see all the packets back and forth between the phone GV app and the google server.  Bottom line is it looks like a https handshake can't complete when going through the https proxy.  When that failed the app made a DNS request for Google and tried again.

    Basically I got it to "work" now by creating a DNS group for Google and adding it to the skiplist. 

    I had to do the same thing for the android market when scanning https.  I had to add a DNS group for android.clients.google.com to the skiplist too.

    If there is a better way then to exclude all these destinations from the transparent interception then I would like to hear it.  By adding them to the skip list I also have to allow all http traffic to those external hosts to bypass the web filter.
  • 0 in reply to phymt
    I did find another way of doing it.

    I saw in the UTM documentation that when using transparent mode you had to use the IP address in the "matching these URL's" section of an exception rule.

    So I set up an exception which just skips SLL scanning and put https://74.125.227.*:* in the matching these URL box.  I then removed the google.com DNS group from the skip list.

    This worked.  The GV Android app was able to send texts.  This method is good because it gives more granular control, I can only skip SSL scanning and not everything (which is the case if the skiplist is used).  The down side is that the google DNS list has 15 IP addresses and right now I had to exclude all 255.

    It would be nice if we could put the DNS group into the matching URL section.